Login

Recent searches

No recent searches

Search options

Only available when logged in.
fosstodon.org is one of the many independent Mastodon servers you can use to participate in the fediverse.
Fosstodon is an invite only Mastodon instance that is open to those who are interested in technology; particularly free & open source software. If you wish to join, contact us for an invite.

Administered by:

Server stats:

10K
active users

fosstodon.org: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.6

#podatnosc

2 posts2 participants0 posts today
Public
sekurak News

Google łata błąd w Chrome dla Windows wykorzystywany w kampanii ForumTroll

Jeśli czytasz ten artykuł w przeglądarce Chrome na systemie Windows, to przerwij czytanie, upewnij się, że posiadasz najnowszą wersję przeglądarki i wróć do lektury. TLDR: Google wydało nową wersję przeglądarki Chrome dla Windows, oznaczoną 134.0.6998.177/.178. Załatana została tylko jedna podatność bezpieczeństwa, pozwalająca na ominięcie sandboksa, czyli mechanizmu ograniczającego skutki zdalnego wykonania kodu, oznaczona...

#WBiegu #Chrome #Kaspersky #Podatność #Windows

sekurak.pl/google-lata-blad-w-

Sekurak · Google łata błąd w Chrome dla Windows wykorzystywany w kampanii ForumTrollJeśli czytasz ten artykuł w przeglądarce Chrome na systemie Windows, to przerwij czytanie, upewnij się, że posiadasz najnowszą wersję przeglądarki i wróć do lektury. TLDR: Google wydało nową wersję przeglądarki Chrome dla Windows, oznaczoną 134.0.6998.177/.178. Załatana została tylko jedna podatność bezpieczeństwa, pozwalająca na ominięcie sandboksa, czyli mechanizmu ograniczającego skutki zdalnego wykonania kodu, oznaczona...
Public
sekurak News

Kiedy podatność przypomina backdoora – Next.js CVE-2025-29927 i obejście logiki middleware

Krytyczna podatność (CVSS3.1 na poziomie 9.1) we frameworku JS ściąganym niemal 10 milionów razy w tygodniu, która pozwala na obejście uwierzytelniania? Brzmi jak idealna piątkowa publikacja. Tak też się stało 21.03.2025, kiedy światło dzienne ujrzała podatność zgłoszona niemal miesiąc wcześniej przez dwóch badaczy – @zhero___ oraz @inzo___. Przyjrzeli się oni...

#WBiegu #Exploit #Js #Middleware #Podatność #Websec

sekurak.pl/kiedy-podatnosc-prz

Sekurak · Kiedy podatność przypomina backdoora - Next.js CVE-2025-29927 i obejście logiki middlewareKrytyczna podatność (CVSS3.1 na poziomie 9.1) we frameworku JS ściąganym niemal 10 milionów razy w tygodniu, która pozwala na obejście uwierzytelniania? Brzmi jak idealna piątkowa publikacja. Tak też się stało 21.03.2025, kiedy światło dzienne ujrzała podatność zgłoszona niemal miesiąc wcześniej przez dwóch badaczy – @zhero___ oraz @inzo___. Przyjrzeli się oni...
Public
sekurak News

mySCADA myPRO Manager – trywialne podatności w oprogramowaniu nadzorującym automatykę przemysłową

Internet Rzeczy jest często wyśmiewany przez nas na łamach sekuraka za niską jakość kodu, brak świadomości producentów oraz brak wsparcia produktów. Dodając do tego kuriozalne stosy technologiczne (jak kontrola łóżka przez chmurę), otrzymujemy katastrofę. TLDR: W ciemnym tunelu widać światło, jednak przed badaczami długa droga do poprawy bezpieczeństwa tego typu...

