Tags

64 strony

Luka Bezpieczeństwa

SAP łata krytyczną lukę w NetWeaver ABAP z oceną CVSS 9.9, grożącą wyciekiem lub modyfikacją danych

SAP naprawia krytyczną lukę w NetWeaver ABAP (CVSS 9.9), która grozi wyciekiem lub modyfikacją danych. Naprawiono też luki w Approuter i Commerce Cloud.

SAP wydało aktualizacje bezpieczeństwa obejmujące krytyczną lukę CVE-2026-44747 (CVSS 9.9) w SAP NetWeaver Application Server ABAP, która umożliwia uwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do danych, ich modyfikację lub spowodowanie niedostępności systemu poprzez błędy w zarządzaniu pamięcią. Naprawiono również dwie inne krytyczne luki: CVE-2026-27690 (CVSS 9.1) w SAP Approuter, pozwalającą na podszywanie się pod żądania HTTP i ataki DoS, oraz CVE-2026-44761 (CVSS 9.1) w SAP Commerce Cloud, wynikającą z użycia domyślnych danych uwierzytelniających w konfiguracjach OAuth 2.0, co umożliwia nieautoryzowanym atakującym odczyt i modyfikację danych. Zaleca się natychmiastowe wdrożenie poprawek i audyt środowisk produkcyjnych.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Badacze: luka w rozszerzeniu Claude for Chrome umożliwia złośliwym wtyczkom odczyt Gmaila

Nowa luka w Claude for Chrome pozwala złośliwym wtyczkom na odczyt Gmaila i innych danych. Ryzyko wzrasta w trybie automatycznym.

Odkryto poważną lukę w rozszerzeniu przeglądarki Claude for Chrome, która pozwala innym, złośliwym wtyczkom na nieautoryzowany dostęp do danych użytkownika, w tym treści e-maili z Gmaila, najnowszego dokumentu Google Docs i wydarzeń z Kalendarza. Problem polega na tym, że mechanizm wyzwalania zadań w Claude nie weryfikuje autentyczności kliknięć, co umożliwia podszywanie się pod użytkownika i uruchamianie zaufanych akcji bez jego wiedzy, zwłaszcza w trybie “Działaj bez pytania”.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Krytyczna luka w Zimbra pozwala na wykonanie złośliwego kodu w sesjach użytkowników

Krytyczna luka w Zimbra pozwala na wykonanie złośliwego kodu w sesjach użytkowników poprzez spreparowane e-maile. Aktualizacja jest kluczowa.

Zimbra ostrzega przed krytyczną luką bezpieczeństwa w Klasycznym Interfejsie Webowym, umożliwiającą wykonanie dowolnego kodu poprzez specjalnie spreparowane wiadomości e-mail. Problem ten, będący formą ataku typu stored XSS, może prowadzić do przejęcia sesji, kradzieży danych uwierzytelniających i kompromitacji kont, a użytkownicy są zalecani do aktualizacji do wersji 10.1.19.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Niezałataną lukę XRING w XQUIC pozwala zdalnym klientom na awarię serwerów HTTP/3

Krytyczna luka XRING w bibliotece XQUIC od Alibaby pozwala zdalnie awariować serwery HTTP/3. Brak łatki stanowi zagrożenie.

Odkryto krytyczną lukę XRING w bibliotece XQUIC od Alibaby, która pozwala zdalnym klientom na awarię serwerów HTTP/3 przy użyciu legalnego, niewielkiego ruchu QPACK. Brak łatki oznacza ryzyko dla wszystkich serwerów korzystających z tej otwartej biblioteki, w tym dla usług takich jak Tengine, Taobao czy Alipay, a obejście problemu wymaga wyłączenia QPACK lub całej obsługi HTTP/3.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Atakujący wykorzystują lukę 'Ill Bloom' do wyczyszczenia portfeli kryptowalutowych na ponad 5 milionów dolarów

Atakujący wykorzystują lukę 'Ill Bloom' do kradzieży milionów dolarów z portfeli kryptowalutowych. Dowiedz się, jak sprawdzić, czy Twój portfel jest zagrożony.

