Hírolvasó

A különféle social engineering és adathalász támadások elleni védelem jegyében a Signal új, alkalmazáson belüli értesítéseket és figyelmeztetéseket vezet be, amelyek célja, hogy elegendő időt biztosítsanak a felhasználóknak a megkeresések valódiságának ellenőrzéséhez. Ez a fejlesztés egy, a közelmúltbeli Signal felhasználókat célzó támadási kampány ([1], [2]) elleni védekezéshez adott válaszfunkció. Az elkövetők feltehetően orosz állami támogatású […]

Áprilisban már hírt adtunk a Shai-Hulud ellátásilánc-támadási kampányról, amely most új szintre lépett, és mára egy sokkal kiterjedtebb kompromittálási hullámmá nőtte ki magát.

A Google Threat Intelligence Group (GTIG) kutatói szerint egy népszerű, nyílt forráskódú, webalapú adminisztrációs eszközt érintő nulladik napi (zero-day) sérülékenység kihasználására szolgáló kód nagy valószínűséggel mesterséges intelligencia segítségével készült. A támadás egy olyan sebezhetőséget célzott, amely lehetővé tette a kétfaktoros hitelesítés (2FA) megkerülését egy széles körben használt webes rendszergazdai eszközben, amelynek nevét nem hozták nyilvánosságra. […]

A spanyol fast fashion kiskereskedelmi vállalat, a Zara adatbázisaihoz jogosulatlanul hozzáférő támadók több mint 197 000 ügyfél adatait szerezhették meg a Have I Been Pwned adatbázis szerint. A Zara világszerte több mint 1500 saját üzemeltetésű és franchise üzlettel rendelkezik, és az Inditex csoport egyik meghatározó márkája. Az Inditex a világ egyik legnagyobb divatkereskedelmi vállalata, amely […]

Az osztrák és albán hatóságok felszámoltak egy bűnszervezetet, amelyet azzal gyanúsítanak, hogy nagyszabású kriptovaluta-alapú befektetési csalás hálózatot működtetett. A szervezet világszerte (Olaszországban, Németországban, Görögországban, Spanyolországban, Kanadában és az Egyesült Királyságban) több mint 50 millió euróra becsült kárt okozott az áldozatoknak. A nyomozás 2023 júniusában kezdődött. Az Europol és az Eurojust közös akciója során április 17-én […]

Egy új, Mirai-alapú botnetet azonosítottak a kiberbiztonysági kutatók, amely az „xlabs_v1” nevet kapta. Első sorban nyitott Android Debug Bridge (ADB) szolgáltatást futtató eszközöket támadhat. A Hunt.io elemzése szerint a malware Android TV boxokat, okostévéket, set-top boxokat, valamint különféle IoT-eszközöket és lakossági routereket fertőzhet meg, amennyiben az ABD elérés engedélyezett a 5555-ös TCP porton.A botnet célja, […]

Több millió felhasználót tévesztettek meg a Google Play alkalmazásboltban elérhető különböző hamis hívásnapló alkalmazásokkal, az ESET kutatói CallPhantom névre keresztelték a rosszindulatú műveletet. Összesen 7,3 milliószor töltötték le a 28 darab hamis alkalmazást, amelyek egyikét 3 millióan telepítették. Az ESET elemzése szerint a támadással elsősorban indiai, illetve az ázsiai csendes-óceáni térségbeli Android-felhasználókat vették célba a […]

Overview

dnsmasq is affected by multiple memory safety and input validation vulnerabilities, including heap buffer overflows, heap corruption, and code execution flaws. Collectively, these vulnerabilities enable attackers to poison cached DNS records, bypass security controls, crash the dnsmasq process, or under certain conditions, achieve local privilege escalation. dnsmasq has released version 2.92rel2 to fix the vulnerabilities.

Description

dnsmasq is an open-source networking tool that provides DNS forwarding, DHCP, and network boot services for small-to-medium sized networks and home routing devices. It can also function as a DNS resolver, which is the primary exploitation use case for several of the vulnerabilities described below, tracked collectively as CVE-2026-2291, CVE-2026-4890, CVE-2026-4891, CVE-2026-4892, CVE-2026-4893, and CVE-2026-5172.

CVE-2026-2291
dnsmasq's extract_name() function can be abused to cause a heap buffer overflow, enabling an attacker to inject false DNS cache entries. This could cause DNS queries to be redirected to attacker-controlled IP addresses or result in a Denial of Service (DoS).