#WBiegu #Automatyka #Myscada #Podatność #Scada

sekurak.pl/myscada-mypro-manag

Sekurak · mySCADA myPRO Manager - trywialne podatności w oprogramowaniu nadzorującym automatykę przemysłowąInternet Rzeczy jest często wyśmiewany przez nas na łamach sekuraka za niską jakość kodu, brak świadomości producentów oraz brak wsparcia produktów. Dodając do tego kuriozalne stosy technologiczne (jak kontrola łóżka przez chmurę), otrzymujemy katastrofę. TLDR: W ciemnym tunelu widać światło, jednak przed badaczami długa droga do poprawy bezpieczeństwa tego typu...
Public
sekurak News

A czy Ty wpiąłeś już swoje łóżko w oddzielnego VLANa?

Urządzenia Internetu Rzeczy, z jakiegoś powodu nazywane “smart” zaczynają już denerwować ludzi zajmujących się bezpieczeństwem (w tym nas). Nie bez powodu powstało powiedzenie, że literka “S” w skrócie IoT pochodzi od “Security”. O niskiej jakości zabezpieczeń zabawek dla dzieci pisaliśmy już jakiś czas temu, ale to tylko kropla w morzu...

#WBiegu #Aws #Cloud #Iot #Łóżko #Podatność

sekurak.pl/a-czy-ty-wpiales-ju

Sekurak · A czy Ty wpiąłeś już swoje łóżko w oddzielnego VLANa?Urządzenia Internetu Rzeczy, z jakiegoś powodu nazywane “smart” zaczynają już denerwować ludzi zajmujących się bezpieczeństwem (w tym nas). Nie bez powodu powstało powiedzenie, że literka “S” w skrócie IoT pochodzi od “Security”. O niskiej jakości zabezpieczeń zabawek dla dzieci pisaliśmy już jakiś czas temu, ale to tylko kropla w morzu...
Public
sekurak News

Można było w GitLabie zmienić hasło dowolnemu użytkownikowi, znając tylko jego e-maila. Za zgłoszenie podatności wypłacono $35000

Jeden obraz warty jest w tym przypadku $35000. Oto ten „obraz”: Część z Was już zapewne widzi o co tutaj chodziło…: Podatność została załatana, a zgłaszający otrzymał $35000 w ramach wynagrodzenia bug bounty. PSJeśli chciałbyś nauczyć się szukać między innymi takich podatności (oraz unikać ich w swoich projektach), to zapraszamy...

#WBiegu #Gitlab #Hasło #Podatność #Websec

sekurak.pl/mozna-bylo-w-gitlab

Sekurak · Można było w GitLabie zmienić hasło dowolnemu użytkownikowi, znając tylko jego e-maila. Za zgłoszenie podatności wypłacono $35000Jeden obraz warty jest w tym przypadku $35000. Oto ten „obraz”: Część z Was już zapewne widzi o co tutaj chodziło…: Podatność została załatana, a zgłaszający otrzymał $35000 w ramach wynagrodzenia bug bounty. PSJeśli chciałbyś nauczyć się szukać między innymi takich podatności (oraz unikać ich w swoich projektach), to zapraszamy...
Public
sekurak News

Citrix wypuszcza łatki na eskalację uprawnień w Citrix NetScaler Console

Wiadomość skierowana do administratorów rozwiązań z rodziny NetScaler. Citrix właśnie opublikował advisory dotyczące poważnej podatności dotykających dwóch produktów – NetScaler Console (wersje 13.1 przed 13.1-38.53) oraz NetScaler Agent (wersje 13.1 przed 13.1-56.18). W skrócie; NetScaler Console to webowa konsola służąca do zarządzania produktami NetScaler, a NetScaler Agent to komponent, który działa...

#WBiegu #Citrix #Netscaler #Podatność

sekurak.pl/citrix-wypuszcza-la

Sekurak · Citrix wypuszcza łatki na eskalację uprawnień w Citrix NetScaler ConsoleWiadomość skierowana do administratorów rozwiązań z rodziny NetScaler. Citrix właśnie opublikował advisory dotyczące poważnej podatności dotykających dwóch produktów – NetScaler Console (wersje 13.1 przed 13.1-38.53) oraz NetScaler Agent (wersje 13.1 przed 13.1-56.18). W skrócie; NetScaler Console to webowa konsola służąca do zarządzania produktami NetScaler, a NetScaler Agent to komponent, który działa...
Public
sekurak News

Podatności MITM i DoS w kliencie OpenSSH

OpenSSH to jedno z tych narzędzi, bez którego życie administratorów i pentesterów byłoby ciężkie. Stanowi jeden z kluczowych elementów bezpiecznej konfiguracji hostów, oferując nie tylko szyfrowane połączenie ze zdalnym systemem, ale także pozwalając na skorzystanie z bardziej zaawansowanych funkcji jak forwardowanie portów czy X-ów (środowiska graficznego). Dlatego każda podatność wzbudza...

