Odborníci na kybernetickú bezpečnosť distribuovali informácie o troch zraniteľných miestach skriptovania medzi stránkami (XSS) v populárnych aplikáciách s otvoreným zdrojovým kódom, ktoré môžu spôsobiť vzdialené spustenie kódu (RCE).
Primitívny útok XSS umožňuje spustenie kódu JavaScript aktéra hrozby vo webovom prehliadači používateľa obete, čo otvára dvere krádeži súborov cookie, presmerovanie na phishingovú stránku a oveľa viac.
Cross-Site Scripting (XSS) je jedným z najrozšírenejších útokov vo webových aplikáciách. Ak aktér hrozby implementuje javascriptový kód do výstupu aplikácie, nielenže ukradne cookies, ale niekedy vedie aj k úplnému kompromitovaniu systémov.
Prvá chyba, Evolution CMS V3.1.8, umožňuje hackerovi spustiť odrazený XSS útok na rôznych miestach v sekcii správy. Aleksey Solovev uvádza, že v prípade úspešného útoku na oprávneného správcu v systéme bude súbor index.php prepísaný kódom, ktorý útočník umiestnil do užitočného obsahu.
Druhá zraniteľnosť, objavená vo FUDForum v3.1.1, by mohla hackerovi umožniť spustiť uložený XSS útok. Aleksey Solovev hovorí, že FUDforum je super rýchle a škálovateľné diskusné fórum. Je vysoko prispôsobiteľný a podporuje neobmedzený počet členov, fóra, príspevky, témy, ankety a prílohy.
Administračný panel FUDforum má správcu súborov, ktorý vám umožňuje nahrávať súbory na server, vrátane súborov s príponou PHP. Útočník by mohol použiť archivovaný XSS na nahranie súboru PHP, ktorý môže vykonať ľubovoľný príkaz na serveri.
V najnovšej zraniteľnosti, Bitbucket v4.37.1, bola nájdená bezpečnostná chyba, ktorá by mohla útočníkovi umožniť spustiť XSS útok uložený na rôznych miestach. Aleksey Solovev uvádza, že archivovaný útok XSS sa môže pokúsiť zneužiť na spustenie kódu na serveri. Správcovský panel obsahuje nástroje na spúšťanie SQL dotazov.
GitBucket štandardne používa databázový stroj H2definita. Pre túto databázu existuje verejne dostupný exploit na dosiahnutie vzdialeného spustenia kódu. Takže všetko, čo musí útočník urobiť, je vytvoriť PoC kód založený na tomto exploite, nahrať ho do úložiska a použiť ho počas útoku:
Vždy aktualizujte platformu Open Source, okamžite nainštalujte všetky opravné záplaty.
Požiadajte o radu, hodnotenie, odhad, ako zabezpečiť váš systém.
Je to základný proces merania súčasnej úrovne bezpečnosti vašej spoločnosti.
K tomu je potrebné zapojiť adekvátne pripravený Cyber Team, schopný vykonať analýzu stavu, v ktorom sa spoločnosť nachádza s ohľadom na IT bezpečnosť.
Analýza môže byť vykonaná synchrónne, prostredníctvom rozhovoru, ktorý uskutoční Cyber Team alebo
aj asynchrónne, vyplnením dotazníka online.
Môžeme vám pomôcť, obráťte sa na špecialistov z ilwebcreativo.to píše na info@ilwebcreativo.it alebo chatovaním na Whatsapp priamo pomocou ikony vpravo dole.
Temný web označuje obsah World Wide Web v darknetoch, ku ktorým sa možno dostať cez internet prostredníctvom špecifického softvéru, konfigurácií a prístupov.
S naším bezpečnostným Web Monitoringom dokážeme predchádzať a kontrolovať kybernetické útoky, počnúc analýzou firemnej domény (napr. ilwebcreativo.it ) a jednotlivé e-mailové adresy.
Kontaktujte nás cez vhatsapp, vieme pripraviť sanačný plán na izoláciu hrozby, zabránenie jej šírenia a defivykonáme potrebné nápravné opatrenia. Služba je poskytovaná 24/XNUMX z Talianska
CyberDrive je cloudový správca súborov s vysokými bezpečnostnými štandardmi vďaka nezávislému šifrovaniu všetkých súborov. Zabezpečte bezpečnosť firemných dát pri práci v cloude a zdieľaní a úprave dokumentov s ostatnými používateľmi. Ak dôjde k strate spojenia, v počítači používateľa sa neuložia žiadne údaje. CyberDrive bráni strate súborov v dôsledku náhodného poškodenia alebo zneužitia na krádež, či už fyzických alebo digitálnych.
Najmenšie a najvýkonnejšie dátové centrum v balení, ktoré ponúka výpočtový výkon a ochranu pred fyzickým a logickým poškodením. Navrhnuté pre správu dát v okrajových a robo prostrediach, maloobchodných prostrediach, profesionálnych kanceláriách, vzdialených kanceláriách a malých podnikoch, kde sú priestor, náklady a spotreba energie nevyhnutné. Nevyžaduje dátové centrá a rackové skrine. Môže byť umiestnený v akomkoľvek type prostredia vďaka nárazovej estetike v súlade s pracovným priestorom. „The Cube“ dáva podnikové softvérové technológie do služieb malých a stredných podnikov.
Pri vyšetrovaní bezpečnostných problémov, pri riešení zraniteľností, pri zabezpečení vášho informačného systému sa vždy spoliehajte na špecialistov v sektore:
Ercole Palmeri: Závislý na inováciách
Britská CMA vydala varovanie pred správaním Big Tech na trhu s umelou inteligenciou. tam…
Vyhláška „Case Green“, ktorú sformulovala Európska únia na zvýšenie energetickej účinnosti budov, ukončila svoj legislatívny proces s…
Predstavená výročná správa Casaleggio Associati o elektronickom obchode v Taliansku. Správa s názvom „AI-Commerce: hranice elektronického obchodu s umelou inteligenciou“.…
Výsledok neustálych technologických inovácií a záväzku voči životnému prostrediu a blahu ľudí. Bandalux predstavuje Airpure®, stan…