Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Tag: podatność

Pozyskanie danych osobowych z e-maila przez agenta ChatGPT? Podatność ShadowLeak

10 października 2025, 01:42 | W biegu | 0 komentarzy
Pozyskanie danych osobowych z e-maila przez agenta ChatGPT? Podatność ShadowLeak

Narzędzia oparte na dużych modelach językowych (LLM) potrafią często ułatwiać życie. Są w stanie sprawnie poruszać się po dużych zbiorach danych i szybko znajdować potrzebne informacje. Jest to więc dobry sposób na oszczędność czasu. Ale czy takie systemy mają same zalety? TLDR: – ShadowLeak to podatność zero-click w ChatGPT DeepResearch,…

Czytaj dalej »

Możliwe zdalne wykonanie kodu w module ksmbd w Linuksie

10 października 2025, 01:38 | W biegu | 0 komentarzy
Możliwe zdalne wykonanie kodu w module ksmbd w Linuksie

W świecie usług są takie, które przewidziane są do publicznej ekspozycji oraz takie, które nie powinny być widoczne „ze świata”. Nie oznacza to jednak, że bezpieczeństwo tych drugich może umykać naszej uwadze. Na szczęście wiedział o tym badacz Nicholas Zubrisky z Trend Research, który poinformował o znalezieniu krytycznej luki w…

Czytaj dalej »

RediShell czyli krytyczna podatność w Redis

08 października 2025, 07:22 | W biegu | komentarze 2
RediShell czyli krytyczna podatność w Redis

Badacze z firmy Wiz znaleźli krytyczną podatność w popularnym i powszechnie stosowanym oprogramowaniu serwerowym Redis. Autorzy znaleziska nadali podatności CVE-2025-49844 nazwę RediShell i już sam fakt nazwania pozwala przypuszczać, że nie jest ona “typowa”, jak wiele innych, a jej skutki będą poważniejsze niż innych podatności. Błąd istniał w oprogramowaniu od 13 lat i otrzymał…

Czytaj dalej »

Aktualizujcie telewizory LG – podatność path traversal w popularnym systemie operacyjnym telewizorów

21 września 2025, 23:14 | W biegu | komentarze 3
Aktualizujcie telewizory LG – podatność path traversal w popularnym systemie operacyjnym telewizorów

Naszym ulubionym hasłem, dotyczącym IoT jest to, które mówi, że litera “s” w tym skrócie pochodzi od “security”. Niestety oprócz przydatnych funkcji umilających życie, “smart” urządzenia niosą za sobą większą powierzchnię ataku. A ponieważ użytkownik domowy nie zawsze pamięta o aktualizacjach komputera osobistego czy telefonu, to prawdopodobieństwo wgrania potrzebnych łatek…

Czytaj dalej »

Możliwość przejęcia dowolnego konta Flowise przez funkcję resetu hasła

19 września 2025, 02:58 | W biegu | 0 komentarzy
Możliwość przejęcia dowolnego konta Flowise przez funkcję resetu hasła

Flowise to otwartoźródłowa platforma do tworzenia aplikacji opartych na sztucznej inteligencji, takich jak chatboty czy systemy agentowe. Umożliwia tworzenie scenariuszy przez wizualny interfejs (drag & drop), bez konieczności pisania dużej ilości kodu. Dzięki wsparciu dla LLM-ów (Large Language Models), RAG (Retrieval Augmented Generation) i integracji z różnymi źródłami danych pozwala…

Czytaj dalej »

Ucieczka z kontenera Docker na Windowsie przy pomocy SSRF

02 września 2025, 07:27 | W biegu | 1 komentarz
Ucieczka z kontenera Docker na Windowsie przy pomocy SSRF

Znacie to uczucie, gdy weryfikujecie założenia projektowe czy wdrożone polityki i coś się nie zgadza? Tego właśnie doznał użytkownik Dockera, który przez złe doświadczenia z wirtualizacją, postanowił sprawdzić izolację sieciową w kontenerach. TLDR: Badacz przez przypadek odkrył problem, pozwalający na przejęcie kontroli nad hostem, w sytuacji gdy wykorzystywany jest Docker…

Czytaj dalej »

Aktywnie wykorzystywana krytyczna podatność w wirtualnej centrali FreePBX

01 września 2025, 00:19 | W biegu | 0 komentarzy
Aktywnie wykorzystywana krytyczna podatność w wirtualnej centrali FreePBX

Ataki na rozwiązania używane do świadczenia usług VoIP nie są niczym nowym. Wielokrotnie pisaliśmy też na łamach sekuraka na temat (nie)bezpieczeństwa wszelakich interfejsów webowych. Tym razem mamy połączenie jednego i drugiego. TLDR: – Wykryto krytyczną (CVSS 10.0) podatność w FreePBX, interfejsie webowym dla Asterisk – Podatność jest aktywnie wykorzystywana przez…

Czytaj dalej »

Krytyczna podatność w Chrome. Znalazł ją agent AI

29 sierpnia 2025, 13:35 | W biegu | 0 komentarzy
Krytyczna podatność w Chrome. Znalazł ją agent AI

Google wydało 26 sierpnia wydało aktualizację Chrome (wersja 139.0.7258.154/.155 dla Windowsa, macOS i Linuxa oraz 139.0.7258.158 dla Androida), w której załatano krytyczną podatność typu Use-After-Free w silniku graficznym ANGLE (CVE-2025-9478). TLDR: Use-After-Free (UAF) to podatność związana z nieprawidłowym wykorzystaniem pamięci dynamicznej podczas działania programu. Występuje wtedy, gdy po zwolnieniu miejsca…

