Tags

626 stron

The Hackers News

Ivanti, Fortinet i SAP wydają poprawki krytycznych luk bezpieczeństwa

Fortinet, Ivanti i SAP wydają poprawki dla krytycznych luk. Zaktualizuj swoje systemy!

Firmy Fortinet, Ivanti i SAP opublikowały aktualizacje bezpieczeństwa łatające wiele krytycznych podatności, które mogłyby prowadzić do wykonania dowolnego kodu i ujawnienia informacji. Łatki dotyczą luk w produktach takich jak FortiSandbox, Ivanti Sentry oraz platformach SAP NetWeaver i SAP Commerce Cloud, z których niektóre mają bardzo wysoki wskaźnik CVSS, a ich wykorzystanie może prowadzić do zdalnego wykonania kodu czy uzyskania pełnego dostępu administracyjnego.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Wykorzystano lukę w Langflow (CVE-2026-5027) do zdalnego wykonania kodu bez uwierzytelnienia

Odkryto aktywne wykorzystanie krytycznej luki CVE-2026-5027 w Langflow, pozwalającej na zdalne wykonanie kodu bez uwierzytelnienia.

Wykryto aktywne wykorzystanie krytycznej, niezałatanej luki bezpieczeństwa (CVE-2026-5027) w Langflow, platformie do tworzenia aplikacji AI, która umożliwia zdalne wykonanie kodu poprzez błąd path traversal w punkcie końcowym API. Luka pozwala atakującemu na zapisywanie plików w dowolnych lokalizacjach bez konieczności uwierzytelnienia, co stanowi poważne zagrożenie dla danych i infrastruktury firmowej.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

CISA dodaje luki w zabezpieczeniach Cisco, Chrome i Arista do katalogu KEV z powodu aktywnego wykorzystania

CISA dodaje luki w Cisco, Chrome i Arista do katalogu KEV z powodu aktywnego wykorzystania. Brak łatek dla Arista EOS.

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała trzy nowe luki w zabezpieczeniach, zgłoszone jako aktywnie wykorzystywane, do swojego katalogu znanych wykorzystywanych luk (KEV), w tym w produktach Cisco Catalyst SD-WAN Manager, Google Chrome V8 oraz systemie Arista EOS, przy czym dla luki w Arista EOS nie przewidziano łatek, a jedynie środki zaradcze.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Twój zautomatyzowany pentest wygląda czysto. Zobacz, czego nie wykrył, na webinarze ekspertów

Zautomatyzowany pentest może być mylący. Dowiedz się, jakie luki pozostawia i jak je skutecznie zamykać na webinarze ekspertów.

Zautomatyzowane testy penetracyjne mogą dawać wrażenie bezpieczeństwa, gdy liczba wykrytych problemów spada, jednak często oznacza to jedynie, że narzędzie osiągnęło granice swoich możliwości, nie sprawdzając kluczowych aspektów, takich jak reguły detekcji czy konfiguracja chmury. Artykuł podkreśla, że sukces pentestu polega na ocenie reakcji mechanizmów obronnych na znane zachowania atakującego, a nie tylko na identyfikacji potencjalnych ścieżek ataku, co pozwala na priorytetyzację ryzyka i rzeczywiste wzmocnienie bezpieczeństwa.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Microsoft łata rekordowe 206 luk, w tym trzy zero-day i krytyczne podatności RCE

Microsoft załatał rekordowe 206 luk bezpieczeństwa, w tym 3 zero-day. Odkryj krytyczne podatności RCE i dowiedz się, jak AI wpływa na wykrywanie błędów.

Microsoft opublikował aktualizacje łatające rekordową liczbę 206 luk bezpieczeństwa, z czego trzy były publicznie znane przed wydaniem poprawek, a 39 oznaczono jako krytyczne. Pośród załatanych luk znalazły się krytyczne podatności pozwalające na zdalne wykonanie kodu (RCE), eskalację uprawnień oraz obejście mechanizmów bezpieczeństwa, w tym trzy luki typu zero-day, co stanowi znaczący wzrost wykrywania błędów, częściowo przypisywany wykorzystaniu sztucznej inteligencji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Anthropic wypuszcza Claude Fable 5, swoje najpotężniejsze AI, z zabezpieczeniami cybernetycznymi

Anthropic prezentuje Claude Fable 5, najpotężniejsze AI z zaawansowanymi zabezpieczeniami cybernetycznymi, oferując wersję Mythos 5 dla specjalistów.

