Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Aktualności

Aplikacja rekrutacyjna McDonald’s pozwalała na dostęp do danych innych aplikujących

11 lipca 2025, 11:03 | W biegu | 0 komentarzy
Aplikacja rekrutacyjna McDonald’s pozwalała na dostęp do danych innych aplikujących

TLDR: Treść: Coraz częściej firmy (zwłaszcza duże korporacje i sieci franczyz) ujednolicają proces rekrutacyjny przy pomocy webaplikacji, które najczęściej wspierane są przez boty oparte o duże modele językowe (LLMy). Dziś połowa Internetu “zachwyca” się podatnościami odkrytymi przez badaczy bezpieczeństwa, które pozwoliły zbadać interfejs administratora oraz uzyskać dostęp do danych aplikantów…

Czytaj dalej »

Projekt SOS: Sekurak o Security wystartował. Bezpłatny kurs o cyberbezpieczeństwie – dla wszystkich pracowników biurowych :-)

10 lipca 2025, 23:46 | Aktualności | 0 komentarzy
Projekt SOS: Sekurak o Security wystartował. Bezpłatny kurs o cyberbezpieczeństwie – dla wszystkich pracowników biurowych :-)

Wakacje to czas odpoczynku, ale czy nie warto przy okazji zadbać o swoje bezpieczeństwo w sieci? Wychodzimy do Was z taką inicjatywą specjalnie na lato: projektem SOS (Sekurak O Security) – wakacyjnym kursem cyberbezpieczeństwa, który jest krótki, konkretny i… całkowicie za darmo! Jeżeli chcesz zrozumieć, jakie zagrożenia czyhają na Ciebie…

Czytaj dalej »

CitrixBleed II – kolejny błąd powodujący, że serwer zwraca więcej danych niż powinien

08 lipca 2025, 13:33 | W biegu | 0 komentarzy
CitrixBleed II – kolejny błąd powodujący, że serwer zwraca więcej danych niż powinien

Większość naszych Czytelników zapewne kojarzy krytyczną podatność OpenSSL – Heartbleed, która stała się niemal książkowym przykładem błędu, który dotyka bardzo szerokiego grona użytkowników. Za sprawą błędnej obsługi rozmiaru przesyłanego bufora w nowo dodanym rozszerzeniu TLS/DTLS Heartbeat, możliwe było zdalne odczytanie aż do 64k bajtów pamięci klienta lub serwera. Zdarzało się,…

Czytaj dalej »

Integrujemy Wazuha z MikroTikiem! Bezpłatny pokaz wdrożenia na żywo

07 lipca 2025, 18:30 | Aktualności | 0 komentarzy
Integrujemy Wazuha z MikroTikiem! Bezpłatny pokaz wdrożenia na żywo

16 lipca o godzinie 19:00 zapraszamy Was na bezpłatny pokaz integracji Wazuha z MikroTikiem.  Podczas spotkania przekonasz się, jak w jednym miejscu efektywnie monitorować bezpieczeństwo twojej sieci, nie tracąc cennego czasu na żmudne analizowanie logów bezpieczeństwa na wielu urządzeniach osobno. Tym razem bierzemy na warsztat integrację Wazuha z routerem MikroTik….

Czytaj dalej »

Krytyczna podatność w Sudo (CVE-2025-32462/CVE-2025-32463) – potrzebna jest aktualizacja

07 lipca 2025, 00:42 | W biegu | komentarzy 5
Krytyczna podatność w Sudo (CVE-2025-32462/CVE-2025-32463) – potrzebna jest aktualizacja

Sudo to framework z tekstowym interfejsem, krytyczny z punktu widzenia bezpieczeństwa systemów z rodziny GNU/Linux, UNIX i MacOS. Dzięki niemu, uprawnieni użytkownicy mogą wykonywać polecenia w kontekście innych kont w systemie, a w szczególności jako superuser (root), bez konieczności współdzielenia haseł konta administratora. Nie jest to z pewnością narzędzie obce…

Czytaj dalej »

Nabór do polskiego zespołu na ECSC 2025 już w ten weekend!

