Hírolvasó

Vásárlói adatokat loptak a Lidl-től

Tech.cert-hungary.hu - 12 óra 24 másodperc
A Lidl német áruházlánc nemrég arról értesítette németországi, belga és holland vásárlóit, hogy az informatikai szolgáltatójukat ért kibertámadás következményeként az elkövetők hozzáférést szerezhettek a személyes adataikhoz. A Schwarz Group tulajdonában lévő áruházlánc Európa legnagyobb élelmiszer-kereskedője, több mint 376.000 alkalmazottat foglalkoztat és 12.000 üzletet üzemeltet Európában és az Egyesült Államokban. tett közzé a belga és holland […]

A Joomla-bővítmények aktívan kihasznált RCE-hibáira figyelmeztet a CISA

Tech.cert-hungary.hu - 12 óra 4 perc
A CISA további két, ezúttal az iCagenda és Balbooa Forms Joomla-bővítmények sebezhetőségeinek aktív kihasználására hívja fel a figyelmet. A hibák a legmagasabb prioritásúként kerültek megjelölésre, így a szövetségi ügynökségeknek három napon belül telepíteniük kell a rendelkezésre álló biztonsági frissítéseket, illetve végrehajtani az enyhítő műveleteket. Az ismerten kihasznált sebezhetőségeket tartalmazó KEV (Known Exploited Vulnerabilities) katalógusba felvételre […]

Több mint 5800 letartóztatás a csalók elleni globális akcióban

Tech.cert-hungary.hu - h, 07/13/2026 - 13:53
Az Interpol koordinálásával lezajlott nemzetközi művelet során összesen 5811 embert vettek őrizetbe, és mintegy 293 millió dolláros illegális vagyont sikerült befagyasztaniuk vagy elkobozniuk. Az akciót „Operation First Light 2026” néven futtatták, és 2026. január 15. és április 30. között zajlott. A művelet célja a social engineering típusú csalások, valamint az ezekhez kapcsolódó pénzmosási tevékenységek felderítése […]

XSS sebezhetőség a Zimbra Classic Web Clientben

Tech.cert-hungary.hu - h, 07/13/2026 - 13:44
A Zimbra biztonsági csapata sürgős frissítést kér ügyfeleitől egy kritikus, e-mailen keresztül kihasználható XSS sebezhetőség miatt, amely a klasszikus webes levelezőkliens felhasználóit veszélyezteti. A hiba a „Classic Web Client” (más néven Classic UI) nevű webmail felületet érinti. A sebezhetőség egy stored cross-site scripting hiba, amelyhez a nyilvánosságra hozatal idején még nem rendeltek CVE-azonosítót. A támadók […]

Az Európai Parlament meghosszabbította a CSAM-tartalmak önkéntes szkennelését lehetővé tevő szabályozást

Tech.cert-hungary.hu - h, 07/13/2026 - 12:43
Az Európai Parlament megszavazta annak a jogszabálynak a meghosszabbítását, amely lehetővé teszi a nagy technológiai vállalatok számára, hogy önkéntes alapon átvizsgálják a felhasználók kommunikációját a gyermekekkel szembeni szexuális visszaéléseket ábrázoló tartalmak (CSAM – Child Sexual Abuse Material) felderítése érdekében. A kritikusok ezt a gyakorlatot „Chat Control” néven emlegetik. A szavazásra a parlament nyári szünete előtti […]

Új képességeket kapott a RedHook Androidos kártevő

Tech.cert-hungary.hu - h, 07/13/2026 - 10:12
A Group-IB kiberbiztonsági cég elemezte a RedHook mobilkártevő újabb kiadását, amely a 2025-ös verziójához képest számos új képességgel bővült. A kártevő például már képes shell szintű jogosultságokat szerezni az Android Wireless Debugging (Wireless ADB) mechanizmusának visszaélésével, miközben továbbra is megtartotta a távoli hozzáférésű trójai (RAT) funkcióit, lehetővé téve a képernyő streamelését, billentyűleütések elfogását, a felhasználói […]

VU#564823: GNU Wget enables SSRF via unvalidated FTP PASV IPs

US-CERT.gov - p, 07/10/2026 - 20:19
Overview

GNU Wget, versions 1.25.0 and earlier, contains a server-side request forgery (SSRF) vulnerability in its implementation of FTP passive mode. Because Wget does not properly validate IP addresses obtained from PASV responses, an attacker-controlled FTP endpoint can redirect the client’s connection to arbitrary IPs, potentially exposing internal network host and service responses. This vulnerability has been remediated in a recent update by GNU; see the Solutions section below for resolution guidance.

