A támadók aktívan kihasználják az SAP NetWeaver szerver sebezhetőségét

Beküldte kami911 - 2025. máj. 12. 18:23

Az SAP közzétette a CVE-2025-31324 azonosítójú hitelesítést nem igénylő fájlfeltöltési (unauthenticated file upload) sérülékenységet, amely az SAP NetWeaver Visual Composer, azon belül is a Metadata Uploader komponensét érinti.

0day sérülékenységet használtak ki a Commvault Azure környezetében

Beküldte kami911 - 2025. máj. 10. 13:32

A Commvault, az egyik vezető vállalati adatmentési platform nyilvánosságra hozta, hogy egy ismeretlen támadó sikeresen behatolt a Commvault Microsoft Azure-alapú környezetébe. A támadás során egy korábban nem ismert, 0day sérülékenységet használtak ki, amely a Commvault Web Server komponensében található.

Súlyos sebezhetőségeket találtak az Apple AirPlay protokollban

Beküldte kami911 - 2025. máj. 06. 15:45

A kiberbiztonsági szakemberek újabb kritikus sérülékenységekre hívták fel a figyelmet az Apple AirPlay protokolljában és az AirPlay SDK-ban. Az Oligo Security kutatói által felfedezett, AirBorne gyűjtőnéven ismertté vált hibák 23 különböző sebezhetőséget tartalmaznak.

Új biztonsági hibát tárt fel az NVIDIA a Linux GPU-illesztőprogramjaiban

Beküldte kami911 - 2025. ápr. 28. 21:11

Az NVIDIA friss biztonsági közleményében egy új sebezhetőségre hívta fel a figyelmet Linux rendszereken használt grafikus kártya-illesztőprogramjaikban. A CVE-2025-23244 azonosítójú hiba komoly kockázatot jelenthet, ezért minden érintett felhasználónak javasolt a mielőbbi frissítés.

Kritikus sebezhetőséget használnak ki a SonicWall SMA 100 eszközökön

Beküldte kami911 - 2025. ápr. 28. 18:10

A CISA figyelmeztetést adott ki az a SonicWall Secure Mobile Access (SMA) 100 sorozatú eszközök ellen irányuló támadásokkal kapcsolatban. Az érintett rendszerek egy távoli kódfuttatásra alkalmas, magas kockázatú sérülékenységet tartalmaznak, amely lehetőséget biztosít támadók számára a rendszer kompromittálására, minimális jogosultság és alacsony támadási komplexitás mellett.

Veszélyben a kiberbiztonság szókincse: leállhat a CVE-adatbázis az amerikai finanszírozás megszűnése miatt

Beküldte kami911 - 2025. ápr. 16. 05:49

A világ egyik fontos kiberbiztonsági adatbázisa, a Common Vulnerabilities and Exposures (CVE) jövője kérdésessé vált, miután a Reuters jelentése szerint az amerikai kormány április 17-én megszünteti a finanszírozását. A MITRE által fenntartott rendszer kulcsfontosságú szerepet tölt be a sérülékenységek azonosításában és kezelésében világszerte – leállása súlyos zavarokat idézhet elő az informatikai védelem területén.

Kritikus biztonsági rés a FortiSwitch-ben

Beküldte kami911 - 2025. ápr. 14. 22:06

A Fortinet egy kritikus biztonsági résre figyelmeztet, amely a FortiSwitch termékcsaládot érinti. A CVE-2024-48887 azonosítójú sebezhetőség a CVSS (Common Vulnerability Scoring System) szerint 9.3-as pontszámot kapott a 10-ből és sürgős intézkedést igényel.

Hackerek a volán mögött: így vették át az irányítást egy Nissan Leaf felett

Beküldte kami911 - 2025. ápr. 14. 21:03

A PCAutomotive biztonsági kutatói a Black Hat Asia 2025 konferencián mutatták be, miként tudták távolról átvenni egy 2020-as gyártású, második generációs Nissan Leaf elektromos jármű teljes szoftveres és részben fizikai irányítását. A több lépcsős támadási lánc nemcsak megfigyelést, hanem kritikus járműfunkciók manipulálását is lehetővé tette.

Kritikus sebezhetőség a WhatsApp-ban!

Beküldte kami911 - 2025. ápr. 14. 20:34

A Meta biztonsági csapata súlyos biztonsági rést fedezett fel a WhatsApp for Windows asztali alkalmazásában, amely CVE-2025-30401 azonosítót kapta. Ez a sérülékenység távoli kódfuttatást tesz lehetővé, ha a felhasználó a WhatsApp Desktopban megnyitott egy manipulált fájlcsatolmányt.

Aktívan kihasznált nulladik napi sérülékenységeket is javítottak az androidos frissítéssel

Beküldte kami911 - 2025. ápr. 14. 03:47

Javasolt mielőbb frissíteni az Androidos rendszereket, ugyanis a Google által kiadott áprilisi biztonsági frissítéssel összesen 62 darab sérülékenység, köztük két, célzott támadások során is kihasznált, zero day sebezhetőség (CVE-2024-53197, CVE-2024-53150) is javításra került.

Gyorsabb dekódolás és biztonságosabb működés

Beküldte kami911 - 2025. ápr. 07. 06:04

Az XZ Utils tömörítőeszköz 5.8-as verziója számos teljesítménybeli és biztonsági fejlesztéssel érkezett. A nyílt forráskódú, .xz formátumot kezelő C99-alapú eszközkészlet mostantól még hatékonyabban használható a különböző architektúrákon.

A frissítés a liblzma könyvtár teljesítményét optimalizálja:

Kritikus biztonsági sebezhetőséget találtak a Next.js-ben

Beküldte kami911 - 2025. ápr. 07. 05:53

A Next.js, a modern webfejlesztésben széles körben alkalmazott React-alapú keretrendszer, egy kritikus sérülékenységet tartalmaz, amely lehetővé teszi a middleware által végzett biztonsági ellenőrzések megkerülését.

Biztonsági hiba az AMD Zen processzorokban – az „EntrySign” sebezhetőség

Beküldte kami911 - 2025. már. 24. 23:00

A Google biztonsági kutatói részletes információkat tettek közzé az "EntrySign" nevű sérülékenységről, amely az összes AMD Zen processzort érinti egészen a Zen 4 generációig.

Apache Tomcat PUT kérésből teljes irányítás

Beküldte kami911 - 2025. már. 23. 22:34

Az Apache Tomcat legújabb, kritikus súlyosságú biztonsági hibája, a CVE-2025-24813 távoli kódfuttatást tesz lehetővé. A támadók egy egyszerű PUT kéréssel teljesen átvehetik az irányítást a kiszolgáló felett. A sérülékenységet már aktívan kihasználják, és alig 30 órával a hiba nyilvánosságra kerülése után bizonyító erejű (PoC) exploitok jelentek meg a GitHubon.

Frissíts, ha tudsz: aktívan kihasználják a FreeType sérülékenységét

Beküldte kami911 - 2025. már. 23. 21:55

A FreeType nyílt forráskódú betűkészlet-megjelenítő könyvtárban egy kritikus biztonsági sérülékenységet fedeztek fel, amely távoli kódfuttatást tehet lehetővé. A CVE-2025-27363 azonosítón nyomon követett sérülékenység súlyosságát jelzi a 8,1-es CVSS pontszám, továbbá az is, hogy a jelentések szerint jelenleg aktív kihasználás alatt áll.

CVE