Rapid7 telah menambal kerentanan injeksi SQL kritis di Nexpose, perangkat lunak manajemen kerentanan lokalnya.
Bug, yang memiliki peringkat CVSS 9,8, muncul karena operator pencarian yang valid tidak ditentukan, menurut deskripsi CVE untuk bug, yang dilacak sebagai CVE-2022-0757.
Akibatnya, penyerang dapat menyuntikkan kode SQL setelah memanipulasi operator kueri filter `SEMUA` atau `APA PUN` di SearchCriteria. (more…)
Manfaat Kesehatan Penegakan Hukum terkena serangan ransomware tahun lalu , penyerang mulai mengenkripsi file yang disimpan di jaringannya pada 14 September 2021.
Penyelidikan selanjutnya mengarah pada penemuan pada 25 Februari bahwa “file tertentu yang terpengaruh” yang berisi informasi pribadi anggota mungkin telah dihapus dari jaringan oleh pihak yang tidak berwenang. (more…)
Perbaikan tampaknya telah didorong tetapi tidak tersedia dalam rilis stabil. Peneliti keamanan cyber telah mengungkapkan cacat injeksi kode dalam kerangka kerja komputasi Spring Cloud yang menimbulkan risiko serangan jarak jauh.
Pada 28 Maret, perusahaan infosec NSFOCUS menerbitkan penasihat keamanan yang menjelaskan kerentanan di Spring Cloud Function yang memungkinkan penyerang untuk “menyediakan Spring Expression Language (SpEL) yang dibuat secara khusus sebagai ekspresi perutean yang dapat menghasilkan akses ke sumber daya lokal”. (more…)
Kerentanan di ImpressCMS dapat memungkinkan penyerang yang tidak diautentikasi untuk melewati perlindungan injeksi SQL perangkat lunak untuk mencapai eksekusi kode jarak jauh (RCE), seorang peneliti keamanan telah memperingatkan.
Kerentanan, SQL cacat injeksi (CVE-2021-26599) dan bug kontrol akses, kini telah ditambal dalam versi terbaru dari sistem manajemen konten sumber terbuka (CMS) yang populer. alat keamanan – pada akhirnya berarti bahwa fitur yang dirancang untuk melindungi dari eksploitasi injeksi SQL dapat disalahgunakan dan diubah terhadap aplikasi host. (more…)
Produsen penganan Jepang Morinaga telah memperingatkan bahwa dugaan pelanggaran data toko online-nya mungkin telah mengungkap informasi pribadi lebih dari 1,6 juta pelanggan.
Informasi yang berpotensi terpapar termasuk nama, alamat, nomor telepon, tanggal lahir, riwayat pembelian, dan, dalam waktu kurang dari 4.000 kasus, alamat email pelanggan Morinaga Direct yang terpengaruh. (more…)
Situs web yang dianggap dilindungi XSS bisa saja secara tidak sengaja terkena serangan XSS di sesi Chrome. Bug parser “gila” yang berpotensi menyebabkan eksploitasi XSS telah ditambal oleh pengembang Chromium.
Kerentanan dilaporkan pada Juli 2021 kepada pengembang Chromium oleh Michał Bentkowski, seorang penguji penetrasi untuk perusahaan keamanan siber Polandia Securitum.
Dalam sebuah tweet, Bentkowski mengatakan bug tersebut adalah “bug parser paling gila yang pernah saya temukan”.
Dilacak sebagai CVE-2022-0801, kerentanan tingkat menengah digambarkan sebagai implementasi yang tidak tepat HTML parser. (more…)
API yang tidak dilindungi dapat mengekspos nama, tempat, waktu pemesanan yang dilakukan menggunakan app.
Kerentanan kontrol akses di platform penjadwalan sumber terbuka Mudah! Janji temu memberi penyerang yang tidak diautentikasi akses mudah ke informasi pengenal pribadi (PII), seorang peneliti keamanan telah mengungkapkan. (more…)
Pada tutorial singkat tentang computer security kali ini, kita akan membahas bagaimana cara menyerang kelemahan server dengan teknik XSS (cross-site scripting). Caranya secara sederhana adalah dengan membenamkan script javascript ke dalam file JPEG yang akan kita upload ke target.
(more…)
Mengapa di dunia akan koleksi avatar gorila nonfungible token (NFT) yang disebut Bored Ape Yacht Club (BAYC), dijalankan oleh 30-an dengan menggunakan alias seperti "Emperor Tomato Ketchup" dan "No Sass"…
Pelanggan QNAP Systems yang berbasis di Taiwan berada dalam situasi yang agak limbo, menunggu hingga perusahaan merilis patch untuk bug OpenSSL yang telah diperingatkan perusahaan akan memengaruhi sebagian besar perangkat…