Stručnjaci za kibernetičku sigurnost distribuirali su informacije o tri ranjivosti skriptiranja na više lokacija (XSS) u popularnim aplikacijama otvorenog koda koje mogu uzrokovati daljinsko izvršavanje koda (RCE).
Primitivni XSS napad omogućava izvršavanje JavaScript koda aktera prijetnje u web pretraživaču korisnika žrtve, što otvara vrata krađi kolačića, preusmjerava na phishing stranicu i još mnogo toga.
Cross-Site Scripting (XSS) je jedan od najrasprostranjenijih napada u web aplikacijama. Ako akter prijetnje implementira javascript kod u izlaz aplikacije, to ne samo da krade kolačiće, već ponekad dovodi i do potpunog kompromitiranja sistema.
Prva greška, Evolution CMS V3.1.8, omogućava hakeru da pokrene reflektirani XSS napad na različitim lokacijama u administrativnom dijelu. Aleksej Solovjev navodi da će u slučaju uspešnog napada na ovlašćenog administratora u sistemu, datoteka index.php biti prepisana kodom koji je napadač postavio u korisnom učitavanju.
Druga ranjivost, otkrivena u FUDForum v3.1.1, mogla bi dozvoliti hakeru da pokrene pohranjeni XSS napad. Aleksey Solovev kaže da je FUDforum super brz i skalabilan forum za diskusiju. Vrlo je prilagodljiv i podržava neograničeno članstvo, forume, postove, teme, ankete i priloge.
Administrativni panel FUDforuma ima menadžer datoteka koji vam omogućava da otpremate datoteke na server, uključujući datoteke sa PHP ekstenzijom. Napadač bi mogao koristiti arhivirani XSS za upload PHP datoteke koja može izvršiti bilo koju komandu na serveru.
U najnovijoj ranjivosti, Bitbucket v4.37.1, pronađena je sigurnosna greška koja bi mogla omogućiti napadaču da pokrene XSS napad pohranjen na različitim lokacijama. Aleksey Solovev navodi da arhivirani XSS napad može pokušati da ga iskoristi za izvršavanje koda na serveru. Administrativni panel ima alate za pokretanje SQL upita.
GitBucket podrazumevano koristi H2 Database Enginedefinita. Za ovu bazu podataka postoji javno dostupna eksploatacija za postizanje daljinskog izvršavanja koda. Dakle, sve što napadač treba da uradi je da kreira PoC kod zasnovan na ovom eksploataciji, otpremi ga u spremište i koristi ga tokom napada:
Uvijek ažurirajte platformu otvorenog koda, odmah instalirajte sve korektivne zakrpe.
Zatražite savjet, procjenu, procjenu kako da osigurate svoj sistem.
To je osnovni proces za mjerenje trenutnog nivoa sigurnosti vaše kompanije.
Za to je potrebno uključiti adekvatno pripremljen Cyber tim, sposoban da izvrši analizu stanja u kojem se kompanija nalazi u pogledu IT sigurnosti.
Analiza se može izvršiti sinhrono, kroz intervju koji vodi Cyber tim ili
također asinhroni, popunjavanjem upitnika na mreži.
Možemo vam pomoći, kontaktirajte stručnjake ilwebcreativo.it piše na info@ilwebcreativo.it ili četovanjem na WhatsApp-u direktno koristeći ikonu u donjem desnom uglu.
Dark web se odnosi na sadržaje World Wide Weba u mračnim mrežama do kojih se može doći putem Interneta putem određenog softvera, konfiguracija i pristupa.
Sa našim Security Web Monitoringom u mogućnosti smo spriječiti i obuzdati cyber napade, počevši od analize domena kompanije (npr. ilwebcreativo.it ) i pojedinačne e-mail adrese.
Kontaktirajte nas putem vhatsappa, možemo pripremiti plan sanacije kako bismo izolirali prijetnju, spriječili njeno širenje i defipoduzimamo potrebne radnje sanacije. Usluga se pruža 24/XNUMX iz Italije
CyberDrive je upravitelj datoteka u oblaku s visokim sigurnosnim standardima zahvaljujući nezavisnoj enkripciji svih datoteka. Osigurajte sigurnost korporativnih podataka dok radite u oblaku i dijelite i uređujete dokumente sa drugim korisnicima. Ako se veza izgubi, podaci se ne pohranjuju na korisnikov PC. CyberDrive sprječava gubitak datoteka zbog slučajnog oštećenja ili eksfiltriranje radi krađe, bilo da su fizičke ili digitalne.
Najmanji i najmoćniji datacentar u kutiji koji nudi računarsku snagu i zaštitu od fizičkih i logičkih oštećenja. Dizajniran za upravljanje podacima u rubnim i robo okruženjima, maloprodajnim okruženjima, profesionalnim kancelarijama, udaljenim kancelarijama i malim preduzećima gde su prostor, troškovi i potrošnja energije od suštinskog značaja. Ne zahtijevaju podatkovne centre i rack ormare. Može se postaviti u bilo koju vrstu okruženja zahvaljujući udarnoj estetici u skladu sa radnim prostorom. «The Cube» stavlja softversku tehnologiju za preduzeća u službu malih i srednjih preduzeća.
Da biste istražili sigurnosne probleme, riješili ranjivosti, osigurali svoj informacioni sistem, uvijek se oslonite na stručnjake u sektoru:
Ercole Palmeri: Ovisnik o inovacijama
UK CMA izdao je upozorenje o ponašanju Big Tech-a na tržištu umjetne inteligencije. Tamo…
Uredba o „zelenim kućama“, koju je formulisala Evropska unija za poboljšanje energetske efikasnosti zgrada, završila je svoj zakonodavni proces sa…
Predstavljen godišnji izvještaj Casaleggio Associati o e-trgovini u Italiji. Izvještaj pod nazivom “AI-Commerce: granice e-trgovine s umjetnom inteligencijom”.…
Rezultat stalnih tehnoloških inovacija i posvećenosti životnoj sredini i dobrobiti ljudi. Bandalux predstavlja Airpure®, šator…