Ultimate Member: 200 000 сайтов на WordPress уязвимы перед натиском киберзлодеев

В популярном плагине Ultimate Member для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение CVE-2024-1071 , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности. Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence,…

Больше

В Tornado Cash найден бэкдор

Разработчики Tornado Cash, криптовалютного миксера, основанного на смарт-контрактах, предупредили пользователей , которые вносили депозиты через шлюзы IPFS в период с 1 января по 24 февраля, о потенциальном мошенничестве. По мнению разработчиков, в это время злоумышленники могли перехватывать информацию о депозитах в Tornado Cash и перенаправлять её на контролируемый ими сервер….

Больше

Zero-Click в мире Apple: «быстрые команды» приводят к «быстрому взлому»

В мире технологий обнаружена новая угроза, затрагивающая пользователей продукции Apple. На этот раз уязвимость касается приложения «Быстрые команды» (Shortcuts) — инструмента для создания пользовательских автоматизированных задач, который встроен в операционные системы iOS, iPadOS, macOS и watchOS. Проблема, получившая идентификатор CVE-2024-23204 и оценку серьёзности 7.5 балла по шкале CVSS, позволяет с…

Больше

XSS-уязвимости в Joomla грозят RCE миллионам сайтов (патч уже доступен)

В CMS-системе Joomla выявлены возможности межсайтового скриптинга, позволяющие удаленно выполнить на сайте сторонний код. Обновления с патчем уже вышли, пользователям рекомендуется их установить. Виновником появления проблемы, зарегистрированной как CVE-2024-21726, является компонент ядра, отвечающий за фильтрацию контента. Неадекватная очистка позволяет через XSS внедрять на сайты скрипты, которые будут воровать данные посетителей,…

Больше

Более 28 500 серверов Exchange уязвимы перед свежим багом

Исследователи подсчитали, что порядка 28 500 серверов Microsoft Exchange уязвимы перед критической проблемой повышения привилегий (CVE-2024-21410), которую уже начали эксплуатировать хакеры. Общее количество потенциально уязвимых серверов и вовсе превышает 97 000. Напомним, что о проблеме CVE-2024-21410 стало известно на прошлой неделе. Эта уязвимость была обнаружена собственными специалистами Microsoft и позволяет удаленным неаутентифицированным…

Больше

SolarWinds устранила 5 RCE-уязвимостей в Access Rights Manager

SolarWinds, известный разработчик программного обеспечения для управления IT-инфраструктурой, выпустил обновления для устранения пяти уязвимостей , позволяющих произвести удалённое выполнение кода (RCE) в своём продукте Access Rights Manager (ARM). Среди них три уязвимости оценены как критические, так как могут быть эксплуатированы без аутентификации. ARM используется компаниями для управления и аудита прав…

Больше

CVE-2024-21410: до 97 000 серверов Exchange в красной зоне

До 97 000 серверов Exchange могут быть уязвимы для критической уязвимости под кодовым обозначением CVE-2024-21410 , о которой мы уже рассказывали несколько дней назад. Уязвимость позволяет неаутентифицированным удалённым злоумышленникам проводить атаки типа NTLM Relay на серверы Microsoft Exchange и повышать свои привилегии в системе. Exchange Server широко используется в бизнес-средах…

Больше

Вперёд обновляться: SolarWinds устранила 5 RCE-уязвимостей в Access Rights Manager

SolarWinds, известный разработчик программного обеспечения для управления IT-инфраструктурой, выпустил обновления для устранения пяти уязвимостей , позволяющих произвести удалённое выполнение кода (RCE) в своём продукте Access Rights Manager (ARM). Среди них три уязвимости оценены как критические, так как могут быть эксплуатированы без аутентификации. ARM используется компаниями для управления и аудита прав…

Больше

Критическая уязвимость в Exchange использовалась как zero-day

Компания Microsoft обновила бюллетень безопасности, посвященный уязвимости CVE-2024-21410 (9,8 баллов по шкале CVSS), исправленной ранее в этом месяце. Как сообщается теперь, критический баг в Exchange Server использовался хакерами в качестве уязвимости нулевого дня еще до выхода патча. Уязвимость CVE-2024-21410 была обнаружена самими специалистами Microsoft и позволяет удаленным неаутентифицированным злоумышленникам повысить…

Больше

CVE-2023-52160/1: хакеры уже затаились в вашей Wi-Fi сети

В недрах открытого программного обеспечения обнаружены новые уязвимости, ставящие под угрозу безопасность бесчисленного числа корпоративных и домашних сетей Wi-Fi. Эти уязвимости открывают двери для атак, позволяя хакерам обходить процедуры аутентификации. Мати Ванхоф, профессор бельгийского университета KU Leuven, и его студентка Элоиз Голлье, совместно с компанией Top10VPN, специализирующейся на тестировании виртуальных…

Больше