Tag: podatność

W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:…

W popularnym pakiecie Net-SNMP, służącym do monitorowania i zarządzania urządzeniami sieciowymi wykryto krytyczną lukę bezpieczeństwa typu stack based buffer overflow. Podatność została znaleziona przez badacza bezpieczeństwa buddurid oraz zgłoszona w ramach programu Trend Micro Zero Day Initiative (ZDI). TLDR: Dla osób spotykających się z tym programem po raz pierwszy krótkie wyjaśnienie….

Do wykorzystania podatności wystarczy udostępnienie usług MongoDB do Internetu (luka nie wymaga uwierzytelnienia). Atakujący wysyła skompresowane/złośliwe wiadomości – a przy dekompresji następuje czytanie fragmentów pamięci z serwera i wysłanie ich w odpowiedzi. Opublikowany został exploit / trwają próby masowego wykorzystania podatności. Dostępne są łatki od linii 4.x aż do najnowszej…

Open WebUI to otwartoźródłowa, samodzielnie hostowana platforma AI. Można korzystać z niej na własnym serwerze, ale również lokalnie na urządzeniu. Obsługuje różne interfejsy LLM, takie jak Ollama i API kompatybilne z OpenAI.  TLDR: W październiku 2025 badacz zgłosił podatność XSS występującą w aplikacji. 21 października została załatana, a 7 listopada…

Wielokrotnie podkreślaliśmy rolę pentestów w procesie utrzymania bezpieczeństwa organizacji. Wagę pentestów zdają się potwierdzać także doświadczenia badaczy z zespołu Catchify. TLDR: – Krytyczna podatność (10.0 w skali CVSS) w aplikacji UniFi Access odpowiadającej z kontrolę nad urządzeniami dostępu fizycznego. – Możliwe jest pełne przejęcie urządzeń z podatnym oprogramowaniem i kradzież…

Google informuje o wydaniu nowej wersji najpopularniejszej obecnie na świecie przeglądarki, czyli Google Chrome. Załatane zostały dwa błędy sklasyfikowane na poziomie wysokim, przy czym – jak informuje Google – jedna z podatności jest aktywnie wykorzystywana. Załatane podatności oznaczone zostały CVE-2025-13223 oraz CVE-2025-13224. Użytkownicy Chrome oraz Chromium powinni jak najszybciej zaktualizować przeglądarki do…

Najczęstsze, najgłośniejsze i najpopularniejsze podatności związane z generatywnym AI (a w szczególności z dużymi modelami językowymi) można podzielić ogólnie na dwie podgrupy (co oczywiście stanowi tylko wycinek powierzchni ataku). Pierwsze dotyczą tzw. bezpieczeństwa “miękkiego” i w skrócie polegają na atakowaniu modeli w taki sposób, aby “skłonić” je do pominięcia założonych…

W najnowszym biuletynie bezpieczeństwa, Google zaalarmował o wykryciu luki 0-click w systemie Android, pozwalającą na zdalne wykonanie kodu bez jakiegokolwiek działania ze strony użytkownika. Podatność występuje w komponencie System i została sklasyfikowana jako krytyczna ze względu na możliwość przejęcia pełnej kontroli nad urządzeniem. Jest szczególnie niebezpieczna, ponieważ dotyka aktualnych wersji…

Kestrel to domyślny i lekki serwer HTTP wykorzystywany przez aplikacje w technologii ASP.NET Core. Do jego zalet można zaliczyć między innymi wieloplatformowość i wydajność. Dokładając do tego fakt, że jest to rozwiązanie dostępne “z pudełka”, otrzymujemy bardzo popularną zależność (od angielskiego dependency). Duża popularność tego rozwiązania, powoduje że atakujący stosunkowo…

Nieznani atakujący uzyskali dostęp do danych Kansas City National Security Campus (KCNSC), czyli podmiotu podlegający Narodowej Administracji Bezpieczeństwa Jądrowego (NNSA). Powodem były podatności w Microsoft SharePoint, o których pisaliśmy już w lipcu. TLDR: Wyciek dotyczył zakładu produkującego zdecydowaną większość niejądrowych komponentów do amerykańskiej broni jądrowej w ramach NNSA, agencji Departamentu…

Jedną z fajniejszych, z punktu widzenia pentestera, podatności (chociaż trochę niedoceniana) jest podatność masowego przypisania (mass assignment). Dzięki niej, możliwa jest zmiana np. pól obiektu, które nie powinny zostać zmienione. Powstaje najczęściej w wyniku błędnego użycia funkcjonalności np. biblioteki, która pozwala zmapować parametry zapytania do wewnętrznej reprezentacji obiektu w aplikacji. …

Narzędzia oparte na dużych modelach językowych (LLM) potrafią często ułatwiać życie. Są w stanie sprawnie poruszać się po dużych zbiorach danych i szybko znajdować potrzebne informacje. Jest to więc dobry sposób na oszczędność czasu. Ale czy takie systemy mają same zalety? TLDR: – ShadowLeak to podatność zero-click w ChatGPT DeepResearch,…

W świecie usług są takie, które przewidziane są do publicznej ekspozycji oraz takie, które nie powinny być widoczne “ze świata”. Nie oznacza to jednak, że bezpieczeństwo tych drugich może umykać naszej uwadze. Na szczęście wiedział o tym badacz Nicholas Zubrisky z Trend Research, który poinformował o znalezieniu krytycznej luki w…

Badacze z firmy Wiz znaleźli krytyczną podatność w popularnym i powszechnie stosowanym oprogramowaniu serwerowym Redis. Autorzy znaleziska nadali podatności CVE-2025-49844 nazwę RediShell i już sam fakt nazwania pozwala przypuszczać, że nie jest ona “typowa”, jak wiele innych, a jej skutki będą poważniejsze niż innych podatności. Błąd istniał w oprogramowaniu od 13 lat i otrzymał…

Naszym ulubionym hasłem, dotyczącym IoT jest to, które mówi, że litera “s” w tym skrócie pochodzi od “security”. Niestety oprócz przydatnych funkcji umilających życie, “smart” urządzenia niosą za sobą większą powierzchnię ataku. A ponieważ użytkownik domowy nie zawsze pamięta o aktualizacjach komputera osobistego czy telefonu, to prawdopodobieństwo wgrania potrzebnych łatek…