CVE-2026-4890
An infinite-loop flaw in the DNSSEC validation of dnsmasq allows remote attackers to cause Denial of Service (DoS) conditions via a crafted DNS packet.

CVE-2026-4891
A heap-based out-of-bounds read vulnerability in the DNSSEC validation of dnsmasq allows remote attackers to leak memory information via a crafted DNS packet.

CVE-2026-4892
A heap-based out-of-bounds write vulnerability in the DHCPv6 implementation of dnsmasq allows local attackers to execute arbitrary code with root privileges via a crafted DHCPv6 packet.

CVE-2026-4893
An information disclosure vulnerability in dnsmasq allows remote attackers to bypass source checks via a crafted DNS packet containing RFC 7871 client-subnet information.

CVE-2026-5172
A buffer overflow vulnerability in dnsmasq’s extract_addresses() function allows attackers to trigger a heap out-of-bounds read and crash dnsmasq by exploiting a malformed DNS response.

Impact

These vulnerabilities collectively pose various risks:

DoS (CVE-2026-2291, CVE-2026-4890, CVE-2026-5172) — dnsmasq may crash or become unresponsive, terminating DNS resolution and affecting dependent services.

Cache Poisoning / Redirection (CVE-2026-2291, CVE-2026-4893) — Attackers may overwrite cache entries or manipulate response routing, enabling the silent redirection of users to malicious domains.

Information Disclosure (CVE-2026-4891, CVE-2026-4893) — Internal memory and network information may be inadvertently exposed.

Local Privilege Escalation (CVE-2026-4892) — A local attacker may execute arbitrary code as root via DHCPv6 manipulation.

Solution

dnsmasq has released version 2.92rel2 to fix the above vulnerabilities, and various vendors have published patches to address individual remediations. A full list of affected vendors and vendor patches can be found in the References section below. This note, as well as the CVE listings, will be updated as additional patches become available.

Acknowledgements

Thank you to the reporters for discovering these vulnerabilities:
* Hugo Martinez (hugomray@gmail.com) - CVE-2026-5172, CVE-2026-2291
* Andrew Fasano (NIST) - CVE-2026-2291
* Royce M (royce@xchglabs.com) - CVE-2026-4893, CVE-2026-4892, CVE-2026-4891, CVE-2026-4890, CVE-2026-2291
* Asim Viladi Oglu Manizada - CVE-2026-4892
* Mattia Ricciardi (mindless) - CVE-2026-2291

This document was written by Christopher Cullen and Molly Jaconski. Special thanks to Simon Kelly of dnsmasq and all participating vendors for their prompt engagement and coordination efforts.

Overview

Casdoor contains an arbitrary file write vulnerability in the implementation of its "Local File System" storage provider. Due to insufficient sanitization of user-supplied paths, an authenticated user with file upload permissions can escape the intended storage directory and write files elsewhere on the target filesystem. The vulnerability allows attackers to bypass Casdoor’s storage sandbox and perform unauthorized actions with the privileges of the Casdoor runtime user.

Description

Casdoor is an open-source identity and access management (IAM) platform and Model Context Protocol (MCP) gateway that provides authentication, single sign-on, and multi-protocol identity services for applications. Internally, it uses its Local File System storage provider to save files to a dedicated $CASDOOR/files/ directory.

During a file upload via the /api/upload-resource endpoint, the Casdoor application determines the target storage filepath by concatenating the user-supplied parameters pathPrefix and fullFilePath. However, values provided for pathPrefix are not properly sanitized, so directory traversal sequences such as ../../ are accepted without any integrity or permission checks beyond those of the OS user running the Casdoor process. The application does not verify that the destination filepath remains inside the dedicated storage directory, and it will create or overwrite any file that the Casdoor process has permission to modify.

CVE-2026-6815 An arbitrary file write vulnerability exists in Casdoor's Local File System storage provider. Due to insufficient path sanitization, an authenticated attacker with file upload privileges can perform a path traversal attack to create or overwrite arbitrary files elsewhere on the host filesystem, bypassing the application's intended storage sandbox.

Impact

Successful exploitation enables arbitrary file creation and modification on the host system, which can be used by an attacker to:
* Overwrite any file that is accessible to the Casdoor process.
* Establish persistence by creating scheduled tasks or cron jobs through the filesystem as the Casdoor user.
* Overwrite Casdoor’s backend database file casdoor.db, causing authentication services to fail and locking out all users and dependent applications.