03 lipca 2025, 20:11 | ctf, W biegu | 1 komentarz

Zespół CERT Polska organizuje w najbliższy weekend (od 04.07.2025 16:00 CEST do 6.07.2025 16:00 CEST) kwalifikacje indywidualne do reprezentacji Polski, która wystąpi na corocznych ćwiczeniach organizowanych przez Europejską Agencję ds. Cyberbezpieczeństwa – European Cybersecurity Challenge. Kwalifikacje odbędą się w formie zmagań Capture The Flag w dwóch klasyfikacjach wiekowych – 5…

Czytaj dalej »

Jak “wygląda” wojna z Iranem z punktu widzenia Internetu? Obserwacje Censys

03 lipca 2025, 16:58 | W biegu | 0 komentarzy
Jak “wygląda” wojna z Iranem z punktu widzenia Internetu? Obserwacje Censys

Można mieć wrażenie, że świat ostatnio nieco przyspieszył, a ponieważ nie mieliśmy czasu przebranżowić się na ekspertów od Bliskiego Wschodu (chociaż patrząc na polskojęzyczny X, to tych nie brakuje) chcielibyśmy przybliżyć jeden z ostatnich konfliktów pokazując anomalie zaobserwowane przez firmę Censys, która utrzymuje bazę urządzeń podłączonych do globalnej sieci Internet,…

Czytaj dalej »

Odkryto szereg nowych podatności na protokół integracji narzędzi AI – Model Context Protocol, wszystkie mogą doprowadzić do wycieku danych z modelu LLM

02 lipca 2025, 05:21 | W biegu | 0 komentarzy
Odkryto szereg nowych podatności na protokół integracji narzędzi AI – Model Context Protocol, wszystkie mogą doprowadzić do wycieku danych z modelu LLM

Model Context Protocol (MCP) szybko staje się fundamentem nowoczesnych systemów agentycznych AI, łącząc modele językowe z zewnętrznymi narzędziami i danymi. Jednak wraz z masowym przyjęciem tej technologii pojawiają się nowe, wysoce zaawansowane wektory ataków, które wykraczają daleko poza tradycyjne luki bezpieczeństwa. Badacze z m.in. CyberArk, Invariant Labs i Straiker AI…

Czytaj dalej »

Pierwsza podatność typu „zero-click” w Microsoft 365 Copilot. Dane wyciekały bez ingerencji użytkowników.

29 czerwca 2025, 14:34 | W biegu | komentarzy 9
Pierwsza podatność typu „zero-click” w Microsoft 365 Copilot. Dane wyciekały bez ingerencji użytkowników.

Badacze z Aim Security odkryli pierwszą podatność „zero-click” w agencie sztucznej inteligencji (AI). Microsoft 365 Copilot można było zmusić agenta do wyciekania poufnych danych organizacji bez ingerencji przez użytkownika – ofiarę. Wystarczyła wysyłka jednego, odpowiedniego spreparowanego maila. Podatność otrzymała oznaczenie CVE-2025-32711 z oceną CVSS 9.3 (krytyczna) i została ochrzczona przez…

Czytaj dalej »

Podatności w Sitecore – badacze obnażają poziom bezpieczeństwa CMS dla biznesu

26 czerwca 2025, 11:51 | W biegu | 0 komentarzy
Podatności w Sitecore – badacze obnażają poziom bezpieczeństwa CMS dla biznesu

Po raz kolejny na naszych łamach gości watchTowr oraz znakomity Piotr Bazydło. Musimy przyznać, że w redakcji bardzo cenimy sobie techniczne writeupy okraszone uszczypliwym dowcipem. Tym razem przytaczamy bardzo dobry opis podatności w systemie zarządzania treścią (ang. content management system – CMS) Sitecore, który wykorzystywany jest głównie przez duże firmy…

