Ahli cybersecurity parantos nyebarkeun inpormasi ngeunaan tilu kerentanan cross-site scripting (XSS) dina aplikasi open source populér anu tiasa nyababkeun palaksanaan kode jauh (RCE).
Serangan XSS primitif ngamungkinkeun kode JavaScript aktor ancaman dieksekusi dina browser wéb pangguna korban, anu muka panto pikeun maling cookie, alihan ka situs phishing, sareng seueur deui.
Cross-Site Scripting (XSS) mangrupikeun salah sahiji serangan anu paling nyebar dina aplikasi wéb. Upami aktor ancaman nerapkeun kode javascript dina kaluaran aplikasi, éta sanés ngan ukur nyolong cookies, tapi ogé kadang ngakibatkeun kompromi lengkep tina sistem.
Bug kahiji, Évolusi CMS V3.1.8, ngamungkinkeun hacker pikeun ngajalankeun serangan XSS reflected di sagala rupa lokasi dina bagian administrasi. Aleksey Solovev nyatakeun yén upami aya serangan anu suksés ka administrator otorisasi dina sistem, file index.php bakal ditindih ku kode anu ditempatkeun ku panyerang dina payload.
Kerentanan kadua, kapanggih dina FUDForum v3.1.1, bisa ngidinan hacker pikeun ngajalankeun serangan XSS disimpen. Aleksey Solovev nyebutkeun yén FUDforum mangrupakeun forum sawala super gancang jeung scalable. Éta tiasa disaluyukeun pisan sareng ngadukung anggota anu henteu terbatas, forum, tulisan, topik, polling, sareng lampiran.
Panel administrasi FUDforum ngagaduhan pangatur file anu ngamungkinkeun anjeun unggah file ka server, kalebet file nganggo ekstensi PHP. Panyerang tiasa nganggo XSS anu diarsipkeun pikeun unggah file PHP anu tiasa ngalaksanakeun paréntah naon waé dina server.
Dina kerentanan panganyarna, Bitbucket v4.37.1, bug kaamanan kapanggih anu bisa ngidinan lawan pikeun ngajalankeun serangan XSS disimpen di sagala rupa lokasi. Aleksey Solovev nyatakeun yén gaduh serangan XSS anu diarsipkeun tiasa nyobian ngamangpaatkeunana pikeun ngaéksekusi kode dina server. Panel admin boga parabot pikeun ngajalankeun queries SQL.
GitBucket nganggo H2 Database Engine sacara standardefinita. Pikeun pangkalan data ieu, aya garapan anu sayogi umum pikeun ngahontal palaksanaan kode jauh. Janten, anu kedah dilakukeun ku panyerang nyaéta nyiptakeun kode PoC dumasar kana eksploitasi ieu, unggah kana gudang, sareng dianggo nalika serangan:
Salawasna ngamutahirkeun platform Open Source, geuwat install sagala patch corrective.
Nyuhunkeun saran, evaluasi, perkiraan kumaha cara ngamankeun sistem anjeun.
Ieu mangrupikeun prosés dasar pikeun ngukur tingkat kaamanan perusahaan anjeun ayeuna.
Jang ngalampahkeun ieu perlu ngalibetkeun hiji Tim Cyber disiapkeun adequately, bisa ngalaksanakeun analisa kaayaan di mana pausahaan manggihan sorangan ngeunaan kaamanan IT.
Analisis tiasa dilaksanakeun sacara sinkron, ngalangkungan wawancara anu dilakukeun ku Tim Cyber atanapi
ogé Asynchronous, ku ngeusian kuesioner online.
Urang bisa mantuan Anjeun, ngahubungan spesialis tina ilwebcreativo.eta nulis ka info@ilwebcreativo.eta atanapi ku ngobrol di whatsapp langsung nganggo ikon di katuhu handap.
The web poék nujul kana eusi World Wide Web dina darknets nu bisa ngahontal ngaliwatan Internet ngaliwatan software husus, konfigurasi jeung aksés.
Kalayan Pangimeutan Wéb Kaamanan kami, kami tiasa nyegah sareng nyegah serangan cyber, mimitian ti analisa domain perusahaan (contona: ilwebcreativo.it ) jeung alamat e-mail individu.
Contact us via vhatsapp, urang tiasa nyiapkeun rencana remediation ngasingkeun anceman, nyegah sumebarna na defiurang nyandak tindakan remediation perlu. jasa ieu disadiakeun 24/XNUMX ti Italia
CyberDrive mangrupikeun manajer file awan kalayan standar kaamanan anu luhur berkat énkripsi bebas sadaya file. Mastikeun kaamanan data perusahaan nalika damel di awan sareng ngabagi sareng ngédit dokumén sareng pangguna sanés. Upami sambunganna leungit, henteu aya data anu disimpen dina PC pangguna. CyberDrive nyegah file leungit alatan karuksakan teu kahaja atawa exfiltrated pikeun maling, boh fisik atawa digital.
Pusat data in-a-box anu pangleutikna sareng pangkuatna nawiskeun kakuatan komputasi sareng panyalindungan tina karusakan fisik sareng logis. Dirancang pikeun ngokolakeun data dina lingkungan tepi sareng robo, lingkungan ritel, kantor profésional, kantor terpencil sareng usaha leutik dimana rohangan, biaya sareng konsumsi énergi penting. Teu merlukeun puseur data jeung cabinets rak. Éta tiasa diposisikan dina sagala jinis lingkungan berkat éstétika dampak anu harmoni sareng rohangan kerja. "The Cube" nempatkeun téknologi parangkat lunak perusahaan pikeun jasa usaha leutik sareng sedeng.
Pikeun nalungtik masalah kaamanan, pikeun ngajawab kerentanan, pikeun ngamankeun sistem informasi anjeun, salawasna ngandelkeun spesialis dina sektor:
Ercole Palmeri: Inovasi addicted
Google DeepMind ngenalkeun vérsi anu ditingkatkeun tina modél kecerdasan buatan na. Modél anu ditingkatkeun énggal nyayogikeun sanés ngan ukur…
Laravel, anu kasohor ku sintaksis anu elegan sareng fitur anu kuat, ogé nyayogikeun dasar anu kuat pikeun arsitektur modular. Tuh…
Cisco sareng Splunk ngabantosan para nasabah ngagancangkeun perjalanan ka Pusat Operasi Kaamanan (SOC) ka hareup kalayan…
Ransomware parantos ngadominasi warta salami dua taun ka pengker. Seueur jalma sadar yén serangan…
Operasi ophthalmoplasty nganggo panempo komérsial Apple Vision Pro dilaksanakeun di Poliklinik Catania…
Ngembangkeun kaahlian motorik halus ngaliwatan ngawarnaan nyiapkeun barudak pikeun kaahlian leuwih kompleks kawas nulis. Pikeun ngawarnaan…
Sektor angkatan laut mangrupikeun kakuatan ékonomi global anu leres, anu nuju ka arah pasar 150 milyar ...
Senén kamari, Financial Times ngumumkeun deal sareng OpenAI. FT ngalisensikeun jurnalisme kelas dunya na…