Description

GNU Wget is a widely used command-line utility for retrieving content over HTTP, HTTPS, and FTP. When operating over FTP in passive mode, Wget relies on the server’s PASV response to determine which IP address and port to use for the data connection.

CVE-2026-15146 GNU Wget does not validate the IP address provided by an FTP PASV response while operating in FTP passive mode. A malicious FTP server, or an HTTP server that redirects to an FTP URL, can exploit this behavior to redirect Wget’s data connection to an arbitrary IP address and port. This allows an attacker to forge server-side requests (SSRF) from the machine running Wget, potentially accessing localhost services or internal network resources.

This issue belongs to a known class of FTP PASV vulnerabilities such as CVE-2021-40491, which was previously remediated in GNU Inetutils.

Impact

A remote attacker controlling or influencing an FTP endpoint can induce Wget to establish connections to otherwise inaccessible internal network addresses. This may allow the attacker to retrieve service banners, access internal HTTP endpoints, or exfiltrate data from internal systems reachable by the victim host. Applications that embed Wget for automated retrieval are particularly susceptible, because the vulnerability may be triggered automatically through redirected requests and untrusted user-supplied URLs.

Solution

GNU Wget has remediated this issue in the 07/05/2026 commit 4f85853f641863d5915786a8413e1a213726a62b. Users are advised to update their version according to vendor guidance.

Acknowledgements

Thanks to Jeremy Brown for researching and reporting this vulnerability. This document was written by Molly Jaconski.

Kategóriák: Biztonsági hírek

A DuckDuckGo mostantól blokkolja a YouTube videóhirdetéseket

Tech.cert-hungary.hu - p, 07/10/2026 - 15:05
A DuckDuckGo böngésző bejelentette, hogy mostantól képes blokkolni a legtöbb YouTube videóhirdetést, beleérve a videók előtt lejátszódó reklámokat is. A funkció alapértelmezés szerint engedélyezve van a böngésző legújabb verzióiban iOS, Mac és Windows rendszereken, viszont az Androidos felhasználóknak manuálisan kell beállítaniuk a funkciót a Beállítások -> Hirdetésblokkolás (Settings -> Ad Blocking) menüpontban. Az elmúlt években […]

Új adathalász kampány célozza a gyártóvállalatokat

Tech.cert-hungary.hu - p, 07/10/2026 - 07:46
A kiberbűnözők egy új, célzott adathalász kampányban a gyártóvállalatokat veszik célba. A támadók ezúttal nem küldik el azonnal az adathalász hivatkozást, hanem előbb üzleti levelezést kezdeményeznek a kiszemelt cégek munkatársaival, hogy elnyerjék a bizalmukat. A Kaspersky kutatói szerint az e-mailek szövege nagy valószínűséggel nagy nyelvi modellek (large language model, LLM) segítségével készült. A kampány a […]

Érdemes kikapcsolni ezt a Meta-beállítást, mielőtt valaki MI által generált képeket készít rólunk

Tech.cert-hungary.hu - p, 07/10/2026 - 07:31
Nemcsak a Google vezet be új, mesterséges intelligenciához kapcsolódó adatkezelési funkciókat, a Meta is elérhetővé tett egy AI-alapú szolgáltatást, amely új adatvédelmi és kiberbiztonsági kérdéseket vet fel. A Meta új, mesterséges intelligencia alapú képgeneráló modellje, a Muse Image lehetővé teszi, hogy bárki AI által generált képet készítsen egy felhasználóról, ha ismeri annak Instagram-felhasználónevét. A vállalat […]