Czytaj dalej »

Trywialna podatność w FortiWeb Fabric Connector pozwalająca na obejście uwierzytelniania – FortMajeure

21 sierpnia 2025, 01:09 | W biegu | 0 komentarzy
Trywialna podatność w FortiWeb Fabric Connector pozwalająca na obejście uwierzytelniania – FortMajeure

W tym tygodniu, na sekuraku, ogłaszamy tydzień fortinetowy. Przybliżamy już drugą podatność w oprogramowaniu tego producenta. Tym razem chodzi o FortMajeure (w wolnym tłumaczeniu: siła wyższa), która otrzymała identyfikator CVE-2025-52970. Wyceniona na 7.7 w skali CVSS, FortMajeure pozwala na obejście procesu uwierzytelniania. Atakujący jest w stanie uzyskać dostęp do panelu…

Czytaj dalej »

Konieczność aktualizacji Plex Media Server, ale podatność jeszcze nie ma numeru CVE

20 sierpnia 2025, 09:04 | W biegu | 0 komentarzy
Konieczność aktualizacji Plex Media Server, ale podatność jeszcze nie ma numeru CVE

Została wydana nowa wersja Plex Media Server czyli oprogramowania umożliwiającego samodzielne hostowanie i streamowanie multimediów. Aktualizacja jest istotna, a – jak donosi serwis BleepingComputer – użytkownicy określonych wersji otrzymali maile o konieczności aktualizacji wersji. Sytuacja jest dość nietypowa w świecie security, bo podatność – zgłoszona w programie bug bounty – nie otrzymała…

Czytaj dalej »

Kolejny problem Fortineta – podatne FortiSIEM pod ostrzałem

18 sierpnia 2025, 02:32 | W biegu | 0 komentarzy
Kolejny problem Fortineta – podatne FortiSIEM pod ostrzałem

Mamy wrażenie, że nie tylko nas zaczynają nużyć problemy produktów bezpieczeństwa, zwłaszcza od kilku firm… . Tym razem legendarny badacz SinSinology prezentuje krytyczną podatność (9.8 w skali CVSS w biuletynie bezpieczeństwa producenta) w produkcie dedykowanym dużym organizacjom – FortiSIEM. TLDR: Sprawa nie jest błaha, ponieważ jak informuje Fortinet luka ta…

Czytaj dalej »

Jak środowisko Cursor pozwalało na uruchomienie złośliwego kodu – CVE-2025-54136

13 sierpnia 2025, 00:20 | Aktualności | komentarze 2
Jak środowisko Cursor pozwalało na uruchomienie złośliwego kodu – CVE-2025-54136

Nie da się ukryć, że LLMy na stałe wpisały się w krajobraz naszej rzeczywistości. Dodatkowo, szczególną rolę, odgrywają w świecie IT, gdzie stają się nieodzownym elementem narzędzi, np. środowisk programistycznych. Generowanie kodu, podpowiadanie składni, przygotowanie dokumentacji czy także także dodatkowe funkcjonalności dostępne dzięki rozwiązaniu Model Context Protocol, o którym już…

Czytaj dalej »

Wiele podatności w HashiCorp Vault

11 sierpnia 2025, 13:10 | W biegu | 0 komentarzy
Wiele podatności w HashiCorp Vault

HashiCorp Vault to popularne, otwartoźródłowe narzędzie do zarządzania poufnymi danymi, takimi jak klucze API, certyfikaty, hasła czy tokeny. Z racji przechowywanych danych, Vault jest cennym celem dla włamywaczy – uzyskanie dostępu do Vault pozwala na dostęp do wszystkich usług, do których sekrety są w nim przechowywane. TLDR: Badacze z firmy Cyata…

Czytaj dalej »

Podatność w WinRAR dla Windows wykorzystywana w atakach

11 sierpnia 2025, 12:18 | Aktualności | komentarzy 8
Podatność w WinRAR dla Windows wykorzystywana w atakach

Badacze z firmy ESET informują, że podatność oznaczona symbolem CVE-2025-8088 jest aktywnie wykorzystywana przez powiązaną z Rosją grupę RomCom. Opisywana podatność została załatana w wersji WinRAR 7.13 i dotyczy wyłącznie systemów Windows. TLDR: Podatność wykorzystuje ADS systemu NTFS (ang. Alternate Data Streams, de facto Tomek Turba wskazywał ten problem na poprzednim Mega Sekurak Hacking…

Czytaj dalej »

Chińskie kamery z krytycznymi podatnościami – Dahua Hero C1 i inne

31 lipca 2025, 12:48 | W biegu | 0 komentarzy
Chińskie kamery z krytycznymi podatnościami – Dahua Hero C1 i inne

Rumuńska firma Bitdefender opublikowała broszurę, w której informuje o załatanych niedawno podatnościach odnalezionych w kamerach chińskiego producenta Dahua. Badacze zaznaczają, że podczas wewnętrznego audytu firmy wytwarzającej te kamery ujawniono dłuższą listę podatnych urządzeń. Użytkownicy modeli: oraz (wszystkie firmware wydane przed 16.04.2025) powinni jak najszybciej dokonać aktualizacji urządzeń.  Wykryte podatności to…

Czytaj dalej »