sekurak NewsDec 22

Podatności w React Server Components zbierają żniwa… i pojawiają się kolejne

Wciąż nie milkną echa krytycznej (CVSS 10/10) podatności w React Server Components. Co ważne, aplikacja jest podatna nawet wtedy, gdy nie implementuje bezpośrednio tych komponentów. Wystarczy, że zainstalowane są zależności w podatnych wersjach (m.in. 19.0, 19.1.0, 19.1.1, 19.2.0 i nie tylko – czytaj do końca!). Dodatkowo podatny jest np. wykorzystujący...

#Aktualności #Deserializacja #Rce #React #React4shell #Web

https://sekurak.pl/podatnosci-w-react-server-components-zbieraja-zniwa-i-pojawiaja-sie-kolejne/

Podatności w React Server Components zbierają żniwa… i pojawiają się kolejne

Wciąż nie milkną echa krytycznej (CVSS 10/10) podatności w React Server Components. Co ważne, aplikacja jest podatna nawet wtedy, gdy nie implementuje bezpośrednio tych komponentów. Wystarczy, że zainstalowane są zależności w podatnych wersjach (m.in. 19.0, 19.1.0, 19.1.1, 19.2.0 i nie tylko – czytaj do końca!). Dodatkowo podatny jest np. wykorzystujący...

Sekurak
sekurak NewsDec 4

Krytyczna podatność unauth remote code execution w React Server Components. 10/10 w skali CVSS. CVE-2025-55182

Podatny jest komponent React Server Components (czyli część serwerowa frameworku frontendowego ;). Jeśli nie masz tego zainstalowanego – nie jesteś podatny. Jeśli masz zainstalowane React Server Components (nawet jak Twoja appka z tego nie korzysta) – to cały czas możesz być podatny: “Even if your app does not implement any...

#WBiegu #Deserializacja #Rce #Websec

https://sekurak.pl/krytyczna-podatnosc-unauth-remote-code-execution-w-react-server-components-10-10-w-skali-cvss-cve-2025-55182/

Krytyczna podatność unauth remote code execution w React Server Components. 10/10 w skali CVSS. CVE-2025-55182

Podatny jest komponent React Server Components (czyli część serwerowa frameworku frontendowego ;). Jeśli nie masz tego zainstalowanego – nie jesteś podatny. Jeśli masz zainstalowane React Server Components (nawet jak Twoja appka z tego nie korzysta) – to cały czas możesz być podatny: “Even if your app does not implement any...

Sekurak
sekurak NewsNov 20

ShadowMQ – niebezpieczny wzorzec deserializacji pickle wykryty w wielu silnikach wnioskowania AI

Badacze bezpieczeństwa z Oligo Security wykryli szereg podatności pozwalających na zdalne wykonanie kodu w głównych frameworkach do wnioskowania sztucznej inteligencji. Luki bezpieczeństwa występują w produktach oferowanych przez Meta, NVIDIA, Microsoft, vLLM oraz SGLang. Problem tkwi w niebezpiecznej kombinacji ZeroMQ i deserializacji pickle w Pythonie. Co ciekawe, szczególną uwagę badaczy zwrócił...

#Aktualności #Ai #Cve #Deserializacja #Llm #Python #Rce #Shadowmq #Zeromqv

https://sekurak.pl/shadowmq-niebezpieczny-wzorzec-deserializacji-pickle-wykryty-w-wielu-silnikach-wnioskowania-ai/

ShadowMQ – niebezpieczny wzorzec deserializacji pickle wykryty w wielu silnikach wnioskowania AI

Badacze bezpieczeństwa z Oligo Security wykryli szereg podatności pozwalających na zdalne wykonanie kodu w głównych frameworkach do wnioskowania sztucznej inteligencji. Luki bezpieczeństwa występują w produktach oferowanych przez Meta, NVIDIA, Microsoft, vLLM oraz SGLang. Problem tkwi w niebezpiecznej kombinacji ZeroMQ i deserializacji pickle w Pythonie. Co ciekawe, szczególną uwagę badaczy zwrócił...

Sekurak
sekurak NewsJul 21, 2025

Łatajcie szybko swoje Sharepointy – aktywnie wykorzystywana krytyczna podatność

Zanim przejdziecie do dalszej lektury tego krótkiego newsa, zalecamy abyście zainstalowali KB5002754 (Microsoft SharePoint Server 2019), lub KB5002768 (Microsoft SharePoint Subscription Edition). Dla wersji Server 2016 nie ma jeszcze aktualizacji. Producent zaleca rotację kluczy (po łatce). Kompleksowy skrót informacji został opublikowany na stronie CISA. To teraz na spokojnie, co się...

