Pakar cybersecurity wis nyebarake informasi babagan telung kerentanan skrip lintas situs (XSS) ing aplikasi open source populer sing bisa nyebabake eksekusi kode remot (RCE).
Serangan XSS primitif ngidini kode JavaScript aktor ancaman bisa dieksekusi ing browser web pangguna korban, sing mbukak lawang kanggo nyolong cookie, pangalihan menyang situs phishing, lan liya-liyane.
Cross-Site Scripting (XSS) minangka salah sawijining serangan sing paling nyebar ing aplikasi web. Yen aktor ancaman ngetrapake kode javascript ing output app, ora mung nyolong cookie, nanging uga kadhangkala nyebabake kompromi sistem.
Bug pisanan, Evolution CMS V3.1.8, ngidini peretas ngluncurake serangan XSS sing dibayangke ing macem-macem lokasi ing bagean administrasi. Aleksey Solovev nyatakake yen ana serangan sukses marang administrator sing sah ing sistem kasebut, file index.php bakal ditindih karo kode sing diselehake panyerang ing payload.
Kerentanan kapindho, sing ditemokake ing FUDForum v3.1.1, bisa ngidini peretas ngluncurake serangan XSS sing disimpen. Aleksey Solovev ujar manawa FUDforum minangka forum diskusi sing cepet banget lan bisa diukur. Bisa disesuaikan banget lan ndhukung anggota, forum, kiriman, topik, jajak pendapat, lan lampiran tanpa watesan.
Panel administrasi FUDforum duwe pangatur file sing ngidini sampeyan ngunggah file menyang server, kalebu file kanthi ekstensi PHP. Penyerang bisa nggunakake XSS sing diarsipake kanggo ngunggah file PHP sing bisa nglakokake perintah apa wae ing server.
Ing kerentanan paling anyar, Bitbucket v4.37.1, bug keamanan ditemokake sing bisa ngidini panyerang ngluncurake serangan XSS sing disimpen ing macem-macem lokasi. Aleksey Solovev nyatakake yen serangan XSS sing diarsipake bisa nyoba ngeksploitasi kanggo nglakokake kode ing server. Panel admin duwe alat kanggo mbukak pitakon SQL.
GitBucket nggunakake H2 Database Engine minangka standardefinita. Kanggo basis data iki, ana eksploitasi sing kasedhiya kanggo umum kanggo entuk eksekusi kode remot. Dadi, sing kudu ditindakake panyerang yaiku nggawe kode PoC adhedhasar eksploitasi iki, upload menyang repositori, lan gunakake sajrone serangan:
Tansah nganyari platform Open Source, langsung nginstal patch korektif.
Nyuwun saran, evaluasi, perkiraan babagan cara ngamanake sistem sampeyan.
Iki minangka proses dhasar kanggo ngukur tingkat keamanan perusahaan saiki.
Kanggo nindakake iki, perlu kanggo melu Tim Cyber disiapake kanthi nyukupi, bisa nganakake analisis negara ing ngendi perusahaan nemokake dhewe babagan keamanan IT.
Analisis bisa ditindakake kanthi sinkron, liwat wawancara sing ditindakake dening Tim Siber utawa
uga asinkron, kanthi ngisi kuesioner online.
Kita bisa mbantu, hubungi spesialis saka ilwebcreativo.iku nulis kanggo info@ilwebcreativo.iku utawa kanthi chatting ing whatsapp langsung nggunakake lambang ing sisih tengen ngisor.
Web peteng nuduhake isi World Wide Web ing darknets sing bisa digayuh liwat Internet liwat piranti lunak, konfigurasi lan akses tartamtu.
Kanthi Pemantauan Web Keamanan kita bisa nyegah lan ngemot serangan cyber, wiwit saka analisis domain perusahaan (contone: ilwebcreativo.it ) lan alamat e-mail individu.
Hubungi kita liwat vhatsapp, kita bisa nyiyapake rencana remediation kanggo isolasi ancaman, nyegah panyebaran lan defikita njupuk tindakan remediasi perlu. Layanan kasebut diwenehake 24/XNUMX saka Italia
CyberDrive minangka manajer file awan kanthi standar keamanan sing dhuwur amarga enkripsi bebas kabeh file. Pesthekake keamanan data perusahaan nalika nggarap awan lan nuduhake lan nyunting dokumen karo pangguna liyane. Yen sambungan ilang, ora ana data sing disimpen ing PC pangguna. CyberDrive nyegah file ilang amarga karusakan sing ora disengaja utawa exfiltrated kanggo nyolong, dadi fisik utawa digital.
Pusat data in-a-box sing paling cilik lan paling kuat sing nawakake daya komputasi lan perlindungan saka karusakan fisik lan logis. Dirancang kanggo manajemen data ing lingkungan pinggiran lan robo, lingkungan ritel, kantor profesional, kantor terpencil lan bisnis cilik ing ngendi papan, biaya lan konsumsi energi penting. Ora mbutuhake pusat data lan lemari rak. Bisa dipanggonke ing sembarang jinis lingkungan thanks kanggo impact estetika ing harmoni karo ruang kerja. «The Cube» nyedhiyakake teknologi piranti lunak perusahaan ing layanan bisnis cilik lan menengah.
Kanggo neliti masalah keamanan, kanggo ngatasi kerentanan, kanggo ngamanake sistem informasi sampeyan, tansah ngandelake spesialis ing sektor kasebut:
Ercole Palmeri: Inovasi ketagihan
Ngembangake katrampilan motorik sing apik liwat pewarnaan nyiapake bocah kanggo katrampilan sing luwih rumit kaya nulis. Kanggo mewarnai…
Sektor angkatan laut minangka kekuwatan ekonomi global sing sejatine, sing wis ngarahake pasar 150 milyar ...
Senin kepungkur, Financial Times ngumumake kesepakatan karo OpenAI. FT menehi lisensi jurnalisme kelas donya…
Mayuta-yuta wong mbayar layanan streaming, mbayar biaya langganan saben wulan. Umume pendapat yen sampeyan…