A támadók aktívan kihasználják az Adobe CloudFusion kritikus hibáját

Tech.cert-hungary.hu - p, 07/10/2026 - 06:43
2026. június 30-án került javításra az a 10/10-es CVSS pontszámú Adobe CloudFusionben található kritikus sérülékenység (CVE-2026-48282), amelyet a vizsgálatok szerint aktívan kihasználnak a kiberbűnözők. A sebezhetőség kihasználása tetszőleges kódfuttatást tesz lehetővé a célrendszeren. A június 30-án kiadott javítócsomagban másik öt ilyen kritikus besorolású hiba is javításra került az Adobe CloudFusion 10-es és a CloudFusion 2023 […]

VU#152953: PayRange Android app version 7.0.7 contains multiple vulnerabilities

US-CERT.gov - cs, 07/09/2026 - 19:03
Overview

PayRange is a mobile payment app that allows users to pay for vending machines, laundromats, and other unattended machines using a smartphone with Bluetooth. Two vulnerabilities were discovered in version 7.0.7 of the PayRange app that is available in the Google Play store.

Description

A vulnerability (CVE-2026-13462) exists in the PayRange Android app that causes invalid SSL certificates to be accepted in application WebViews. A second vulnerability (CVE-2026-13461) exists that allows the injection of JavaScript, which can be used to escape the WebView sandbox and perform a number of dangerous actions on the user's device. These vulnerabilities were discovered in version 7.0.7 of the PayRange app.

The PayRange app bypasses Android's SSL trust chain and accepts certificates that match any of the following rules (including self-signed certificates):

  • Common Name ends with "payrange.com"
  • Common Name contains "stripe.com"
  • Common Name contains "fetlifestatus.com" AND any of these conditions are true:
  • Issuer Common Name is "R10"
  • Issuer Common Name is "R3"
  • Issuer Common Name contains "Network Solutions"

The attack vector is an on-path interception. If an attacker can direct traffic intended for a legitimate server to a device they control, they can negotiate a TLS connection with the user's device using any trusted certificate that matches the rule set. They are then able to inject content into the WebView and harvest credentials, issue malicious requests and read data entered by the user, including exchanges with the PayRange and Stripe servers.

Impact

An attacker may be able to intercept any information they can convince the user to send through the app. If the user is a machine operator, the injected JavaScript code can also connect to PayRange hardware and issue commands with the full permissions of the operator.

Solution

Unfortunately, we were unable to reach the vendor to coordinate this vulnerability. Apply the latest software updates provided by your hardware or software vendor as they become available.

Acknowledgements

Thanks to Tahi Wilton Geary for reporting this vulnerability. This document was written by Bob Kemerer.

Kategóriák: Biztonsági hírek

A Microsoft Javította a RoguePlanet Defender sérülékenységet

Tech.cert-hungary.hu - cs, 07/09/2026 - 15:31
A Microsoft megkezdte a RoguePlanet néven ismert Microsoft Defender sérülékenység javításának fokozatos kiadását, egy hónappal azt követően, hogy egy biztonsági kutató nyilvánosságra hozta a hozzá tartozó zero-day exploitot.

Nagy-Britannia és az önálló AI vezérelt „kiber pajzsa”

Tech.cert-hungary.hu - cs, 07/09/2026 - 15:22
A brit kiberbiztonsági ügynökség kedden ismertette terveit az általa „országos szintű, szuverén védelmi képességnek” nevezett programról, amely során autonóm AI rendszereket alkalmazna kormányzati hálózatokban, illetve a kritikus nemzeti infrastruktúrában található kiberbiztonsági gyenge pontok felderítésére és kijavítására. Az ügynökség továbbá kifejtette, hogy a mesterséges intelligencia segítségével a támadók már most is képesek akár hetekről-percekre lerövidíteni a […]

VU#734812: Xerte Online Toolkit contains an authentication bypass that allows for RCE

US-CERT.gov - cs, 07/09/2026 - 14:37
Overview

Two vulnerabilities have been discovered in Xerte Online Toolkits, an open-source e-learning authoring toolsuite intended for the creation of learning materials within a web browser. CVE-2026-14261 tracks the persistence of the /setup/ directory after installation, which allows an unauthenticated attacker to reconfigure the application to point to a remote database they control in order to gain administrative access. CVE-2026-12116 tracks an editable antivirus binary path that can be redirected to a PHP interpreter, causing uploaded files to be executed as PHP code and resulting in remote code execution (RCE). Version v3.15.5 or v3.14.6 of Xerte Online Toolkits fixes these vulnerabilities.