#WBiegu #DoS #Mitm #Openssh #Podatność #Ssh

sekurak.pl/podatnosci-mitm-i-d

Sekurak · Podatności MITM i DoS w kliencie OpenSSHOpenSSH to jedno z tych narzędzi, bez którego życie administratorów i pentesterów byłoby ciężkie. Stanowi jeden z kluczowych elementów bezpiecznej konfiguracji hostów, oferując nie tylko szyfrowane połączenie ze zdalnym systemem, ale także pozwalając na skorzystanie z bardziej zaawansowanych funkcji jak forwardowanie portów czy X-ów (środowiska graficznego). Dlatego każda podatność wzbudza...
Public
sekurak News

Jak literówka w pakiecie Go przetrwała trzy lata… w tle atak na łańcuch dostaw

Badacze Socket.dev zaprezentowali odkryty atak na łańcuch dostaw celujący w projekty napisane w Golangu. Atak wykorzystywał literówkę (tzw. typosquatting) w znanej bibliotece BoltDB, obsługującej bazę danych typu klucz-wartość. Oryginalny projekt został zarchiwizowany jakiś czas temu i nie jest już rozwijany. Atakujący sklonowali repozytorium, nadali mu bardzo zbliżoną nazwę i dodali...

#WBiegu #Go #ŁańcuchDostaw #Podatność #Supplychain

sekurak.pl/jak-literowka-w-pak

Sekurak · Jak literówka w pakiecie Go przetrwała trzy lata… w tle atak na łańcuch dostawBadacze Socket.dev zaprezentowali odkryty atak na łańcuch dostaw celujący w projekty napisane w Golangu. Atak wykorzystywał literówkę (tzw. typosquatting) w znanej bibliotece BoltDB, obsługującej bazę danych typu klucz-wartość. Oryginalny projekt został zarchiwizowany jakiś czas temu i nie jest już rozwijany. Atakujący sklonowali repozytorium, nadali mu bardzo zbliżoną nazwę i dodali...
Public
sekurak News

Uwaga na zdalne wykonanie kodu w pakiecie WinZip – pora na aktualizację

W popularnym na platformie Windows programie WinZip, w ramach Zero Day Initiative zgłoszona została podatność oznaczona symbolem CVE-2025-1240 i poziomie krytyczności 7,8. Występuje ona podczas przetwarzania archiwów 7Z i może prowadzić do wykonania kodu w kontekście użytkownika WinZipa. TLDR: Co prawda do wykorzystania podatności konieczna jest interakcja użytkownika, polegająca na...

#WBiegu #Cve #Podatność #Windows #Winzip

sekurak.pl/uwaga-na-zdalne-wyk

Sekurak · Uwaga na zdalne wykonanie kodu w pakiecie WinZip - pora na aktualizacjęW popularnym na platformie Windows programie WinZip, w ramach Zero Day Initiative zgłoszona została podatność oznaczona symbolem CVE-2025-1240 i poziomie krytyczności 7,8. Występuje ona podczas przetwarzania archiwów 7Z i może prowadzić do wykonania kodu w kontekście użytkownika WinZipa. TLDR: Co prawda do wykorzystania podatności konieczna jest interakcja użytkownika, polegająca na...
Public
sekurak News

Baza danych chińskiego LLM DeepSeek wystawiona do sieci, a w niej historia chatów

DeepSeek – to nazwa chińskiego startupu, który podniósł i odrzucił rękawicę rzuconą między innymi przez OpenAI w zakresie użyteczności modeli LLM. W ostatnich dniach, jest odmieniana w mediach przez wszystkie przypadki. Jednak w tym wyścigu technologicznym, pośpiech nigdy nie będzie dobrym doradcą. Firma Wiz opublikowała niepokojący wpis informujący o znalezieniu...

