Tag: cve

Ledwo zdążyliśmy poinformować o tym, że Chrome łata błąd wykorzystywany w kampanii ForumTroll, a podatność tego samego typu łata Firefox. Została oznaczona numerem CVE-2025-2857. Jest ona bezpośrednio powiązana ze znalezioną wcześniej podatnością w Chrome i podobnie jak ona dotyczy wyłącznie ucieczki z sandbox w systemie Windows. Zgodnie z informacją ze strony Mozilla, bezpieczne, poprawione…

GitLab ogłosił wydanie nowych wersji oprogramowania. Aktualizacja dotyczy zarówno Community Edition, jak i Enterprise Edition. Poprawione wersje to  17.9.2, 17.8.5 oraz 17.7.7. Najważniejsza poprawka dotyczy dwóch podatności (CVE-2025-25291, CVE-2025-25292), zgłoszonych w bibliotece ruby-saml, która jest wykorzystywana przez GitLab do SAML SSO (security assertion markup language; single sign-on). W pewnych okolicznościach…

Insikt Group (researchowy zespół Recorded Future) wydał krótki raport, w którym opisuje jak odkryli kampanię wykorzystującą nieaktualne urządzenia sieciowe Cisco. Kampania miała miejsce pomiędzy grudniem 2024 a styczniem 2025 i powiązana była z globalnymi dostawcami usług telekomunikacyjnych. W tym chodziło o oddziały organizacji świadczącej usługi telekomunikacyjne w Wielkiej Brytanii oraz…

Google wydało nową wersję swojej przeglądarki Chrome. Dla Windows i macOS jest to 133.0.6943.126/.127, dla Linuksa 133.0.6943.126, natomiast dla Androida 133.0.6943.121. Załatane zostały dwa błędy o wysokim poziomie krytyczności CVE-2025-0999 oraz CVE-2025-1426, a także jeden na poziomie średnim – CVE-2025-1006. Od wydania poprzedniej wersji, która łatała cztery błędy o wysokim…

W popularnym na platformie Windows programie WinZip, w ramach Zero Day Initiative zgłoszona została podatność oznaczona symbolem CVE-2025-1240 i poziomie krytyczności 7,8. Występuje ona podczas przetwarzania archiwów 7Z i może prowadzić do wykonania kodu w kontekście użytkownika WinZipa. TLDR: Co prawda do wykorzystania podatności konieczna jest interakcja użytkownika, polegająca na…

W ostatnim Patch Tuesday, Microsoft załatał w sumie 16 krytycznych podatności. Wśród błędów znalazły się trzy krytyczne podatności dotyczące LDAP (Lightweight Directory Access Protocol). Najpoważniejsza (wynik CVSS 9,8) podatność została oznaczona CVE-2024-49112. TLDR: Błąd ten pozwala nieuwierzytelnionemu, zdalnemu atakującemu na wykonanie poleceń w kontekście serwisu LDAP. Atak na podatny serwer…

Przestępcy w dość nietypowy i interesujący sposób zaczęli wykorzystywać podatność w niezbyt popularnej (ponad 10 tys. pobrań) wtyczce WordPressa o nazwie Hunk Companion. Podatność, oznaczona CVE-2024-11972 (wynik CVSS 9,8) pozwala nieautoryzowanemu atakującemu na… instalację i aktywację innych wtyczek z repozytorium WordPress.org. TLDR: Na pierwszy rzut oka nie wygląda to może przerażająco, jednak pobierać, instalować i uruchamiać…

W przedświątecznej gorączce nie można zapomnieć o aktualizacjach oprogramowania. Google ogłosiło wydanie nowych wersji przeglądarki Chrome: 131.0.6778.139/.140 dla Mac oraz Windows, a także 131.0.6778.139 dla Linuksa. Załatane zostały dwie podatności o poziomie krytyczności wysokim. Pierwsza z nich, o symbolu CVE-2024-12381 jest kolejnym błędem w tym roku dotyczącym silnika V8 i…

Aktualizacja komponentów dystrybucji Linuksa może wymagać restartu całego systemu lub tylko określonych serwisów. Popularnym rozwiązaniem wspomagającym wykonywanie aktualizacji w tym zakresie jest needrestart dołączony do bardzo popularnych dystrybucji jak Ubuntu czy Debian. TLDR: Badacze zidentyfikowali aż pięć podatności (w tym trzy kluczowe), pozwalających podnieść atakującemu (z dostępem do systemu) uprawnienia…

Czytelnicy z dłuższym stażem zapewne pamiętają podatność w samochodach Nissan i Mazda, która powodowała reboot systemu audio. Mazda ponownie ma problemy związane z błędami w systemie Mazda Connect Connectivity Master Unit (CMU), który wykorzystuje system operacyjny Linux i jest instalowany w wielu modelach samochodów tego producenta. Błędy zostały odkryte przez badaczy…

ESI (Edge Side Includes) to prosty język pomocny przy dynamicznym składaniu treści strony internetowej, który został stworzony, aby rozwiązywać na urządzeniach brzegowych problemy związane ze skalowaniem infrastruktury. Tagi ESI są umieszczone w kodzie HTML i instruują procesor ESI, co powinien umieścić w finalnym kodzie strony. Przykładowo:<esi:include src=”http://example.com/1.html” alt=”http://bak.example.com/2.html” onerror=”continue”/> spowoduje pobranie pierwszego URLa, a…

Drukarki to niechlubne bohaterki niejednej z biurowych opowieści. Nie wszyscy administratorzy jednak zauważają, że ich znaczenie bywa krytyczne dla bezpieczeństwa organizacji. Zwłaszcza gdy wykorzystywane są do drukowania poufnych dokumentów. Brak należytej troski o bezpieczne wydzielenie drukarek w sieci może doprowadzić do poważnego incydentu. Wiąże się to z faktem, że są…

Fortinet w końcu wydał oficjalne zalecenia dotyczące podatności, o której słychać było od pewnego czasu. Z informacji opublikowanej przez firmę wynika, że podatność wynikała z braku uwierzytelniania w krytycznej funkcji w demonie fgfmd FortiManagera i mogła prowadzić do zdalnego wykonania kodu. TLDR: Podatność otrzymała identyfikator CVE-2024-47575, a jej poziom krytyczności oceniono na 9,8…

Autorzy narzędzia Grafana opublikowali na blogu artykuł dotyczący błędu oznaczonego symbolem CVE-2024-9264 oraz zaktualizowane wersje. Błąd został odkryty przez inżyniera Grafana Labs i dotyczy Grafany serii 11.x (wersje z serii 10.x nie są podatne). Podatność dotyczy jedynie instalacji, które zawierają – nieobecny domyślnie – plik wykonywalny DuckDB w zmiennej środowiskowej PATH…

Niecały miesiąc po naprawieniu problemów, o których pisaliśmy, GitLab ponownie wydał poprawione wersje. Podobnie jak poprzednio, aktualizacja dotyczy zarówno Community Edition, jak i Enterprise Edition. Tym razem poprawione wersje oznaczone są numerami 17.2.9, 17.3.5 oraz 17.4.2. TL;DR Najpoważniejszy załatany błąd to CVE-2024-9164 umożliwiający nieautoryzowanym użytkownikom uruchamianie tzw. pipelines. Został znaleziony w…