Jak złośliwa konfiguracja w Claude Code umożliwiała zdalne wykonanie kodu i wykradanie kluczy API

Badacze z Check Point Research odkryli podatności w Claude Code (Anthropic), które pozwalają atakującym na zdalne wykonanie kodu i kradzież kluczy API. Luki wykorzystują różne mechanizmy konfiguracji, w tym Hooks, serwery Model Context Protocol (MCP) oraz zmienne środowiskowe – umożliwiając wykonywanie poleceń i wykradanie poświadczeń, gdy użytkownik otworzy złośliwe repozytorium....

#Aktualności #WBiegu #Ai #Claude #Podatność #Rce

https://sekurak.pl/jak-zlosliwa-konfiguracja-w-claude-code-umozliwiala-zdalne-wykonanie-kodu-i-wykradanie-kluczy-api/

Jak tworząc issue przejąć repozytorium? Prompt injection w GitHub Codespaces

Badacze z Orca Security odkryli podatność prompt injection w GitHub Codespaces. Pozwoliło to w opisie (w ramach issues) przekazać modelowi złośliwe instrukcje i przy pomocy kilku narzędzi wykraść token wygenerowany dla danego środowiska. W efekcie umożliwiło to przejęcie kontroli nad repozytorium. TLDR: GitHub Issues to narzędzie do śledzenia zadań, błędów...

#Aktualności #Teksty #Ai #Copilot #Github #Podatność #Promptinjection

https://sekurak.pl/jak-tworzac-issue-przejac-repozytorium-prompt-injection-w-github-codespaces/

Problemy z walidacją nazw plików umożliwiały RCE i patch bypass w narzędziu FreeScout

W aplikacji FreeScout odkryto podatność Remote Code Execution (RCE). Dzięki możliwości wgrania na serwer pliku .htaccess, a następnie pliku tekstowego (który przekazywany był do interpretera PHP) możliwe było wykonanie dowolnego kodu na serwerze. Podatność otrzymała numer CVE-2026-27636. TLDR: FreeScout to otwartoźródłowe, samodzielnie hostowane narzędzie do obsługi zgłoszeń (ticketów) i współdzielonej...

#Aktualności #Laravel #Php #Podatność #Rce #Websecurity

https://sekurak.pl/problemy-z-walidacja-nazw-plikow-umozliwialy-rce-i-patch-bypass-w-narzedziu-freescout/

Zmieniając ID można było pobierać zdjęcia ‘źle zaparkowanych’ samochodów innych kierowców [Szczecin]

Podatność zgłosił nam jeden z czytelników, który namierzył problem w systemie obsługującym strefę płatnego parkowania w Szczecinie. O co dokładnie chodziło? W ramach ‘dowodu, że źle zaparkował’ – Marcin otrzymał link do publicznie dostępnego zdjęcia. Przykładowo: Temat zgłosiliśmy 3.1.2026 do Urzędu Miasta Szczecina a rozbudowaną odpowiedź otrzymaliśmy 5.1.2026 – ale...

#Aktualności #Awareness #Incydent #Podatność #Websec

https://sekurak.pl/zmieniajac-id-mozna-bylo-pobierac-zdjecia-zle-zaparkowanych-samochodow-innych-kierowcow-zdjecia-byly-surowe-czarne-zamazanie-pochodzi-od-sekuraka/

Jak można było kraść pliki serwowane na localhost? Podatność XSS we wtyczce Live Preview (VSCode)

Badacze z OX Research odkryli podatność w rozszerzeniu Live Preview do Visual Studio Code. Pozwala ona złośliwym stronom internetowym ominąć zabezpieczenia i uzyskać dostęp do kodu źródłowego projektu, a także plików konfiguracyjnych (w folderze, w którym użytkownik uruchomił wtyczkę). Atakujący są w stanie zdalnie wykraść poświadczenia, klucze dostępu oraz inne...

#Aktualności #WBiegu #Podatność #Vscode #Wtyczki #XSS

https://sekurak.pl/jak-mozna-bylo-krasc-pliki-serwowane-na-localhost-podatnosc-xss-we-wtyczce-live-preview-vscode/

Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli

W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...

#Aktualności #IDOR #Podatność #Websec

https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/

Krytyczna podatność (CVSS 9.8/10.0) w popularnym pakiecie do monitorowania urządzeń – Net-SNMP

W popularnym pakiecie Net-SNMP, służącym do monitorowania i zarządzania urządzeniami sieciowymi wykryto krytyczną lukę bezpieczeństwa typu stack based buffer overflow. Podatność została znaleziona przez badacza bezpieczeństwa buddurid oraz zgłoszona w ramach programu Trend Micro Zero Day Initiative (ZDI). TLDR: Dla osób spotykających się z tym programem po raz pierwszy krótkie wyjaśnienie....

#WBiegu #BufferOverflow #DoS #Podatność

https://sekurak.pl/krytyczna-podatnosc-cvss-9-8-10-0-w-popularnym-pakiecie-do-monitorowania-urzadzen-net-snmp/

MongoBleed – krytyczna podatność umożliwiająca zdalne czytanie pamięci z serwera (hasła, klucze API, klucze prywatne, inne sekrety). CVE-2025-14847

Do wykorzystania podatności wystarczy udostępnienie usług MongoDB do Internetu (luka nie wymaga uwierzytelnienia). Atakujący wysyła skompresowane/złośliwe wiadomości – a przy dekompresji następuje czytanie fragmentów pamięci z serwera i wysłanie ich w odpowiedzi. Opublikowany został exploit / trwają próby masowego wykorzystania podatności. Dostępne są łatki od linii 4.x aż do najnowszej...

#WBiegu #Mongobleed #Mongodb #Podatność #Wyciek

https://sekurak.pl/mongobleed-krytyczna-podatnosc-umozliwiajaca-zdalne-czytanie-pamieci-z-serwera-hasla-klucze-api-klucze-prywatne-inne-sekrety-cve-2025-14847/

Krytyczna luka w React Server – jedno żądanie do RCE w chmurze

Jedno żądanie HTTP i cudzy kod ląduje na twoim serwerze. Brzmi jak urban legend z konferencji security?

Czytaj dalej:
https://pressmind.org/krytyczna-luka-w-react-server-jedno-zadanie-do-rce-w-chmurze/

#PressMindLabs #chmura #podatnosc #rce #reactserver #ssr

Od niewinnego snippetu do RCE – podatność XSS w Open WebUI

Open WebUI to otwartoźródłowa, samodzielnie hostowana platforma AI. Można korzystać z niej na własnym serwerze, ale również lokalnie na urządzeniu. Obsługuje różne interfejsy LLM, takie jak Ollama i API kompatybilne z OpenAI.  TLDR: W październiku 2025 badacz zgłosił podatność XSS występującą w aplikacji. 21 października została załatana, a 7 listopada...

#WBiegu #Llm #Ollama #Openwebui #Podatność #Rce

https://sekurak.pl/od-niewinnego-snippetu-do-rce-podatnosc-xss-w-open-webui/