Експерти з кібербезпеки розповсюдили інформацію про три уразливості міжсайтового сценарію (XSS) у популярних програмах з відкритим кодом, які можуть викликати віддалене виконання коду (RCE).
Примітивна XSS-атака дозволяє виконувати код JavaScript загрози у веб-браузері користувача жертви, що відкриває двері для крадіжки файлів cookie, перенаправляє на фішинговий сайт і багато іншого.
Міжсайтовий сценарій (XSS) є однією з найпоширеніших атак у веб-додатках. Якщо загроза використовує код javascript у вивідних даних програми, це не лише викрадає файли cookie, але іноді призводить до повної компрометації систем.
Перша помилка, Evolution CMS V3.1.8, дозволяє хакеру запускати відображену атаку XSS у різних місцях у розділі адміністрування. Олексій Соловйов стверджує, що в разі успішної атаки на авторизованого адміністратора в системі файл index.php буде перезаписано кодом, який зловмисник розмістив у корисному навантаженні.
Друга вразливість, виявлена у FUDForum v3.1.1, може дозволити хакеру запустити збережену атаку XSS. Олексій Соловйов каже, що FUDforum — це надшвидкий і масштабований дискусійний форум. Його можна налаштувати та підтримує необмежену кількість учасників, форумів, публікацій, тем, опитувань і вкладень.
Панель адміністрування FUDforum має файловий менеджер, який дозволяє завантажувати файли на сервер, у тому числі файли з розширенням PHP. Зловмисник може використати заархівований XSS, щоб завантажити файл PHP, який може виконувати будь-яку команду на сервері.
В останній уразливості, Bitbucket v4.37.1, виявлено помилку безпеки, яка може дозволити зловмиснику запустити XSS-атаку, що зберігається в різних місцях. Олексій Соловйов стверджує, що заархівована XSS-атака може спробувати використати її для виконання коду на сервері. Панель адміністратора має інструменти для виконання запитів SQL.
GitBucket використовує H2 Database Engine за замовчуваннямdefinita. Для цієї бази даних існує загальнодоступний експлойт для віддаленого виконання коду. Отже, все, що потрібно зробити зловмиснику, це створити PoC-код на основі цього експлойту, завантажити його в репозиторій і використовувати під час атаки:
Завжди оновлюйте платформу з відкритим вихідним кодом, негайно встановлюйте будь-які виправні патчі.
Попросіть поради, оцінку, оцінку того, як захистити вашу систему.
Це фундаментальний процес для вимірювання поточного рівня безпеки вашої компанії.
Для цього необхідно залучити належним чином підготовлену Cyber Team, здатну провести аналіз стану, в якому знаходиться компанія щодо ІТ-безпеки.
Аналіз можна проводити синхронно, через інтерв'ю, проведене командою Cyber Team або
також асинхронно, шляхом заповнення анкети онлайн.
Ми можемо Вам допомогти, звертайтесь до спеціалістів ilwebcreativo.it пише на info@ilwebcreativo.it або безпосередньо в чаті WhatsApp за допомогою значка внизу праворуч.
Темна павутина стосується вмісту всесвітньої павутини в темних мережах, до якого можна отримати доступ через Інтернет за допомогою спеціального програмного забезпечення, конфігурацій і доступу.
За допомогою нашого веб-моніторингу безпеки ми можемо запобігати та стримувати кібератаки, починаючи з аналізу домену компанії (наприклад: ilwebcreativo.it ) та індивідуальні адреси електронної пошти.
Зв’яжіться з нами через vhatsapp, ми можемо підготувати план усунення загрози, запобігти її поширенню та defiвживаємо необхідних заходів щодо відновлення. Послуга надається цілодобово з Італії
CyberDrive — хмарний файловий менеджер із високими стандартами безпеки завдяки незалежному шифруванню всіх файлів. Забезпечте безпеку корпоративних даних під час роботи в хмарі та обміну та редагування документів іншими користувачами. Якщо з’єднання втрачено, дані на ПК користувача не зберігаються. CyberDrive запобігає втраті файлів унаслідок випадкового пошкодження чи крадіжки, фізичних чи цифрових.
Найменший і найпотужніший вбудований центр обробки даних, що пропонує обчислювальну потужність і захист від фізичних і логічних пошкоджень. Призначений для керування даними в периферійних і робо-середовищах, роздрібних торговельних середовищах, професійних офісах, віддалених офісах і малих підприємствах, де простір, вартість і енергоспоживання важливі. Він не потребує центрів обробки даних і стійкових шаф. Його можна розташувати в будь-якому середовищі завдяки ефектній естетиці, яка гармонує з робочим простором. «The Cube» ставить технологію корпоративного програмного забезпечення на службу малому та середньому бізнесу.
Щоб дослідити проблеми безпеки, усунути вразливості, захистити свою інформаційну систему, завжди покладайтеся на фахівців у цій галузі:
Ercole Palmeri: Пристрасть до інновацій
Будь-яка бізнес-операція створює багато даних, навіть у різних формах. Вручну введіть ці дані з аркуша Excel до…
За перші три місяці 2024 року компрометація електронної пошти компанії зросла більш ніж удвічі порівняно з останнім кварталом…
Принцип сегрегації інтерфейсів є одним із п'яти принципів SOLID об'єктно-орієнтованого проектування. Клас повинен мати…
Microsoft Excel є довідковим інструментом для аналізу даних, оскільки він пропонує багато функцій для організації наборів даних,…
Walliance, SIM та платформа серед лідерів у Європі у сфері краудфандингу нерухомості з 2017 року, оголошує про завершення…
Filament — це «прискорений» фреймворк розробки Laravel, який надає кілька компонентів повного стеку. Він призначений для спрощення процесу…
«Я повинен повернутися, щоб завершити свою еволюцію: я спроектую себе всередині комп’ютера і стану чистою енергією. Поселившись у…
Google DeepMind представляє вдосконалену версію своєї моделі штучного інтелекту. Нова вдосконалена модель забезпечує не тільки…