March 2025 Vulnerability Report is out!
The latest Vulnerability Report is now available: https://www.vulnerability-lookup.org/2025/04/01/vulnerability-report-march-2025/
As always, this report is powered by Vulnerability-Lookup, aggregating data: User contributions – Comments and bundles created on the platform
Sightings data – Collected through our various sithing tools
A huge thank you to all contributors!
CrushFTP Security Vulnerability Under Attack After PoC Release https://gbhackers.com/crushftp-security-vulnerability/ #CVE/vulnerability #CyberSecurityNews #Vulnerability #cybersecurity
CISA Warns of Cisco Smart Licensing Utility Credential Flaw Exploited in Attacks https://gbhackers.com/cisa-warns-of-cisco-smart-licensing-utility-credential-flaw/ #CVE/vulnerability #CyberSecurityNews #Vulnerability #cybersecurity #Cisco
Minutes from the CVE Board teleconference meeting on March 5 are now available
https://cve.mitre.org/community/board/meeting_summaries/05_March_2025.pdf
#CVE #Vulnerability #VulnerabilityManagement #HSSEDI #CISA #Infosec #Cybersecurity
The “CVE and AI-related Vulnerabilities” blog series is documenting the journey the CVE Program is on determining how to address #CVE assignments for #vulnerabilities in an #AI-enabled world.
Read article #2 in the series here: https://medium.com/@cve_program/cve-id-assignment-and-cve-record-publication-for-ai-related-vulnerabilities-78a649bda815
Quite some #IngressNightmare #CVE-2025-1974 PoCs on GitHub now that look good at a cursory review:
https://github.com/hakaioffsec/IngressNightmare-PoC
https://github.com/yoshino-s/CVE-2025-1974/
https://github.com/Esonhugh/ingressNightmare-CVE-2025-1974-exps/
https://github.com/hi-unc1e/CVE-2025-1974-poc/
https://github.com/lufeirider/IngressNightmare-PoC
https://github.com/zwxxb/CVE-2025-1974
https://github.com/rjhaikal/POC-IngressNightmare-CVE-2025-1974
Quick note on exploits trying to use `nginx.ingress.kubernetes.io/server-snippet`: That annotation has been identified as an issue before and has been disabled to mitigate CVE-2021-25742.
Canon Printer Vulnerability Allows Attackers to Execute Arbitrary Code https://gbhackers.com/canon-printer-vulnerability/ #CVE/vulnerability #CyberSecurityNews #Vulnerability #cybersecurity
Mitel Alerts Users to Severe XSS Vulnerability in MiContact Center https://gbhackers.com/mitel-alerts-users-to-severe-xss-vulnerability/ #CVE/vulnerability #CyberSecurityNews #Vulnerability #cybersecurity
Multiple Dell Unity Vulnerabilities Allow Attackers to Compromise Systems https://gbhackers.com/multiple-dell-unity-vulnerabilities/ #CVE/vulnerability #CyberSecurityNews #Vulnerability #cybersecurity
New Ubuntu Linux Vulnerabilities Let Attackers Exploit Kernel Components https://gbhackers.com/new-ubuntu-linux-vulnerabilities/ #CVE/vulnerability #CyberSecurityNews #Vulnerability #cybersecurity #Linux
Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 3
Всех приветствую, читатели Хабра! Сегодня третья часть анализа защищенности веб-приложений Vulnhub. Ссылки на первую https://habr.com/ru/articles/894508/ и на вторую https://habr.com/ru/articles/895092/ части. Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях. Автор статьи не несет ответственности за ваши действия. Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял: УК РФ Статья 272. Неправомерный доступ к компьютерной информации УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Все атаки я проводил на локальный сервер, внутри моего сетевого интерфейса, на моем компьютере, то есть все действия легитимны. И как всегда просьба не переходить на личности в комментариях, если вы обнаружили ошибку недочет или неточность, просто без оскорблений напишите комментарий или напишите мне личным сообщением. В этой статье будет снова анализ защищенности веб-приложений на докер. Ссылка на доке-образы и описание как поднимать эти машины на докер. Рекомендую ознакомиться. Алгоритм атаки будет прежний, за исключением энумерации, в этих примерах ее не будет:
Vulnerabilidades críticas en Veeam Backup e IBM AIX https://blog.elhacker.net/2025/03/vulnerabilidades-criticas-en-veeam-backup.html #vulnerabilidad #veeam #cve
Vulnerabilidad crítica en Next.js https://blog.elhacker.net/2025/03/vulnerabilidad-critica-en-nextjs.html #vulnerabilidad #nextjs #cve
Security experts are warning that recent classification changes obscure the true scope of the NVD backlog as #CVE volume hits all-time highs. The NVD has conceded it cannot keep pace with the surge.
https://socket.dev/blog/nvd-backlog-crisis-deepens-amid-surging-cve-disclosures
GLPI ITSM Tool Flaw Allows Attackers to Inject Malicious SQL Queries https://gbhackers.com/glpi-itsm-tool-flaw/ #CVE/vulnerability #CyberSecurityNews #Vulnerability #cybersecurity
Tor Browser 13.5.14 Update Fixes Critical Security Flaw for Windows 7, 8, and 8.1 https://thecyberexpress.com/tor-browser-13-update/ #TheCyberExpressNews #TheCyberExpress #FirewallDaily #CVE-2025-2857 #TorBrowser13 #TorBrowser #TorProject #CyberNews #IPC
I wrote up some details on exploiting #IngressNightmare #CVE-2025-1974:
www.averlon.ai/blog/kuberne...
Where are we at with releasing a full PoC?