A Xerox VersaLink multifunkciós nyomtatók sérülékenységei lehetővé teszik a támadók számára, hogy hitelesítési adatokat szerezzenek pass-back támadások révén, amelyek az LDAP (Lightweight Directory Access Protocol) és SMB/FTP szolgáltatásokat célozzák. A két szóban forgó sérülékenység a CVE-2024-12510 és a CVE-2024-12511 azonosítókon nyomon követhetők, a Xerox biztonsági frissítéseiben már mindkettőt javította. A pass-back támadás lényege, hogy a […]
A termék nem megfelelően osztja ki, módosítja, követi nyomon vagy ellenőrzi egy szereplő jogosultságait, ezáltal nem szándékolt ellenőrzési területet hozva létre számára.
A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.
Adott identitás igénylés esetén, a program nem vagy nem megfelelően igazolja vissza az igény valódiságát.
Amikor egy aktor azt állítja, hogy egy adott identitással rendelkezik, a termék nem bizonyítja, vagy nem megfelelően bizonyítja, hogy az állítás helytálló.
A Steam áruházból ingyenesen letölthető PirateFi nevű játék a Vidar infólopó kártevőt terjesztette a gyanútlan felhasználóknak.
A Google Chrome frissítette a meglévő „Speciális védelem” funkciót mesterséges intelligenciával.
Google két olyan sérülékenységet javított, amelyek együttes kihasználása lehetővé tette a YouTube fiókok e-mail címeinek felfedését.
Az észak-koreai „Kimsuky” nevű állami hackercsoport egy új taktikát alkalmaz, amelyet a terjedő ClickFix kampányok ihlettek.
A szoftver megpróbál hozzáférni egy fájlhoz a fájlnév alapján, de nem akadályozza meg megfelelően, hogy linkből vagy parancsikonból származó fájlnév nem kívánt erőforrást oldjon fel.