We are just days away from our annual #BSidesBoulder event on 13 June and just about 40 tickets are left. Today, we're highlighting an application of AI talk.

⚔️💥 AI is building websites faster than ever — but who's checking the locks? Unlock your potential with Yash Thapliyal's #BSidesBoulder25 talk "Taking Down Websites as Fast as They're Made: Common Vulnerabilities in AI-Generated Sites" that will provide a live, fast-paced walkthrough of how platforms like Wix, Durable, and Cursor Agent are unintentionally publishing XSS, SQLi, and other vulnerabilities by default. Yash will generate a site live with the audience, then hack it! Learn how to spot the cracks, secure your builds, and stay ahead of the script kiddies. 💥⚔️

#BSides #BSidesBoulder #RedTeam #AI #WebSec #AppSec

Check out our full schedule at https://bsidesboulder.org/schedule/

Tickets are available for purchase for our 13 June event here: https://www.eventbrite.com/e/bsides-boulder-2025-registration-1290129274389

Krytyczna podatność w Cisco ISE – “losowe” poświadczenia nie do końca losowe

Cisco ISE (Identity Services Engine) to rozwiązanie łączące cechy NAC (Network Access Control) i AAA (Authentication, Authorization, and Accounting) – pozwala na realizację polityk dostępu do sieci oraz segmentację. Występuje zarówno w wersjach on-prem oraz cloud.  04 czerwca 2025, w biuletynie producenta, pojawiła się informacja o krytycznej podatności oznaczonej jako...

#WBiegu #Cisco #Ise #Podatność #Websec

https://sekurak.pl/krytyczna-podatnosc-w-cisco-ise-losowe-poswiadczenia-nie-do-konca-losowe/

Uwaga na ataki na polskie serwery ~poczty. Można jednym złośliwym mailem przejąć cały serwer (Roundcube)

CERT Polska ostrzega o aktywnym ataku, celującym w niezaktualizowane oprogramowanie Roundcube (webmail – czyli klient poczty elektronicznej w przeglądarce). Podatność CVE-2024-42009 wykorzystywana jest grupę hackerską związaną z rządem Białorusi. Do udanego ataku wystarczy otworzenie złośliwego maila w przeglądarce (Roundcube). Nie trzeba nawet otwierać / pobierać żadnych załączników. CERT Polska ostrzega...

#WBiegu #Apt #Cert #Rce #Roundcube #Webmail #Websec

https://sekurak.pl/uwaga-na-ataki-na-polskie-serwery-poczty-mozna-jednym-zlosliwym-mailem-przejac-caly-serwer-roundcube/

Jak źli hakerzy atakują internetowe fora? Groźne podatności vBulletin i polski wątek

Fora internetowe, chociaż lata świetności mają już za sobą, wciąż stanowią nieodłączny element krajobrazu Internetu. Mimo olbrzymiej ofensywy przeprowadzonej przez social media, na rynku można znaleźć kilka silników forumowych, znanych od lat. Utrzymanie takich platform z zachowaniem najlepszych praktyk bezpieczeństwa wymaga od administratorów tak oczywistych akcji jak np. przeprowadzanie regularnych...

#WBiegu #Nuclei #Podatność #Rce #Vbulletin #Websec

https://sekurak.pl/jak-zli-hakerzy-atakuja-internetowe-fora-grozne-podatnosci-vbulletin-i-polski-watek/

Zdalne wykonanie kodu bez uwierzytelnienia – Ivanti Endpoint Manager Mobile

Ivanti to jedna z tych firm, która często gości na łamach portalu sekurak.pl. Dzieje się tak za sprawą ogromnego zainteresowania ze strony badaczy bezpieczeństwa, ale także i cyberprzestępców, co przekłada się na stosunkowo dużą liczbę ujawnionych błędów (nie bez winy jest fakt, że rozwiązania bezpieczeństwa – chociaż Ivanti nie jest...

#WBiegu #Android #Bypass #IOS #Ivanti #Mdm #Rce #Websec

https://sekurak.pl/zdalne-wykonanie-kodu-bez-uwierzytelnienia-ivanti-endpoint-manager-mobile/

Banalna podatność, która mogła być wykorzystania w Internetowym Koncie Pacjenta (IKP). Można było pozyskiwać dane innych osób (również o zdrowiu).

Jak czytamy w oświadczeniu: „(…) w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników.” Czyli pisząc po ludzku wyglądało to np. tak: /pokaz_dane_uzytkownika?id=11111 teraz ktoś wpisuje /pokaz_dane_uzytkownika?id=11112 i uzyskuje dostęp do danych osobowych (oraz...

#WBiegu #Ikp #Incydent #Websec

https://sekurak.pl/banalna-podatnosc-ktora-mogla-byc-wykorzystania-w-internetowym-koncie-pacjenta-ikp-mozna-bylo-pozyskiwac-dane-innych-osob-rowniez-o-zdrowiu/

"Cross-Site WebSocket Hijacking Exploitation in 2025"

https://blog.includesecurity.com/2025/04/cross-site-websocket-hijacking-exploitation-in-2025/

I remember, a few years ago, finding this kind of issue in a project, that I ended up working on.

#security #websec #web #webdev

4chan z problemami czyli o ataku na popularny imageboard

Internet pełen jest portali społecznościowych czy forów. O tych bardziej popularnych, chociaż owianych złą sławą, ze względu szerokie spektrum dopuszczalnych treści, należy 4chan. Portal założony pod koniec 2003 roku stał się sławny za sprawą działań swoich anonimowych użytkowników oraz kontrowersyjnych memów. 4chan zasłynął z różnych akcji, takich jak namierzanie flagi...

#WBiegu #4Chan #Atak #Deface #FreeBSD #Ghostscript #Memy #Websec

https://sekurak.pl/4chan-z-problemami-czyli-o-ataku-na-popularny-imageboard/

Jak można było czytać listę połączeń klientów sieci Verizon

Evan Connelly zaprezentował odkrytą przez siebie podatność w aplikacji  Verizon Call Filter na urządzenia z systemem iOS. Co prawda problem dotyczy klientów tej amerykańskiej sieci GSM, jednak postanowiliśmy opisać błąd leżący u podstaw tej podatności, ponieważ z doświadczenia wiemy, że luki klasy IDOR (ang. Insecure Direct Object Reference) pojawiają się...

#WBiegu #Billing #IDOR #Podatność #Verizon #Websec

https://sekurak.pl/jak-mozna-bylo-czytac-liste-polaczen-klientow-sieci-verizon/

Fortinet zaleca aktualizację oprogramowania FortiSwitch – możliwa jest nieautoryzowana zmiana hasła

Podatności w firmware bram dostępowych, zaporach sieciowych czy przełącznikach sieciowych zdarzają się niestety często, a do tego niosą za sobą szczególne niebezpieczeństwo ze względu na rolę, jaką pełnią w ekosystemie.  O dzisiejszym bohaterze pisaliśmy nie raz. Tym razem krytyczna podatność, oznaczona numerem CVE-2024-48887 i wyceniona na 9.3 w skali CVSS3.1...

#WBiegu #Fortinet #Fortiswitch #Podatność #Rce #Websec

https://sekurak.pl/fortinet-zaleca-aktualizacje-oprogramowania-fortiswitch-mozliwa-jest-nieautoryzowana-zmiana-hasla/