Tags

31 stron

Luka Bezpieczeństwa

Krytyczna, niezałowana luka w LeRobot Hugging Face umożliwia zdalne wykonanie kodu

Krytyczna luka w LeRobot Hugging Face umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Ryzyko przejęcia serwera, kradzieży danych i zagrożeń fizycznych.

Odkryto poważną lukę w zabezpieczeniach platformy LeRobot firmy Hugging Face (CVE-2026-25874), umożliwiającą atakującemu spoza sieci zdalne wykonanie kodu poprzez niebezpieczną deserializację danych za pomocą formatu pickle. Luka ta, znajdująca się w komponentach policy server i robot client, pozwala na przejęcie kontroli nad serwerem, wpływanie na podłączone roboty oraz kradzież wrażliwych danych, stwarzając ryzyko fizycznego bezpieczeństwa.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Apple łata lukę w iOS, która przechowywała usunięte powiadomienia Signal w sprawach karnych FBI

Apple łata lukę w iOS, która pozwalała FBI na odzyskanie usuniętych powiadomień Signal z urządzeń, poprawiając bezpieczeństwo danych użytkowników.

Apple wydało poprawkę oprogramowania dla iOS i iPadOS, która usuwa lukę w usługach powiadomień, pozwalającą na przechowywanie oznaczonych do usunięcia powiadomień na urządzeniu, co zostało wykorzystane przez FBI do pozyskania danych z Signal. Naprawione powiadomienia, śledzone jako CVE-2026-28950, były nieoczekiwanie zachowywane na urządzeniu, nawet po usunięciu aplikacji, co ujawniło potencjalne zagrożenia dla prywatności komunikacji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Microsoft łata krytyczny błąd podnoszenia uprawnień w ASP.NET Core (CVE-2026-40372)

Microsoft łata lukę CVE-2026-40372 w ASP.NET Core, która pozwala atakującym na podniesienie uprawnień w systemach nie-Windows.

Microsoft wydał pilną aktualizację usuwającą poważną lukę bezpieczeństwa CVE-2026-40372 w ASP.NET Core, która pozwala atakującemu na podniesienie uprawnień do poziomu SYSTEM, o ile aplikacja działa na systemach innych niż Windows i korzysta z konkretnych wersji biblioteki Microsoft.AspNetCore.DataProtection. Wykorzystując ten błąd, atakujący może podmienić dane uwierzytelniające, pliki cookie czy tokeny, uzyskując dostęp do wrażliwych informacji i modyfikując dane, co może skutkować autoryzacją jako uprzywilejowany użytkownik.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Aktywnie wykorzystywana luka w nginx-ui (CVE-2026-33032) umożliwia pełne przejęcie serwera Nginx

Krytyczna luka CVE-2026-33032 w nginx-ui pozwala na pełne przejęcie serwera Nginx. Atakujący mogą modyfikować konfigurację i kraść dane.

Odkryto krytyczną lukę bezpieczeństwa CVE-2026-33032 w narzędziu nginx-ui, pozwalającą na przejęcie kontroli nad serwerem Nginx bez uwierzytelnienia, poprzez manipulację punktami końcowymi /mcp i /mcp_message. Luka, nazwana MCPwn, umożliwia restartowanie serwera, modyfikację plików konfiguracyjnych, a nawet przechwytywanie danych administratorów, a łatwo można ją wykorzystać za pomocą dwóch zapytań HTTP.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Aktywnie wykorzystywana luka w ShowDoc (CVE-2025-0520) na niezałatanych serwerach

Aktywnie wykorzystywana luka RCE w ShowDoc (CVE-2025-0520) na niezałatanych serwerach. Aktualizacja jest kluczowa dla ochrony.

Krytyczna luka bezpieczeństwa w popularnym w Chinach narzędziu do zarządzania dokumentacją ShowDoc, oznaczona jako CVE-2025-0520, jest obecnie aktywnie wykorzystywana przez atakujących. Problem polega na nieograniczonym przesyłaniu plików, co pozwala na wykonanie dowolnego kodu PHP na serwerze. Luka została załatana w wersji 2.8.7 programu, wydanej w październiku 2020 roku, jednak dane wskazują na tysiące podatnych na atak instancji online, głównie w Chinach.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Adobe łata aktywnie wykorzystywaną lukę w Acrobat Reader CVE-2026-34621

Adobe wydaje pilne aktualizacje krytycznej luki CVE-2026-34621 w Acrobat Reader, która jest aktywnie wykorzystywana do zdalnego wykonania kodu.