#WBiegu #Ai #Bazadanych #Deepseek #Llm #Podatność

sekurak.pl/baza-danych-chinski

Sekurak · Baza danych chińskiego LLM DeepSeek wystawiona do sieci, a w niej historia chatówDeepSeek – to nazwa chińskiego startupu, który podniósł i odrzucił rękawicę rzuconą między innymi przez OpenAI w zakresie użyteczności modeli LLM. W ostatnich dniach, jest odmieniana w mediach przez wszystkie przypadki. Jednak w tym wyścigu technologicznym, pośpiech nigdy nie będzie dobrym doradcą. Firma Wiz opublikowała niepokojący wpis informujący o znalezieniu...
Public
sekurak News

clone2leak, czyli jak drobne szczegóły powodują wyciekanie poświadczeń

Git to bezdyskusyjnie jeden z najpopularniejszych systemów zarządzania wersjami. Zaadoptowany przez wiele organizacji (np. GitHuba) doczekał się wsparcia w postaci różnych narzędzi, takich jak GitHub Desktop czy Git LFS. To z kolei pociągnęło za sobą konieczność współdzielenia poświadczeń użytkownika. Niestety nie wszystkie sprawdzenia dokonywane były z należytą starannością i badacz...

#WBiegu #Git #Gitcls #Gitdesktop #Gitlfs #Injection #Newline #Podatność

sekurak.pl/clone2leak-czyli-ja

Sekurak · clone2leak, czyli jak drobne szczegóły powodują wyciekanie poświadczeńGit to bezdyskusyjnie jeden z najpopularniejszych systemów zarządzania wersjami. Zaadoptowany przez wiele organizacji (np. GitHuba) doczekał się wsparcia w postaci różnych narzędzi, takich jak GitHub Desktop czy Git LFS. To z kolei pociągnęło za sobą konieczność współdzielenia poświadczeń użytkownika. Niestety nie wszystkie sprawdzenia dokonywane były z należytą starannością i badacz...
Public
sekurak News

Jak przy włączonym 2FA można się zalogować na dowolnego użytkownika i to bez znajomości jego hasła!? (podatność w popularnym pluginie do WordPressa).

„Really Simple Security – Simple and Performant Security” to dość popularny plugin do WordPressa (~4000000 instalacji). Jak można się domyśleć, służy on do dodatkowego zabezpieczenia instalacji WordPressa…. Przechodząc do szczegółów – podatność CVE-2024-10924 występuje w API REST pluginu (można ją wykorzystać kiedy 2FA zostało aktywowane w pluginie; „na szczęście” jest...

#WBiegu #Podatność #Websec #Wordpress

sekurak.pl/jak-przy-wlaczonym-

Sekurak · Jak przy włączonym 2FA można się zalogować na dowolnego użytkownika i to bez znajomości jego hasła!? (podatność w popularnym pluginie do Wordpressa).„Really Simple Security – Simple and Performant Security” to dość popularny plugin do WordPressa (~4000000 instalacji). Jak można się domyśleć, służy on do dodatkowego zabezpieczenia instalacji WordPressa…. Przechodząc do szczegółów – podatność CVE-2024-10924 występuje w API REST pluginu (można ją wykorzystać kiedy 2FA zostało aktywowane w pluginie; „na szczęście” jest...
Public
sekurak News

Xerox wydaje łatki dla podatności, które pozwalały wykonywać uwierzytelniony atak RCE

Drukarki to niechlubne bohaterki niejednej z biurowych opowieści. Nie wszyscy administratorzy jednak zauważają, że ich znaczenie bywa krytyczne dla bezpieczeństwa organizacji. Zwłaszcza gdy wykorzystywane są do drukowania poufnych dokumentów. Brak należytej troski o bezpieczne wydzielenie drukarek w sieci może doprowadzić do poważnego incydentu. Wiąże się to z faktem, że są...