Anthropic wprowadza Claude Fable 5, swój najbardziej zaawansowany model AI, który jest dostępny publicznie, jednocześnie oferując wersję Mythos 5 dla zweryfikowanych specjalistów ds. cyberbezpieczeństwa, z podniesionymi zabezpieczeniami. Model ten, dzięki zaawansowanym klasyfikatorom bezpieczeństwa, jest w stanie identyfikować i blokować potencjalnie szkodliwe zapytania dotyczące cyberbezpieczeństwa, biologii i chemii, przekierowując je do słabszego modelu lub odmawiając odpowiedzi, przy jednoczesnym minimalnym wpływie na ogólną użyteczność.

Źródło: The Hackers News
Kategoria: Sztuczna Inteligencja
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Wykryto lukę w ServiceNow, która umożliwiła nieautoryzowany dostęp do instancji klientów

ServiceNow ostrzega przed luką pozwalającą na nieautoryzowany dostęp do instancji klientów. Firma podjęła działania zaradcze.

Firma ServiceNow ostrzega przed incydentem bezpieczeństwa, podczas którego nieznani sprawcy wykorzystali lukę umożliwiającą nieautoryzowany dostęp do wrażliwych instancji klientów. Incydent, wykryty po anormalnej aktywności, dotyczył specyficznych klientów korzystających z platformy Australia lub wcześniejszych wersji z określonymi konfiguracjami, a ServiceNow podjęło kroki zaradcze 5 czerwca 2026 roku, ograniczając dostęp do uwierzytelnionych użytkowników.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Microsoft Defender: Nowe zagrożenie zero-day RoguePlanet z dostępem do systemu na zaktualizowanych systemach Windows

Microsoft Defender: Udostępniono exploit "RoguePlanet" na lukę zero-day, która zapewnia dostęp do systemu na zaktualizowanych wersjach Windows.

Nieznany badacz bezpieczeństwa, działający jako Chaotic Eclipse, ujawnił exploit “RoguePlanet” wykorzystujący lukę typu race condition w Microsoft Defender, który umożliwia uzyskanie uprawnień SYSTEM na zaktualizowanych systemach Windows 10 i 11. Microsoft przyznaje, że jest świadomy problemu i prowadzi dochodzenie, jednocześnie podkreślając znaczenie skoordynowanego ujawniania luk.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Sześć luk Proto6 w protobuf.js zagraża aplikacjom Node.js zdalnym wykonaniem kodu i atakami DoS

Sześć krytycznych luk Proto6 w protobuf.js dla Node.js umożliwia RCE i DoS. Aplikacje i procesy CI/CD zagrożone. Zastosuj poprawki!

Odkryto sześć luk bezpieczeństwa (Proto6) w bibliotece protobuf.js, implementacji Protocol Buffers dla JavaScript i TypeScript, które mogą pozwolić atakującym na zdalne wykonanie kodu (RCE) oraz ataki typu denial-of-service (DoS) na aplikacje Node.js, a także na procesy CI/CD i biblioteki chmurowe. Dwie z nich, o wysokim wskaźniku CVSS 8.1 i 8.7, umożliwiają wykonywanie kodu poprzez zanieczyszczenie prototypu lub wstrzyknięcie kodu w wyniku manipulacji nazwami schematów, podczas gdy pozostałe prowadzą do awarii lub zakłócenia działania systemu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Meta wykorzysta dane biznesowe spoza swojej platformy do personalizacji feedu i AI

Meta wykorzysta dane od firm trzecich do personalizacji feedu i odpowiedzi AI. Użytkownicy będą mogli zarządzać tym w ustawieniach.

Meta ogłosiła, że zacznie wykorzystywać informacje udostępniane przez inne firmy do personalizacji treści wyświetlanych użytkownikom w aktualnościach oraz odpowiedzi generowanych przez swój chatbot AI, rozszerzając to zastosowanie poza reklamy. Użytkownicy będą mogli zarządzać tym procesem poprzez zaktualizowane ustawienia dotyczące aktywności poza platformami Meta.

Źródło: The Hackers News
Kategoria: Internet i sieci
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)