xss

Предложение ведомств призвано улучшить безопасность новых версий программ. CISA и ФБР призвали технологические компании пересмотреть свое программное обеспечение, чтобы предотвратить наличие XSS -уязвимостей в будущих релизах. Уязвимости межсайтового скриптинга остаются проблемой для...

Исследователи обнаружили более 20 слабых мест в платформах машинного обучения. Исследователи в области кибербезопасности предупреждают о значительных рисках, связанных с уязвимостями в цепочке поставок программного обеспечения для машинного обучения (ML). Так, в целом ряде MLOps-платформ...

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации. Специалисты компании Salt Security , занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают...

Действия Microsoft вынудили хакеров использовать системные файлы для атак на Windows. Специалисты DBAPPSecurity обнаружили, что северокорейская группировка Kimsuky использует в своих атаках MSC -файлы, чтобы избежать обнаружения и выполнить вредоносный код в целевой системе. MSC-файлы...

Отключение макросов в Office привело к очередной лазейке для незаметного взлома. Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной...

Кибербандиты массово внедряют бэкдоры в файлы плагинов и тем оформления. Исследователи в области кибербезопасности предупредили о том, что несколько серьёзных уязвимостей в плагинах WordPress активно используются злоумышленниками для создания поддельных учётных записей администраторов...

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками. GitLab выпустил обновления для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS -атаки...

CISA и ФБР призывают к срочным мерам по защите кода. CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути ( path traversal ) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически...

Как халатность властей КНР ставит под удар безопасность граждан. Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам. В ходе работы под названием SilkSecured...

Joomla играет в догонялки с хакерами, срочно исправляя уязвимости. В системе управления контентом Joomla были обнаружены пять уязвимостей, которые могут быть использованы для выполнения произвольного кода на уязвимых сайтах. Разработчики уже устранили данные проблемы безопасности...

Recorded Future раскрывает деятельность хакеров, отслеживающих политическую отрасль Европы. Специалисты Recorded Future раскрыли информацию о новой кибершпионской кампании группировки TA473, которая направлена на более чем 80 организаций, в основном расположенных в Грузии, Польше и Украине...

GPT-4 лучше и дешевле пентестеров в поиске уязвимостей. В новом исследовании ученых из Университета Иллинойса в Урбана-Шампейн (UIUC), было показано, что большие языковые модели (LLM) можно использовать для взлома веб-сайтов без участия человека. Исследование демонстрирует, что...

CISA бьет тревогу: федеральные структуры обязаны разобраться с проблемой до 4 марта. Эксперты предупреждают о критической уязвимости в почтовом сервере Roundcube, которая формально была исправлена еще в сентябре прошлого года, но все еще используется злоумышленниками для проведения атак...

Новые исправления уязвимостей направлены на защиту данных и предотвращению взлома. Компании Cisco , Fortinet и VMware выпустили обновления безопасности для устранения множества уязвимостей, включая критические недостатки, которые могут быть использованы для выполнения произвольных...

Использование SQL-инъекции и XSS стало главным оружием в руках злоумышленников. Хакерская группировка «ResumeLooters» совершила масштабную кражу личных данных более двух миллионов соискателей, взломав 65 законных сайтов по поиску работы и розничных интернет-магазинов с помощью атак SQL...

Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами. Разработчик популярного открытого ПО для автоматизации CI/CD-процессов (Continuous Integration/Continuous Delivery) Jenkins исправил 9 уязвимостей в системе безопасности, включая одну...

Обход авторизации и межсайтовый скриптинг ставят под угрозу конфиденциальность данных. В популярном плагине POST SMTP для WordPress , используемом более чем на 300 000 веб-сайтах были обнаружены две серьёзные уязвимости. Эти недостатки могут позволить злоумышленникам получить полный контроль...

Интересны акки до 2018 года регистрации xss, wwh, probiv! Без репутации! Предложения скидывайте в тг @wirkingo

Программное обеспечение для защиты сетей внезапно само стало источником проблем с безопасностью. 1450 доступных из Интернета экземпляров pfSense подвержены атакам внедрения команд ( Command Injection ) и межсайтовому скриптингу ( XSS ). Эти уязвимости, при их сочетании, могут позволить...

Исправленная ошибка использовала посетителей сайта как индикатор активации скрипта. Плагин Accelerated Mobile Pages ( AMP ) для WordPress , используемый более чем на 100 000 сайтах, недавно исправил уязвимость , позволявшую злоумышленнику внедрять вредоносные скрипты, которые активировались...

Zero-day в популярном почтовом клиенте обернулся потерей данных для тысяч пользователей. В почтовом программном обеспечении Zimbra обнаружена zero-day уязвимость, которую эксплуатировали четыре разные группы хакеров для кражи данных электронной почты, пользовательских учётных данных и...

Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс. В продукте Битрикс24 , популярном облачном решении для автоматизации бизнес-процессов и взаимодействия с клиентами, недавно были обнаружены сразу 8 критических уязвимостей, способные привести к целому спектру...

От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь. Киберпреступники под псевдонимом Winter Vivern были замечены в эксплуатации уязвимости нулевого дня в программном обеспечении для обмена почтой Roundcube Webmail . Атаки были впервые зафиксированы...

Даже премиальные темы порой могут принести владельцам сайтов неприятные сюрпризы. Продолжающаяся операция по внедрению вредоносного кода Balada Injector привела к заражению более 17 000 сайтов на WordPress , эксплуатируя известные уязвимости в платных плагинах с темами оформления...

Злоумышленники благодарят Supermicro за новые уязвимости в BMC-контроллерах. Исследователи из ИБ-компании Binarly обнаружили 7 уязвимостей в контроллерах управления основной платой (Baseboard Management Controller, BMC ) от компании Supermicro, которые могут создать опасные последствия...