Tags

8 stron

Wykonanie Kodu

Wada w aplikacji Cursor pozwala na wykonanie złośliwego kodu przez sklonowane repozytoria

Krytyczna luka w aplikacji Cursor pozwala na wykonanie złośliwego kodu przez otwarcie sklonowanego repozytorium. Problem wciąż nie został załatany.

Aplikacja Cursor dla systemu Windows posiada krytyczną lukę, która umożliwia wykonanie dowolnego kodu po otwarciu złośliwie spreparowanego repozytorium. Jeśli w głównym katalogu projektu znajduje się plik o nazwie ‘git.exe’, Cursor uruchamia go bez ostrzeżenia, nadając atakującemu pełne uprawnienia użytkownika. Problem ten, zgłoszony przez firmę Mindgard, wciąż nie został załatany, a jego mechanizm polega na sposobie wyszukiwania przez aplikację pliku wykonywalnego Git.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Krytyczna luka w Zimbra pozwala na wykonanie złośliwego kodu w sesjach użytkowników

Krytyczna luka w Zimbra pozwala na wykonanie złośliwego kodu w sesjach użytkowników poprzez spreparowane e-maile. Aktualizacja jest kluczowa.

Zimbra ostrzega przed krytyczną luką bezpieczeństwa w Klasycznym Interfejsie Webowym, umożliwiającą wykonanie dowolnego kodu poprzez specjalnie spreparowane wiadomości e-mail. Problem ten, będący formą ataku typu stored XSS, może prowadzić do przejęcia sesji, kradzieży danych uwierzytelniających i kompromitacji kont, a użytkownicy są zalecani do aktualizacji do wersji 10.1.19.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Badacz ujawnia łańcuch ataków WhatsApp-to-Host wykorzystujący trzy luki w OpenClaw

Trzy luki w asystencie AI OpenClaw umożliwiają ataki WhatsApp-to-Host, kradzież danych i wykonanie kodu. Zalecane aktualizacje i środki bezpieczeństwa.

Badacz bezpieczeństwa odkrył trzy poważne, już załatane luki w asystencie AI OpenClaw, które umożliwiają kradzież danych uwierzytelniających, eskalację uprawnień i wykonanie dowolnego kodu na hoście. Wykorzystując te luki, atakujący mogą zdalnie przejąć kontrolę nad systemem, wykorzystując jedynie wiadomość przesłaną przez WhatsApp, co pozwala na dostęp do wrażliwych danych takich jak klucze SSH czy dane uwierzytelniające AWS, a nawet uzyskanie pełnego dostępu do hosta przez gniazdo Docker. Zaleca się aktualizację OpenClaw, włączenie trybu piaskownicy dla nie-głównych sesji oraz monitorowanie podejrzanych poleceń git.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

9-letnia luka w jądrze Linuksa umożliwia wykonanie komend jako root

Odkryto 9-letnią lukę w jądrze Linuksa (CVE-2026-46333), która pozwala na wykonanie komend jako root. Zalecane są aktualizacje.

Odkryto 9-letnią lukę w jądrze Linuksa (CVE-2026-46333), która pozwala nieuprzywilejowanemu użytkownikowi na ujawnienie wrażliwych plików oraz wykonanie dowolnych komend z uprawnieniami roota na popularnych dystrybucjach. Dotyczy to w szczególności funkcji __ptrace_may_access() i została wprowadzona w listopadzie 2016 roku, a jej wykorzystanie umożliwia przejęcie kontroli nad systemem, ujawniając klucze SSH i hasła.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Nowa luka w Exim umożliwia wykonanie kodu po stronie serwera przez GnuTLS

Krytyczna luka w Exim (CVE-2026-45185) umożliwia wykonanie kodu po stronie serwera przez atakującego przy użyciu GnuTLS. Zalecana aktualizacja.

W systemie Exim, popularnym serwerze pocztowym MTA, odkryto krytyczną lukę bezpieczeństwa (CVE-2026-45185), która pozwala na wykonanie kodu przez atakującego. Problem dotyczy specyficznych konfiguracji z użyciem biblioteki GnuTLS i jest aktywowany podczas obsługi rozszerzenia BDAT przy nieprawidłowym zakończeniu połączenia TLS.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Krytyczna luka w Ollama pozwala na wyciek pamięci procesów

Krytyczna luka w Ollama (CVE-2026-7482) umożliwia wyciek pamięci procesów, a luki w aktualizacjach Windows pozwalają na wykonanie kodu. Zalecane pilne łatanie.

Odkryto krytyczną lukę typu out-of-bounds read w Ollama (CVE-2026-7482), która może pozwolić zdalnemu atakującemu na wyciek całej pamięci procesu, potencjalnie wpływając na setki tysięcy serwerów. Dodatkowo, dwa unieważnione luki w mechanizmie aktualizacji Ollama dla Windows umożliwiają trwałe wykonanie kodu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Wrażliwości w bibliotece vm2 Node.js umożliwiają przełamanie piaskownicy i wykonanie dowolnego kodu

Dwanaście krytycznych luk w bibliotece vm2 Node.js pozwala na przełamanie piaskownicy i wykonanie dowolnego kodu na systemach.

Odkryto tuzin krytycznych luk bezpieczeństwa w bibliotece vm2 Node.js, które mogą zostać wykorzystane przez cyberprzestępców do obejścia mechanizmów piaskownicy i wykonania dowolnego kodu na podatnych systemach. Biblioteka vm2, służąca do bezpiecznego uruchamiania niezaufanego kodu JavaScript, okazała się mieć poważne deficyty, które pozwalają na eskalację uprawnień i przejęcie kontroli nad systemem.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Krytyczna luka w Apache HTTP/2 (CVE-2026-23918) umożliwia DoS i potencjalne wykonanie kodu

Krytyczna luka CVE-2026-23918 w Apache HTTP/2 stwarza ryzyko RCE i DoS. Apache wydało poprawki bezpieczeństwa. Zalecana aktualizacja.

Odkryto krytyczną lukę bezpieczeństwa (CVE-2026-23918) w protokole HTTP/2 serwera Apache HTTP, która pozwala na wykonanie zdalnego kodu (RCE) oraz odmowę usługi (DoS). Luka, typu “double free”, istnieje w wersji 2.4.66 i została załatana w 2.4.67, a jej wykorzystanie w celu RCE wymaga specyficznych konfiguracji APR.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)