#WBiegu #Deserializacja #Microsoft #Podatność #Rce #Sharepoint #Websec

https://sekurak.pl/latajcie-szybko-swoje-sharepointy-aktywnie-wykorzystywana-krytyczna-podatnosc/

Łatajcie szybko swoje Sharepointy - aktywnie wykorzystywana krytyczna podatność

Zanim przejdziecie do dalszej lektury tego krótkiego newsa, zalecamy abyście zainstalowali KB5002754 (Microsoft SharePoint Server 2019), lub KB5002768 (Microsoft SharePoint Subscription Edition). Dla wersji Server 2016 nie ma jeszcze aktualizacji. Producent zaleca rotację kluczy (po łatce). Kompleksowy skrót informacji został opublikowany na stronie CISA. To teraz na spokojnie, co się...

Sekurak
sekurak NewsNov 15, 2024

Krytyczna podatność w Citrix Virtual Apps and Desktops

Rozwiązania takie jak Citrix Virtual Apps and Desktops pozwalają zmienić paradygmat pracy, dzięki scentralizowanej platformie, która odpowiada za wirtualizację, pracownicy mogą kontynuować wykonywanie swoich zadań od miejsca, w którym je skończyli na zupełnie innym urządzeniu. Centralizacja pozwala na ułatwienie zarządzania czy monitorowania, co może mieć pozytywny wpływ na bezpieczeństwo. Przeniesienie...

#WBiegu #Binaryformatter #Citrix #Deserializacja #Msmq #Rce

https://sekurak.pl/krytyczna-podatnosc-w-citrix-virtual-apps-and-desktops/

Krytyczna podatność w Citrix Virtual Apps and Desktops

Rozwiązania takie jak Citrix Virtual Apps and Desktops pozwalają zmienić paradygmat pracy, dzięki scentralizowanej platformie, która odpowiada za wirtualizację, pracownicy mogą kontynuować wykonywanie swoich zadań od miejsca, w którym je skończyli na zupełnie innym urządzeniu. Centralizacja pozwala na ułatwienie zarządzania czy monitorowania, co może mieć pozytywny wpływ na bezpieczeństwo. Przeniesienie...

Sekurak
sekurak NewsJun 20, 2024

Deserializacja atakuje modele ML po raz kolejny, tym razem jeszcze skuteczniej

Zachłyśnięcie się rozwojem technologii powszechnie określanej jako AI (sztuczna inteligencja), powoduje lawinowy wzrost projektów, również tych otwartych. Ponieważ procesy uczenia, nakładania ograniczeń na model oraz fine-tuningu (dostrajania) są raczej kosztowne, to możliwe jest zapisanie stanu poprzez wyeksportowanie zserializowanych modeli w celu ich późniejszego załadowania i użycia lub udostępniania w sieci....

#WBiegu #Ai #Deserializacja #Llm #Pickle #Python

https://sekurak.pl/deserializacja-atakuje-modele-ml-po-raz-kolejny-tym-razem-jeszcze-skuteczniej/

Deserializacja atakuje modele ML po raz kolejny, tym razem jeszcze skuteczniej

Zachłyśnięcie się rozwojem technologii powszechnie określanej jako AI (sztuczna inteligencja), powoduje lawinowy wzrost projektów, również tych otwartych. Ponieważ procesy uczenia, nakładania ograniczeń na model oraz fine-tuningu (dostrajania) są raczej kosztowne, to możliwe jest zapisanie stanu poprzez wyeksportowanie zserializowanych modeli w celu ich późniejszego załadowania i użycia lub udostępniania w sieci....

Sekurak
sekurak NewsMay 11, 2024

Można było czytać zmienne środowiskowe i wykonać kod na serwerach Githuba

Każdy zespół bezpieczeństwa lubi otrzymać zgłoszenie podatności w piątek po 17. Tym razem autor znaleziska (@Creastery) opisuje szczegóły podatności, którą odnalazł w okolicach Świąt Bożego Narodzenia 2023, odrywając zespół reagowania na incydenty od makowca. Użytkownicy GitHuba mogli trafić na ogłoszenie, w którym informowano że sekrety, takie jak klucze API itd....

#WBiegu #Deserializacja #Github #Podatność #Rce #Rubyonrails

https://sekurak.pl/mozna-bylo-czytac-zmienne-srodowiskowe-i-wykonac-kod-na-serwerach-githuba/

Można było czytać zmienne środowiskowe i wykonać kod na serwerach Githuba

Każdy zespół bezpieczeństwa lubi otrzymać zgłoszenie podatności w piątek po 17. Tym razem autor znaleziska (@Creastery) opisuje szczegóły podatności, którą odnalazł w okolicach Świąt Bożego Narodzenia 2023, odrywając zespół reagowania na incydenty od makowca. Użytkownicy GitHuba mogli trafić na ogłoszenie, w którym informowano że sekrety, takie jak klucze API itd....

Sekurak