Nexpose Rapid7 Perbaiki Bug SQL Injection, Update Segera!

Rapid7 telah menambal kerentanan injeksi SQL kritis di Nexpose, perangkat lunak manajemen kerentanan lokalnya.

Bug, yang memiliki peringkat CVSS 9,8, muncul karena operator pencarian yang valid tidak ditentukan, menurut deskripsi CVE untuk bug, yang dilacak sebagai CVE-2022-0757.

Akibatnya, penyerang dapat menyuntikkan kode SQL setelah memanipulasi operator kueri filter `SEMUA` atau `APA PUN` di SearchCriteria. (more…)

Continue ReadingNexpose Rapid7 Perbaiki Bug SQL Injection, Update Segera!

Data Nakes Amerika Bocor, 85.000 Penegak Hukum Jadi Korban Pencurian Data

Manfaat Kesehatan Penegakan Hukum terkena serangan ransomware tahun lalu , penyerang mulai mengenkripsi file yang disimpan di jaringannya pada 14 September 2021.

Penyelidikan selanjutnya mengarah pada penemuan pada 25 Februari bahwa “file tertentu yang terpengaruh” yang berisi informasi pribadi anggota mungkin telah dihapus dari jaringan oleh pihak yang tidak berwenang. (more…)

Continue ReadingData Nakes Amerika Bocor, 85.000 Penegak Hukum Jadi Korban Pencurian Data

Awas! Spring Cloud Alami Serangan Code Inject, Cek Sekarang

Perbaikan tampaknya telah didorong tetapi tidak tersedia dalam rilis stabil. Peneliti keamanan cyber telah mengungkapkan cacat injeksi kode dalam kerangka kerja komputasi Spring Cloud yang menimbulkan risiko serangan jarak jauh.

Pada 28 Maret, perusahaan infosec NSFOCUS menerbitkan penasihat keamanan yang menjelaskan kerentanan di Spring Cloud Function yang memungkinkan penyerang untuk “menyediakan Spring Expression Language (SpEL) yang dibuat secara khusus sebagai ekspresi perutean yang dapat menghasilkan akses ke sumber daya lokal”. (more…)

Continue ReadingAwas! Spring Cloud Alami Serangan Code Inject, Cek Sekarang

Impress CMS Alami Serangan SQL Injection, Segera Update!

Kerentanan di ImpressCMS dapat memungkinkan penyerang yang tidak diautentikasi untuk melewati perlindungan injeksi SQL perangkat lunak untuk mencapai eksekusi kode jarak jauh (RCE), seorang peneliti keamanan telah memperingatkan.

Kerentanan, SQL cacat injeksi (CVE-2021-26599) dan bug kontrol akses, kini telah ditambal dalam versi terbaru dari sistem manajemen konten sumber terbuka (CMS) yang populer. alat keamanan – pada akhirnya berarti bahwa fitur yang dirancang untuk melindungi dari eksploitasi injeksi SQL dapat disalahgunakan dan diubah terhadap aplikasi host. (more…)

Continue ReadingImpress CMS Alami Serangan SQL Injection, Segera Update!

Pabrik Morinaga Jepang Kena Hack, Ada Lubang Keamanan di Jaringan Pabrik

Produsen penganan Jepang Morinaga telah memperingatkan bahwa dugaan pelanggaran data toko online-nya mungkin telah mengungkap informasi pribadi lebih dari 1,6 juta pelanggan.

Informasi yang berpotensi terpapar termasuk nama, alamat, nomor telepon, tanggal lahir, riwayat pembelian, dan, dalam waktu kurang dari 4.000 kasus, alamat email pelanggan Morinaga Direct yang terpengaruh. (more…)

Continue ReadingPabrik Morinaga Jepang Kena Hack, Ada Lubang Keamanan di Jaringan Pabrik

Bug Parser HTML Picu kelemahan keamanan Chromium XSS

Situs web yang dianggap dilindungi XSS bisa saja secara tidak sengaja terkena serangan XSS di sesi Chrome. Bug parser “gila” yang berpotensi menyebabkan eksploitasi XSS telah ditambal oleh pengembang Chromium.

Kerentanan dilaporkan pada Juli 2021 kepada pengembang Chromium oleh Michał Bentkowski, seorang penguji penetrasi untuk perusahaan keamanan siber Polandia Securitum.

Dalam sebuah tweet, Bentkowski mengatakan bug tersebut adalah “bug parser paling gila yang pernah saya temukan”.

Dilacak sebagai CVE-2022-0801, kerentanan tingkat menengah digambarkan sebagai implementasi yang tidak tepat HTML parser. (more…)

Continue ReadingBug Parser HTML Picu kelemahan keamanan Chromium XSS

Backend API Jadi Korban Serangan, Data Kamu Bisa Dicuri dengan Mudah!

API yang tidak dilindungi dapat mengekspos nama, tempat, waktu pemesanan yang dilakukan menggunakan app.

Kerentanan kontrol akses di platform penjadwalan sumber terbuka Mudah! Janji temu memberi penyerang yang tidak diautentikasi akses mudah ke informasi pengenal pribadi (PII), seorang peneliti keamanan telah mengungkapkan. (more…)

Continue ReadingBackend API Jadi Korban Serangan, Data Kamu Bisa Dicuri dengan Mudah!

Cara Membuat Serangan XSS dengan Inject Javascript di File JPEG

Pada tutorial singkat tentang computer security kali ini, kita akan membahas bagaimana cara menyerang kelemahan server dengan teknik XSS (cross-site scripting). Caranya secara sederhana adalah dengan membenamkan script javascript ke dalam file JPEG yang akan kita upload ke target.
(more…)

Continue ReadingCara Membuat Serangan XSS dengan Inject Javascript di File JPEG