Exploitation of this vulnerability requires the attacker to possess an authenticated session with sufficient permissions to manage storage providers and interact with the resource upload API. Depending on the privileges of the Casdoor service account, this vulnerability may allow escalation from application-level access to full host compromise.

Solution

A pull request has been submitted to the Casdoor repository that implements proper validation of storage paths, available here: https://github.com/casdoor/casdoor/pull/5458 . Otherwise, deployments should limit administrative access and restrict the filesystem permissions of the Casdoor service account. Administrators should avoid using the Local File System provider or disable this service in multi-user or exposed environments.

Acknowledgements

Thanks to Danilo Dell'Orco for researching and reporting this vulnerability. This document was written by Molly Jaconski.

A Cisco biztonsági frissítéseket adott ki egy olyan szolgáltatásmegtagadási (DoS) sérülékenység javítására, amely a Crosswork Network Controller (CNC) és a Network Services Orchestrator (NSO) rendszereit érinti.

Overview

A privilege escalation vulnerability has been discovered in Linux kernel versions version 4.17 (released 2017) and later. Many popular distributions and Linux-based containers are affected. This vulnerability was publicly disclosed on April 29, 2026, has been assigned CVE ID CVE-2026-31431, and is commonly referred to as "Copy Fail."

Description

The Linux kernel, since version 4.17, includes the algif_aead module, which provides user space access to authenticated encryption with associated data (AEAD) operations via the AF_ALG interface. This module may be available as a loadable kernel module or compiled directly into the kernel, depending on the Linux distribution or the custom built Linux install.

According to the https://copy.fail disclosure statement:

An unprivileged local user can write 4 controlled bytes into the page cache of any readable file on a Linux system, and use that to gain root.

The vulnerability is caused by a logic flaw in the Linux kernel’s algif_aead (AF_ALG) implementation. An unprivileged local user can reliably perform a controlled 4-byte write into the page cache of any readable file without race conditions or timing dependencies.

Critically, the corrupted page is not marked dirty, so the modified contents are never written back to disk. The underlying file remains unchanged, allowing the in-memory corruption to bypass checksum and file integrity verification mechanisms. Because subsequent reads are served from the page cache, an attacker can target a setuid binary and modify its in-memory contents to achieve local privilege escalation to root.

A 732-byte proof-of-concept Python script demonstrates exploitation by modifying a setuid binary to obtain root privileges on many Linux distributions released since 2017. This vulnerability was discovered by Taeyang Lee of Theori, with assistance from their AI-based static application security testing (SAST) tool, Xint Code, during analysis of the Linux kernel cryptographic subsystem.

Impact

This vulnerability allows an unprivileged local user to modify the in-memory contents of a setuid binary and escalate privileges to root. Public proof-of-concept (PoC) exploit code is available, therefore increasing the likelihood of exploitation.

Solution Patch the Kernel

Apply the upstream kernel patch that addresses the issue by reverting AF_ALG AEAD to an out-of-place operation.

Update Linux distribution

Update your distribution’s kernel package as soon as vendor patches become available. Most major Linux distributions are expected to release fixes through their standard update channels.

Workarounds (if patching is not immediately possible):

1. Disable the algif_aead module (if loadable):
   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
   rmmod algif_aead 2>/dev/null
   This prevents the module from being loaded and removes it if already active.

2. If algif_aead is compiled into the kernel (not a dynamic module), the following parameter can be added to grub or systemd-boot or grubby depending on your boot configuration:
   initcall_blacklist=algif_aead_init
   This prevents the module from initializing at boot time. A system reboot is required for this change to take effect.

Note: These workarounds may impact applications that rely on AF_ALG cryptographic interfaces.

Mitigation for containers

For containerized environments, where this vulnerability may be leveraged for container escape, consider applying one or more of the following mitigations:

• Secure computing (seccomp) filtering: Restrict or deny system calls that create sockets using the AF_ALG address family (protocol 38).
• AppArmor policies: Use AppArmor to block creation of AF_ALG sockets via the network alg rule.
• eBPF-based enforcement: Deploy BPF-based controls to deny socket creation with address family AF_ALG (38).

This is adopted from the guidance provided by bytedance for the vArmor community.