Adobe wydało pilne aktualizacje, aby załatać krytyczną lukę bezpieczeństwa w Acrobat Reader, oznaczoną jako CVE-2026-34621, która jest aktywnie wykorzystywana w atakach. Po udanym ataku haker może wykonać złośliwy kod na zainfekowanych instalacjach, co wynika z podatności typu “prototype pollution”, pozwalającej na manipulację obiektami aplikacji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Krytyczna luka w Marimo wykorzystana w 10 godzin od ujawnienia

Krytyczna luka RCE w Marimo CVE-2026-39987 wykorzystana w 10h od ujawnienia. Podatność bez uwierzytelnienia umożliwia atakującym przejęcie kontroli nad systemem.

Krytyczna luka bezpieczeństwa w Marimo, narzędziu do analizy danych, została wykorzystana przez atakujących zaledwie 10 godzin po jej publicznym ujawnieniu, co podkreśla szybkość, z jaką zagrożenia są obecnie eskalowane. Luka CVE-2026-39987, umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia poprzez endpoint WebSocket /terminal/ws, dotyczy wszystkich wersji Marimo sprzed wersji 0.23.0. Atakujący, mimo braku kodu Proof-of-Concept, zdołali uzyskać pełny dostęp do systemu, prowadząc rekonesans i kradzież danych, co pokazuje, jak ważne jest błyskawiczne reagowanie na ujawnione podatności.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Wykryto lukę w SDK EngageLab zagrażającą 50 milionom użytkowników Androida, w tym 30 milionom portfeli kryptowalut

Wykryto lukę w SDK EngageLab zagrażającą 50 mln użytkowników Androida, w tym 30 mln posiadaczy kryptowalut. Błąd umożliwiał dostęp do danych.

Odkryto poważną lukę bezpieczeństwa w popularnym SDK dla Androida EngageLab, która mogła narazić miliony użytkowników, w tym posiadaczy kryptowalut, na ryzyko. Błąd umożliwiał aplikacjom obejście zabezpieczeń systemu i uzyskanie nieautoryzowanego dostępu do danych, zwłaszcza w aplikacjach portfeli kryptowalutowych. Po zgłoszeniu problemu przez Microsoft, EngageLab wydało łatkę, a podatne wersje aplikacji usunięto ze sklepu Google Play.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Docker CVE-2026-34040 umożliwia atakującym obejście autoryzacji i uzyskanie dostępu do hosta

Krytyczna luka CVE-2026-34040 w Docker Engine pozwala na obejście autoryzacji i uzyskanie dostępu do hosta. Dowiedz się, jak się chronić.

W Docker Engine wykryto poważną lukę bezpieczeństwa (CVE-2026-34040), która pozwala atakującym na obejście wtyczek autoryzacyjnych (AuthZ) w określonych warunkach, co może skutkować uzyskaniem dostępu do hosta. Problem, będący wynikiem niekompletnej poprawki dla CVE-2024-41110, umożliwia wysłanie spreparowanego żądania API, które omija weryfikację treści przez plugin, prowadząc do utworzenia uprzywilejowanego kontenera z dostępem do systemu plików hosta, co stanowi poważne zagrożenie dla danych i infrastruktury.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Agent Flowise AI masowo atakowany – krytyczna luka umożliwia zdalne wykonanie kodu

Krytyczna luka w Flowise AI (CVSS 10.0) jest aktywnie wykorzystywana przez hakerów, zagrażając ponad 12 000 instancjom i umożliwiając zdalne wykonanie kodu.

Platforma AI typu open-source, Flowise, jest obiektem aktywnego wykorzystania krytycznej luki bezpieczeństwa CVE-2025-59528 (CVSS 10.0), która pozwala na zdalne wykonanie kodu. Problem, polegający na braku walidacji w węźle CustomMCP, umożliwia atakującym wykonanie dowolnego kodu JavaScript z pełnymi uprawnieniami, co może prowadzić do przejęcia systemu, kradzieży danych i zakłócenia ciągłości działania biznesu. Analiza wykazała ponad 12 000 wystawionych instancji platformy, co czyni ją atrakcyjnym celem dla cyberprzestępców.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)