CISA has added CVE-2021-26829
(OpenPLC/ScadaBR XSS) to the Known Exploited Vulnerabilities Catalog.

XSS vulnerabilities in ICS/SCADA environments remain a dependable avenue for attackers, and CISA is urging organizations - not just federal - to prioritize remediation.

How does your team track and respond to KEV updates?

Source: https://www.cisa.gov/news-events/alerts/2025/11/28/cisa-adds-one-known-exploited-vulnerability-catalog

🔔 Follow TechNadu for balanced, non-sensational cybersecurity coverage.

#infosec #CISA #KEV #ICS #SCADA #OpenPLC #OTSecurity #XSS #vulnerabilitymanagement #riskmanagement #cybersecuritynews #threatintel

Un esperto ha replicato un attacco che avvia automaticamente Apple Podcasts con contenuti scelti dall’hacker
Il rischio: distribuzione silenziosa se si scopre una vulnerabilità 🛡️🎧
Attacchi XSS, seppur datati, sono stati testati nel 2025

#SicurezzaInformatica #ApplePodcasts #XSS

Apple Podcasts Security Concerns

https://techlife.blog/posts/apple-podcasts-app-security-concerns/

#Apple #Podcasts #Security #XSS

„Nawiedzone” Apple Podcasts? Ktoś próbuje wstrzykiwać złośliwy kod przez aplikację

Czy zdarzyło Ci się ostatnio, że aplikacja Podcasty na Twoim iPhonie lub Macu uruchomiła się sama z siebie, odtwarzając losowe audycje o tematyce duchowej lub religijnej?

Jeśli tak, nie zwariowałeś – to element dziwnego zjawiska, które nagłośnił serwis 404 Media. Wygląda na to, że ktoś testuje zabezpieczenia platformy Apple, próbując przeprowadzić ataki typu XSS (Cross-Site Scripting).

Kazania z kodem w tle

Joseph Cox z 404 Media opisuje sytuację, w której aplikacja Podcasty otwierała się samoczynnie, prezentując audycje o tytułach wyglądających jak błędy w kodzie, np. 5../XEWE2′””&#x22″onclic…. W rzeczywistości są to fragmenty skryptów.

Jeden z takich „podcastów” zawierał w sekcji „Strona programu” link przekierowujący do witryny próbującej wykonać atak XSS. Choć na ten moment wydaje się to raczej formą „badania gruntu” przez hakerów lub spamerów, niż masowym atakiem kradnącym dane, sytuacja budzi obawy ekspertów.

Luka w automatycznym uruchamianiu

Sprawie przyjrzał się Patrick Wardle, znany ekspert ds. bezpieczeństwa macOS. Potwierdził on, że najbardziej niepokojącym aspektem nie jest sama treść podcastów, ale łatwość, z jaką można wymusić uruchomienie aplikacji.

„Wystarczy odwiedzić odpowiednią stronę internetową, aby wyzwolić otwarcie aplikacji Podcasty i załadowanie wybranej przez atakującego audycji. W przeciwieństwie do innych aplikacji, jak np. Zoom, na macOS nie pojawia się żaden monit z prośbą o zgodę użytkownika” – zauważa Wardle.

Mechanizm ten przypomina plagę spamu w Kalendarzu Google sprzed kilku lat, gdzie złośliwe linki były przemycane w zaproszeniach na wydarzenia. Apple na razie nie odniosło się do sprawy, mimo wielokrotnych próśb o komentarz.

Apple przedstawia najpopularniejsze programy i trendy w Apple Podcasts w roku 2025

#applePodcasts #cyberbezpieczenstwo #ios #macos #news #patrickWardle #spam #xss

Wird Apple Podcasts als Angriffsweg missbraucht?
Ein ungewöhnliches Verhalten der Apple-Podcasts-App sorgt derzeit für Fragen. Mehrere Nutzer:innen berichten von automatisch startenden Podcasts zu Religion, Spiritualität und Bildung – ohne erkennbaren Grund.

Podcasts öffnen sich ohne ersichtlichen
https://www.apfeltalk.de/magazin/news/wird-apple-podcasts-als-angriffsweg-missbraucht/
#iPhone #News #404Media #Apple #CrossSiteScripting #iOS #macOS #Podcasts #Sicherheit #SixColors #XSS

REGEXSS: How Turned Into over $6k in Bounties

Over-greedy regex replacements in HTML sanitisation enable unauthenticated XSS bugs; author reports >$6k in bounties exploiting this class.

https://sec.stealthcopter.com/regexss/

#Regex #XSS