xss

Система мониторинга транспорта оказалась уязвимой. Исследователь CyberOK выявил множественные уязвимости в AutoGRAPH Web — программной платформе для мониторинга транспорта, персонала и объектов инфраструктуры. Более 650 экземпляров этой системы работают в российском сегменте интернета, причём...

Июньский дайджест трендовых уязвимостей. Специалисты Positive Technologies обновили список трендовых уязвимостей, добавив семь новых проблем в популярных ИТ-продуктах — от компонентов Windows до Apache, 7-Zip и почтовых серверов MDaemon и Zimbra. Большинство уязвимостей позволяют...

Magento выглядела вполне нормально, пока в ней не нашли способ запускать произвольный код. Adobe выпустила масштабное обновление безопасности , закрывающее сразу 254 уязвимости в своих продуктах. Подавляющее большинство — 225 уязвимостей — были обнаружены в Adobe Experience Manager (AEM)...

Опасные связи JavaScript и .NET — как одна строка кода открывает доступ хакерам. Разработчики .NET-приложений, использующие фреймворк CefSharp для внедрения браузера Chromium в настольные программы, оказались под угрозой серьёзных уязвимостей. Новый инструмент под названием CefEnum...

Когда просто «прочитать» письмо значит отдать пароли, контакты и государственные тайны. Хакерская группировка APT28 с 2023 года проводит масштабную кибершпионскую операцию RoundPress, нацеленную на похищение электронной переписки правительственных организаций и объектов критической...

23 уязвимости — и один шанс их не проверять на себе: апдейт до 7.0 уже вышел. Команда Positive Technologies выявила 23 уязвимости ( BDU:2024-06382 — BDU:2024-06404 ) в отечественной системе управления сайтами NetCat CMS, которая используется более чем на 15 тысячах порталах и входит в...

Сотни доверенных сайтов стали невольными участниками масштабной рекламной кампании. Уязвимость межсайтового скриптинга (XSS) в популярном фреймворке для виртуальных 360°-туров была использована злоумышленниками для массового внедрения вредоносных скриптов на сотни сайтов. Цель атаки —...

Всего одна брешь в системе — и тысячи сетей становятся лёгкой добычей. Более 12 тысяч межсетевых экранов GFI KerioControl до сих пор остаются уязвимыми перед критической уязвимостью CVE-2024-52875 , позволяющей удалённое выполнение кода ( RCE ). Несмотря на то, что патч был выпущен ещё в...

Простые ошибки, ведущие к катастрофическим последствиям. В устройствах Advantech EKI, предназначенных для промышленной беспроводной связи, выявлено около двух десятков уязвимостей, шесть из которых признаны критическими. Эти уязвимости позволяют злоумышленникам обойти аутентификацию и...

Предложение ведомств призвано улучшить безопасность новых версий программ. CISA и ФБР призвали технологические компании пересмотреть свое программное обеспечение, чтобы предотвратить наличие XSS -уязвимостей в будущих релизах. Уязвимости межсайтового скриптинга остаются проблемой для...

Исследователи обнаружили более 20 слабых мест в платформах машинного обучения. Исследователи в области кибербезопасности предупреждают о значительных рисках, связанных с уязвимостями в цепочке поставок программного обеспечения для машинного обучения (ML). Так, в целом ряде MLOps-платформ...

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации. Специалисты компании Salt Security , занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают...

Действия Microsoft вынудили хакеров использовать системные файлы для атак на Windows. Специалисты DBAPPSecurity обнаружили, что северокорейская группировка Kimsuky использует в своих атаках MSC -файлы, чтобы избежать обнаружения и выполнить вредоносный код в целевой системе. MSC-файлы...

Отключение макросов в Office привело к очередной лазейке для незаметного взлома. Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной...

Кибербандиты массово внедряют бэкдоры в файлы плагинов и тем оформления. Исследователи в области кибербезопасности предупредили о том, что несколько серьёзных уязвимостей в плагинах WordPress активно используются злоумышленниками для создания поддельных учётных записей администраторов...

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками. GitLab выпустил обновления для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS -атаки...

CISA и ФБР призывают к срочным мерам по защите кода. CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути ( path traversal ) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически...

Как халатность властей КНР ставит под удар безопасность граждан. Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам. В ходе работы под названием SilkSecured...

Joomla играет в догонялки с хакерами, срочно исправляя уязвимости. В системе управления контентом Joomla были обнаружены пять уязвимостей, которые могут быть использованы для выполнения произвольного кода на уязвимых сайтах. Разработчики уже устранили данные проблемы безопасности...

Recorded Future раскрывает деятельность хакеров, отслеживающих политическую отрасль Европы. Специалисты Recorded Future раскрыли информацию о новой кибершпионской кампании группировки TA473, которая направлена на более чем 80 организаций, в основном расположенных в Грузии, Польше и Украине...

GPT-4 лучше и дешевле пентестеров в поиске уязвимостей. В новом исследовании ученых из Университета Иллинойса в Урбана-Шампейн (UIUC), было показано, что большие языковые модели (LLM) можно использовать для взлома веб-сайтов без участия человека. Исследование демонстрирует, что...

CISA бьет тревогу: федеральные структуры обязаны разобраться с проблемой до 4 марта. Эксперты предупреждают о критической уязвимости в почтовом сервере Roundcube, которая формально была исправлена еще в сентябре прошлого года, но все еще используется злоумышленниками для проведения атак...

Новые исправления уязвимостей направлены на защиту данных и предотвращению взлома. Компании Cisco , Fortinet и VMware выпустили обновления безопасности для устранения множества уязвимостей, включая критические недостатки, которые могут быть использованы для выполнения произвольных...

Использование SQL-инъекции и XSS стало главным оружием в руках злоумышленников. Хакерская группировка «ResumeLooters» совершила масштабную кражу личных данных более двух миллионов соискателей, взломав 65 законных сайтов по поиску работы и розничных интернет-магазинов с помощью атак SQL...

Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами. Разработчик популярного открытого ПО для автоматизации CI/CD-процессов (Continuous Integration/Continuous Delivery) Jenkins исправил 9 уязвимостей в системе безопасности, включая одну...