#WBiegu #Cve #Drukarka #Iot #Podatność #Rce #Security

sekurak.pl/xerox-wydaje-latki-

Sekurak · Xerox wydaje łatki dla podatności, które pozwalały wykonywać uwierzytelniony atak RCEDrukarki to niechlubne bohaterki niejednej z biurowych opowieści. Nie wszyscy administratorzy jednak zauważają, że ich znaczenie bywa krytyczne dla bezpieczeństwa organizacji. Zwłaszcza gdy wykorzystywane są do drukowania poufnych dokumentów. Brak należytej troski o bezpieczne wydzielenie drukarek w sieci może doprowadzić do poważnego incydentu. Wiąże się to z faktem, że są...
Public
sekurak News

Poważna luka w Kubernetes Image Builder – pozwala na nieautoryzowany dostęp po SSH do maszyn wirtualnych

Kubernetes to bardzo rozbudowane oprogramowanie do zarządzania i skalowania skonteneryzowanego środowiska. Szeroka funkcjonalność oferowana jest przez wiele modułów, a jednym z nich jest Image Builder, który pozwala na tworzenie obrazów maszyn wirtualnych, które następnie uruchamiane są np. za pomocą Proxmox czy QEMU. Na etapie tworzenia obrazu maszyny wirtualnej wykorzystywane są...

#WBiegu #Kubernetes #Podatność #Proxmox #Ssh

sekurak.pl/powazna-luka-w-kube

Sekurak · Poważna luka w Kubernetes Image Builder - pozwala na nieautoryzowany dostęp po SSH do maszyn wirtualnychKubernetes to bardzo rozbudowane oprogramowanie do zarządzania i skalowania skonteneryzowanego środowiska. Szeroka funkcjonalność oferowana jest przez wiele modułów, a jednym z nich jest Image Builder, który pozwala na tworzenie obrazów maszyn wirtualnych, które następnie uruchamiane są np. za pomocą Proxmox czy QEMU. Na etapie tworzenia obrazu maszyny wirtualnej wykorzystywane są...
Public
sekurak News

Podatność Path traversal w Splunk Enterprise na Windows

W oprogramowaniu Splunk Enterprise działającym na systemach Windows ujawniona została niedawno podatność typu path traversal, pozwalająca atakującemu na nieuprawniony dostęp do plików na podatnym systemie. Błąd może wykorzystać zdalnie nieuwierzytelniony atakujący i sprowadza się do wysłania pojedynczego żądania HTTP GET. Do wykorzystania może dojść w ścieżce /modules/messaging/ na instancjach Splunk z włączonym modułem...

#WBiegu #Cve #PathTraversal #Podatność #Python #Splunk #Websecurity

sekurak.pl/podatnosc-path-trav

Sekurak · Podatność Path traversal w Splunk Enterprise na WindowsW oprogramowaniu Splunk Enterprise działającym na systemach Windows ujawniona została niedawno podatność typu path traversal, pozwalająca atakującemu na nieuprawniony dostęp do plików na podatnym systemie. Błąd może wykorzystać zdalnie nieuwierzytelniony atakujący i sprowadza się do wysłania pojedynczego żądania HTTP GET. Do wykorzystania może dojść w ścieżce /modules/messaging/ na instancjach Splunk z włączonym modułem...
Public
sekurak News

Krytyczne podatności pozwalają na zbackdoorowanie urządzeń F5

Na blogu eclypsium.com opublikowano wpis, który opisuje niedawno załatane podatności oznaczone jako CVE-2024-21793 oraz CVE-2024-26026 dotyczące produktów BIG-IP Next firmy F5. Od początku roku obserwujemy wysyp ciekawych podatności na urządzenia sieciowe między innymi Fortinetu czy Ivanti. Nic dziwnego, ich kontrola zapewnia atakującym całkiem ciekawe możliwości.  Odkryte podatności zostały znalezione w...

