Ekspertët e sigurisë kibernetike kanë shpërndarë informacion mbi tre dobësi të skriptimit ndër-site (XSS) në aplikacionet e njohura me burim të hapur që mund të shkaktojnë ekzekutimin e kodit në distancë (RCE).
Një sulm primitiv XSS lejon që kodi JavaScript i aktorit të kërcënimit të ekzekutohet në shfletuesin e internetit të përdoruesit viktimë, i cili hap derën për vjedhjen e cookie-ve, ridrejton në një sajt phishing dhe shumë më tepër.
Skriptimi në faqe (XSS) është një nga sulmet më të përhapura në aplikacionet e uebit. Nëse një aktor kërcënimi zbaton kodin javascript në daljen e aplikacionit, ai jo vetëm që vjedh cookie-t, por edhe ndonjëherë çon në kompromis të plotë të sistemeve.
Defekti i parë, Evolution CMS V3.1.8, lejon një haker të nisë një sulm të reflektuar XSS në vende të ndryshme në seksionin e administrimit. Aleksey Solovev deklaron se në rast të një sulmi të suksesshëm ndaj një administratori të autorizuar në sistem, skedari index.php do të mbishkruhet me kodin që sulmuesi vendosi në ngarkesë.
Dobësia e dytë, e zbuluar në FUDForum v3.1.1, mund të lejojë një haker të nisë një sulm të ruajtur XSS. Aleksey Solovev thotë se FUDforum është një forum diskutimi super i shpejtë dhe i shkallëzuar. Është shumë i personalizueshëm dhe mbështet anëtarë të pakufizuar, forume, postime, tema, sondazhe dhe bashkëngjitje.
Paneli i administrimit të FUDforum ka një menaxher skedari që ju lejon të ngarkoni skedarë në server, duke përfshirë skedarët me shtesën PHP. Një sulmues mund të përdorë XSS të arkivuar për të ngarkuar një skedar PHP që mund të ekzekutojë çdo komandë në server.
Në cenueshmërinë më të fundit, Bitbucket v4.37.1, u gjet një gabim sigurie që mund të lejonte një sulmues të nisë një sulm XSS të ruajtur në vende të ndryshme. Aleksey Solovev thotë se të kesh një sulm të arkivuar XSS mund të përpiqet ta shfrytëzojë atë për të ekzekutuar kodin në server. Paneli i administratorit ka mjete për të ekzekutuar pyetjet SQL.
GitBucket përdor motorin e bazës së të dhënave H2 si parazgjedhjedefinita. Për këtë bazë të dhënash, ekziston një shfrytëzim i disponueshëm publikisht për të arritur ekzekutimin e kodit në distancë. Pra, gjithçka që duhet të bëjë një sulmues është të krijojë një kod PoC bazuar në këtë shfrytëzim, ta ngarkojë atë në depo dhe ta përdorë atë gjatë një sulmi:
Përditësoni gjithmonë platformën me burim të hapur, instaloni menjëherë çdo arnim korrigjues.
Kërkoni këshilla, një vlerësim, një vlerësim se si të siguroni sistemin tuaj.
Është procesi themelor për matjen e nivelit aktual të sigurisë së kompanisë suaj.
Për ta bërë këtë, është e nevojshme të përfshihet një Ekip Kibernetik i përgatitur në mënyrë adekuate, i aftë për të kryer një analizë të gjendjes në të cilën ndodhet kompania në lidhje me sigurinë e IT.
Analiza mund të kryhet në mënyrë sinkrone, përmes një interviste të kryer nga Ekipi Cyber ose
gjithashtu asinkron, duke plotësuar një pyetësor online.
Ne mund t'ju ndihmojmë, kontaktoni specialistët e ilwebcreativo.po shkruan tek info@ilwebcreativo.it ose duke biseduar në whatsapp drejtpërdrejt duke përdorur ikonën në fund djathtas.
Rrjeti i errët i referohet përmbajtjes së World Wide Web në rrjetat e errëta, të cilat mund të arrihen nëpërmjet internetit përmes softuerit, konfigurimeve dhe akseseve specifike.
Me Monitorimin tonë të Uebit të Sigurisë, ne jemi në gjendje të parandalojmë dhe të përmbajmë sulmet kibernetike, duke filluar nga analiza e domenit të kompanisë (p.sh.: ilwebcreativo.it ) dhe adresat individuale të postës elektronike.
Na kontaktoni përmes vhatsapp, ne mund të përgatisim një plan rehabilitimi për të izoluar kërcënimin, për të parandaluar përhapjen e tij dhe defimarrim masat e nevojshme korrigjuese. Sherbimi ofrohet 24/XNUMX nga Italia
CyberDrive është një menaxher skedarësh cloud me standarde të larta sigurie falë kriptimit të pavarur të të gjithë skedarëve. Siguroni sigurinë e të dhënave të korporatës ndërsa punoni në cloud dhe ndani dhe redaktoni dokumente me përdoruesit e tjerë. Nëse lidhja humbet, nuk ruhen të dhëna në kompjuterin e përdoruesit. CyberDrive parandalon që skedarët të humbasin për shkak të dëmtimit aksidental ose të ekzfiltohen për vjedhje, qoftë fizike apo dixhitale.
Qendra e të dhënave më e vogël dhe më e fuqishme brenda një kutie që ofron fuqi kompjuterike dhe mbrojtje nga dëmtimet fizike dhe logjike. Projektuar për menaxhimin e të dhënave në mjedise të skajshme dhe robo, mjedise me pakicë, zyra profesionale, zyra në distancë dhe biznese të vogla ku hapësira, kostoja dhe konsumi i energjisë janë thelbësore. Nuk kërkon qendra të dhënash dhe rafte. Mund të pozicionohet në çdo lloj ambienti falë estetikës së ndikimit në harmoni me hapësirat e punës. «The Cube» e vë teknologjinë e softuerit të ndërmarrjeve në shërbim të bizneseve të vogla dhe të mesme.
Për të hetuar çështjet e sigurisë, për të zgjidhur dobësitë, për të siguruar sistemin tuaj të informacionit, mbështetuni gjithmonë te specialistët në këtë sektor:
Ercole Palmeri: I varur nga inovacioni
â € <
Coveware nga Veeam do të vazhdojë të ofrojë shërbime të reagimit ndaj incidenteve të zhvatjes kibernetike. Coveware do të ofrojë aftësi mjeko-ligjore dhe riparimi…
Mirëmbajtja parashikuese po revolucionon sektorin e naftës dhe gazit, me një qasje inovative dhe proaktive për menaxhimin e impiantit.…
CMA e Mbretërisë së Bashkuar ka lëshuar një paralajmërim për sjelljen e Big Tech në tregun e inteligjencës artificiale. Aty…
Dekreti "Case Green", i formuluar nga Bashkimi Evropian për të rritur efiçencën energjetike të ndërtesave, ka përfunduar procesin e tij legjislativ me…