Note on Virtualization

While the internal kernel within a virtual machine (VM) or MicroVM is susceptible to this vulnerability, standard virtualization provides hardware-enforced memory isolation. This bug cannot be directly leveraged to facilitate a virtualization escape from a guest to the host. Virtualization and micro-virtualization technologies effectively contain the impact to the individual VM instance, protecting the host kernel and neighboring tenants from guest-originated attacks.

Acknowledgements

This vulnerability was disclosed by Theori.io research group. This document was written by Bob Kemerer and Vijay Sarvepalli.

A CISA új CI Fortify kezdeményezése a kritikus infrastruktúák ellenálló képességének növelését célozza a fejlett hátterű kibertámadásokkal és az MI-alapú fenyegetésekkel szemben.

A Google bejelentette, hogy kibővíti a Binary Transparency kezdeményezését az Android applikációkban, amellyel az ellátási lánc támadásokkal szemben erősítené meg az ökoszisztéma védelmét. A kezdeményezés egyébként a 2021 októberben bevezetett Pixel Binary Transparency alapjaira épül, amelyet a Google azért vezetett be, hogy megerősítse a szoftverintegritást – ezzel a Pixel készülékeken kizárólag ellenőrzött operációs rendszer tud […]

A Google javította a CVE-2026-0073 azonosítón nyomon követett, kritikus, Android-rendszert érintő sebezhetőséget, amely a System-komponensben lehetővé tette a távoli kódfuttatást felhasználói interakció nélkül. A sebezhetőség kihasználásával a támadók shell-jogosultsággal futtathattak kódot anélkül, hogy további engedélyekre vagy felhasználói beavatkozásra lett volna szükség. A hiba az Android Debug Bridge daemont (adbd) érinti, vagyis azt a háttérfolyamatot, amely […]

A Microsoft Phone Link egy olyan Windows 10 és Windows 11 rendszereken található eszköz, amely összeköti a számítógépet a felhasználó telefonjával WiFi-n vagy Bluetooth-on keresztül.

A CVE-2026-0300 azonosítón nyomon követett sérülékenység a Palo Alto Networks tűzfalait érinti. A hiba egy puffertúlcsordulás (buffer overflow), amely a PAN-OS rendszer User-ID Authentication Portal (Captive Portal) szolgáltatásában található. A zero-day sérülékenység a PA és VM sorozatú tűzfalakat érinti, és lehetővé teheti egy hitelesítés nélküli támadó számára, hogy speciálisan kialakított csomagok segítségével tetszőleges kódfuttatást érjen […]

A Kaspersky kutatói szerint a kiberbűnözők egyre gyakrabban használják ki az Amazon Simple Email Service (SES) szolgáltatást olyan adathalász e-mailek terjesztésére, amelyek képesek megkerülni a hagyományos védelmi mechanizmusokat. Az adathalász kampányok elsődleges célja, hogy az észlelést elkerülve rávegyék az áldozatokat az érzékeny adataik megadására. Ennek érdekében a támadók folyamatosan finomítják módszereiket, köztes átirányítást tartalmazó hivatkozásokat […]

Az Apple megerősítette, hogy az iOS 26.5-ös verziója támogatni fogja a végponttól végpontig történő titkosítást (E2EE) az Apple és Android eszközök közötti internet alapú üzeneteknél (RCS). Az Apple még az iOS 26.4-es verzióban kezdte meg az E2EE tesztelését az Android és Apple eszközök közötti RCS üzenetekben, és bár az akkori frissítéssel nem került bevezetésre, a […]

Egy megtévesztő weboldal jelent meg az interneten, amely „Notepad++ for Mac” néven hirdet letöltést, és azt a látszatot kelti, hogy a Notepad++ natív macOS verziója elérhetővé vált. Az oldal arculati elemei, beleértve a logót, a zöld színvilágot és a vizuális elemeket megtévesztően hasonlítanak a hivatalos Notepad++ projektre, így könnyen félrevezetheti a felhasználókat. A kezdőlapon szereplő […]

Az Egyesült Királyságban nemrég került bevezetésre az Online Biztonsági Törvény (Online Safety Act – OSA), amely szigorúbb korhatár-ellenőrzést ír elő a platformok számára, azonban az eddigi felmérések szerint a gyerekek könnyen kijátsszák ezeket a rendszereket. Egyes esetekben egy álbajusz rajzolása is elegendő a korhatár-ellenőrzést végző szoftverek megtévesztéséhez. A felmérést végző Internet Matters online biztonsági csoport […]