#WBiegu #Backdroor #Exploit #F5 #Podatność

sekurak.pl/krytyczne-podatnosc

Sekurak · Krytyczne podatności pozwalają na zbackdoorowanie urządzeń F5Na blogu eclypsium.com opublikowano wpis, który opisuje niedawno załatane podatności oznaczone jako CVE-2024-21793 oraz CVE-2024-26026 dotyczące produktów BIG-IP Next firmy F5. Od początku roku obserwujemy wysyp ciekawych podatności na urządzenia sieciowe między innymi Fortinetu czy Ivanti. Nic dziwnego, ich kontrola zapewnia atakującym całkiem ciekawe możliwości.  Odkryte podatności zostały znalezione w...
Public
sekurak News

Wykradanie medycznych danych przy pomocy Azure Health Bot

Piątkowy wieczór to ulubiony czas administratorów oraz badaczy bezpieczeństwa. Zgłoszenia w tym czasie są chyba najbardziej frustrujące a z drugiej strony, początek weekendu to ulubiony czas hackerów na zabawę w bug bounty. Tym razem użytkownik portalu Twitter/X @Yanir_, opublikował krótki wpis oraz post na blogu w którym opisuje jak był...

#WBiegu #Llm #Microsoft #Podatność #Rce #Websec

sekurak.pl/wykradanie-medyczny

Sekurak · Wykradanie medycznych danych przy pomocy Azure Health BotPiątkowy wieczór to ulubiony czas administratorów oraz badaczy bezpieczeństwa. Zgłoszenia w tym czasie są chyba najbardziej frustrujące a z drugiej strony, początek weekendu to ulubiony czas hackerów na zabawę w bug bounty. Tym razem użytkownik portalu Twitter/X @Yanir_, opublikował krótki wpis oraz post na blogu w którym opisuje jak był...
Public
sekurak News

Można było czytać zmienne środowiskowe i wykonać kod na serwerach Githuba

Każdy zespół bezpieczeństwa lubi otrzymać zgłoszenie podatności w piątek po 17. Tym razem autor znaleziska (@Creastery) opisuje szczegóły podatności, którą odnalazł w okolicach Świąt Bożego Narodzenia 2023, odrywając zespół reagowania na incydenty od makowca. Użytkownicy GitHuba mogli trafić na ogłoszenie, w którym informowano że sekrety, takie jak klucze API itd....

#WBiegu #Deserializacja #Github #Podatność #Rce #Rubyonrails

sekurak.pl/mozna-bylo-czytac-z

Sekurak · Można było czytać zmienne środowiskowe i wykonać kod na serwerach GithubaKażdy zespół bezpieczeństwa lubi otrzymać zgłoszenie podatności w piątek po 17. Tym razem autor znaleziska (@Creastery) opisuje szczegóły podatności, którą odnalazł w okolicach Świąt Bożego Narodzenia 2023, odrywając zespół reagowania na incydenty od makowca. Użytkownicy GitHuba mogli trafić na ogłoszenie, w którym informowano że sekrety, takie jak klucze API itd....
Public
sekurak News

“Krytyczna” podatność w bibliotekach standardowych wielu języków – w tym Rusta

Nie ma dziś chyba programisty, który nie słyszał o projekcie Mozilla Foundation, języku programowania Rust, który zdobywa serca kolejnych developerów. Język ten dorobił się sporej grupy fanów, a dzięki cechom takim jak memory safety oraz type safety trafił do kernela systemu Linuks. Cechy te utrudniają programistom pisanie kodu, który mógłby...

#WBiegu #Podatność #Rust

sekurak.pl/krytyczna-podatnosc

Sekurak · “Krytyczna” podatność w bibliotekach standardowych wielu języków - w tym RustaNie ma dziś chyba programisty, który nie słyszał o projekcie Mozilla Foundation, języku programowania Rust, który zdobywa serca kolejnych developerów. Język ten dorobił się sporej grupy fanów, a dzięki cechom takim jak memory safety oraz type safety trafił do kernela systemu Linuks. Cechy te utrudniają programistom pisanie kodu, który mógłby...
ExploreLive feeds
About