Czytaj dalej »

Zdalne wykonanie kodu bez uwierzytelnienia na Centosie – panel CWP

25 czerwca 2025, 04:37 | W biegu | 0 komentarzy
Zdalne wykonanie kodu bez uwierzytelnienia na Centosie – panel CWP

CentOS Web Panel to darmowe rozwiązanie dostępne na systemach z rodziny CentOS (lub korzystających z RPM), składające się właściwie z dwóch elementów. Oferuje interfejs administratorski do zarządzania serwerem, konfiguracji usług takich jak serwery WWW, poczty e-mail czy DNS. Oprócz tego, na innym porcie udostępniany jest drugi panel dla użytkowników końcowych,…

Czytaj dalej »

Interpol w Azji pomógł w likwidacji 20 000 złośliwych domen

25 czerwca 2025, 01:02 | W biegu | 1 komentarz
Interpol w Azji pomógł w likwidacji 20 000 złośliwych domen

Interpol w środę 11 czerwca 2025 roku poinformował o operacji Secure. Operation Secure to inicjatywa regionalna zorganizowana w ramach projektu Azji i Południowego Pacyfiku Joint Operations Against Cybercrime (ASPJOC). Współpraca obejmowała organy ścigania z 26 krajów (m.in. z Japonii, Kazachstanu, Laosu, Nepalu, Wietnamu czy Tajlandii) oraz firmy partnerskie z sektora…

Czytaj dalej »

8 ścieżek i 50 szkoleń – ruszają zapisy do Sekurak.Academy 2.0! Sekurak All Star 2.0. Nowości, zmiany oraz bezpłatny pokaz hackowania na żywo

23 czerwca 2025, 18:05 | Aktualności | 0 komentarzy
8 ścieżek i 50 szkoleń – ruszają zapisy do Sekurak.Academy 2.0! Sekurak All Star 2.0. Nowości, zmiany oraz bezpłatny pokaz hackowania na żywo

Sekurak.Academy obchodzi drugie urodziny (zaraz zaczynamy piąty semestr)! Do tej pory zaufało nam ponad 13 000 osób, dla których przeprowadziliśmy ponad 60 praktycznych szkoleń!  Dwa lata to doskonała okazja, by wprowadzić ulepszenia 🙂 Dlatego przedstawiamy Ci Sekurak.Academy 2.0, czyli prawdziwą rewolucję w nauce cyberbezpieczeństwa! Nowy semestr przynosi krótsze, 1,5-godzinne, pogrupowane…

Czytaj dalej »

ClamAV łata krytyczną podatność

23 czerwca 2025, 12:18 | W biegu | komentarzy 7
ClamAV łata krytyczną podatność

Antywirusy to bardzo wdzięczne do badań oprogramowanie – ze względu na swoją specyfikę, muszą implementować parsery wielu formatów plików. A co za tym idzie jest wiele miejsc, w których można popełnić błąd.  Zgodnie z notką na blogu ClamAV, najnowsze patche 1.4.3 oraz 1.0.9 łatają podatność oznaczoną jako CVE-2025-20260, która została…

Czytaj dalej »

Masz wystawioną do Internetu Grafanę? Lepiej do niej zerknij… możliwe przejęcie konta

20 czerwca 2025, 14:05 | W biegu | 0 komentarzy
Masz wystawioną do Internetu Grafanę? Lepiej do niej zerknij… możliwe przejęcie konta

Grafana to otwartoźródłowa platforma do analizy i prezentacji danych, szeroko stosowana nie tylko w IT. Pozwala tworzyć panele prezentujące różne metryki, co powoduje, że jest popularnym rozwiązaniem wśród inżynierów IT i adminstratorów. Użytkownikom “domowym” może być znana między innymi z paneli prezentujących informacje udostępniane przez urządzenia klasy smart home (np….

Czytaj dalej »