Firma badawcza Coinspect odkryła lukę w zabezpieczeniach niektórych portfeli kryptowalutowych, nazwaną ‘Ill Bloom’, która pozwala atakującym na przejęcie środków poprzez wykorzystanie słabej losowości w generowaniu fraz odzyskiwania. Atakujący wykorzystali tę słabość, kradnąc już ponad 5 milionów dolarów z setek portfeli, głównie starszych lub mniej znanych aplikacji mobilnych i rozszerzeń przeglądarek, podczas gdy portfele sprzętowe i mainstreamowe oprogramowanie pozostają bezpieczne.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

15-letnia luka GhostLock umożliwia przejęcie kontroli na poziomie root i ucieczkę z kontenerów na większości dystrybucji Linuksa

Krytyczna 15-letnia luka w jądrze Linuksa GhostLock pozwala na przejęcie kontroli roota i ucieczkę z kontenerów na większości dystrybucji. Patchowanie jest priorytetem.

Odkryto 15-letnią lukę w jądrze Linuksa nazwaną GhostLock (CVE-2026-43499), która pozwala każdemu zalogowanemu użytkownikowi na przejęcie pełnej kontroli nad systemem bez konieczności posiadania specjalnych uprawnień czy dostępu sieciowego; luka ta istniała od 2011 roku i umożliwiała również ucieczkę z kontenerów, a jej działanie polega na wykorzystaniu błędu typu use-after-free w procedurze czyszczenia jądra, co daje możliwość uruchomienia własnego kodu z uprawnieniami roota.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Wykryto krytyczną lukę w Google Dialogflow CX, która mogła umożliwić przejęcie chatbotów

Krytyczna luka w Google Dialogflow CX pozwalała na przejęcie chatbotów i kradzież danych. Google już naprawiło problem.

Firma Varonis odkryła poważną lukę w bezpieczeństwie Google Dialogflow CX, nazwaną ‘Rogue Agent’, która mogła pozwolić atakującemu z uprawnieniami do edycji jednego agenta na przejęcie innych agentów w tym samym projekcie Google Cloud. Umożliwiłoby to odczytywanie rozmów, kradzież danych użytkowników i wysyłanie fałszywych wiadomości, choć atak wymagał wcześniejszego dostępu i nie był zdalny. Google wydało już poprawkę, a incydenty wskazują na możliwość obejścia zabezpieczeń sieciowych i dostęp do metadanych instancji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Wada AI Writer pozwala na wyciek tokenów sesji między użytkownikami

Krytyczna luka w Writer AI umożliwia przejęcie kont i danych innych firm przez złośliwy link.

Badacze ds. cyberbezpieczeństwa odkryli i zgłosili krytyczną lukę w izolacji sesji platformy Writer AI, pozwalającą na przejęcie kontroli nad kontami innych organizacji za pomocą jednego kliknięcia, potencjalnie ujawniając prywatne dane, dokumenty i nawet ustawienia administracyjne.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

16-letnia luka w KVM Linux pozwala na ucieczkę maszyn wirtualnych do hosta na systemach Intel i AMD x86

Znaleziono 16-letnią lukę w KVM Linux (Januscape, CVE-2026-53359), która pozwala na ucieczkę maszyn wirtualnych do hosta na Intel/AMD. Zagrożenie dla systemów multi-tenant.

Odkryto 16-letnią lukę w KVM Linux, nazwaną ‘Januscape’ (CVE-2026-53359), która pozwala maszynie wirtualnej (guest VM) na ucieczkę do hosta na systemach z procesorami Intel i AMD. Błąd use-after-free w kodzie shadow MMU umożliwia atakującemu potencjalnie wykonanie kodu na poziomie roota hosta, a publiczny proof-of-concept powoduje awarię całego systemu. Problemem jest nieprawidłowe ponowne użycie stron cieniowych pamięci, co prowadzi do uszkodzenia stanu jądra hosta. Luka była obecna od 2010 roku i została załatana w czerwcu 2026 roku.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Usterka w Opera GX pozwalała na automatyczną instalację modów kradnących dane

Odkryto lukę w Opera GX pozwalającą na automatyczną instalację modów i kradzież danych. Błąd został załatany, ale stanowił poważne zagrożenie dla użytkowników.

Badacze odkryli lukę w przeglądarce Opera GX, umożliwiającą złośliwym witrynom ciche instalowanie dodatków (modów) i wykorzystywanie ich do pozyskiwania danych z odwiedzanych stron, w tym adresów e-mail użytkowników. Mimo że błąd został załatany, demonstruje potencjalne ryzyko związane z automatycznym instalowaniem rozszerzeń bez zgody użytkownika.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)