Description

Xerte Online Toolkits is a suite of a free, open-source e-learning authoring tools that allows users to make educational materials directly in-browser. The toolset is installed from multiple packages, and creates a setup folder that persists after installation.

CVE-2026-14261
A vulnerability in Xerte Online Toolkits allows for authentication bypass and remote code execution via reinstallation through the /setup/ folder, enabling attackers to reinstall the service to a remote database they control.

CVE-2026-12116
A vulnerability in Xerte Online Toolkits allows for RCE through the antivirus binary path in the tools server settings. The antivirus binary runs on all uploaded files, but the path to the binary can be modified using the configuration menu. An attacker can achieve remote code execution by redirecting the path to a PHP interpreter, causing any uploaded PHP scripts to be executed.

During installation, Xerte creates a /setup/ folder to configure database connection settings. This folder persists post-installation without access controls or automatic cleanup, and /setup/index.php does not verify whether installation has completed. An attacker can revisit /setup/ and reconfigure the application to point to a remote database, thereby gaining administrative access.

After gaining admin privileges, an attacker can abuse CVE-2026-12116 by editing the antivirus binary path to point to a PHP interpreter. This causes any new uploaded files to be passed to the PHP runtime through website_code/php/import/fileupload.php, bypassing file extension checks and resulting in remote code execution.

Impact

Successful exploitation can allow full remote code execution on the affected server. This enables attackers to establish persistent access, exfiltrate data, or launch supply chain attacks by injecting malicious content into educational materials distributed by the platform.

Solution

These issues have been addressed in two commits:
- 8fec660 removes /setup/ automatically after installation/upgrade and blocks reuse.
- 8ef2062 moves sensitive configuration files, including the antivirus binary path, to server-side locations.

Users should take the following steps immediately:
1. Manually remove the initial installation /setup/ folder from installations.
2. Upgrade to Xerte v3.15.5 or v3.14.6 and run upgrade.php, which enforces automatic /setup/ removal and includes security hardening. If removal fails, the updated code still prevents exploitation.
This blog post: https://www.xerte.org.uk/index.php/en/news/blog/80-news/364-xerte-3-14-and-3-15-important-security-update contains more information and contact data for Xerte.

Acknowledgements

Thanks to the reporter, George Filippov from the Vexel Foundation. This document was written by Christopher Cullen.

Kategóriák: Biztonsági hírek

VU#849433: Adalo Database API Enables Cross-App User Data Extraction via Over-Fetching and Missing Authorization Controls

US-CERT.gov - sze, 07/08/2026 - 16:03
Overview

Adalo’s no‑code application platform exposes complete user records through its database API for all applications built on both V1 and V2. Due to a platform-level flaw, authenticated users can retrieve full user data belonging to any Adalo application, regardless of configuration. This issue affects more than one million applications and placing developers and their end users at risk of data exposure that they cannot prevent or remediate.

Description

Adalo is a Software-as-a-Service (SaaS) provider for building no-code applications. In theory, each application or tenant (customer) is logically isolated with separate databases, users, and configurations.

CVE-2026-10706 Unrestricted Disclosure of Full User Records
The Adalo database API contains a flaw which allows the backend to return complete user records for every list component request, regardless of which fields the component is configured to display. The database does not enforce ownership‑aware, server‑side authorization checks, allowing authenticated users of any Adalo application to query database and table identifiers belonging to other applications and retrieve full records, including fields not requested. This issue is amplified by the permissive CORS policy, plaintext storage of all text files and evidence suggests that deleted records may remain accessible.

CVE-2026-10708 Exposure and Reuse of Long-Lived JWT Tokens
The JWT tokens are visible in client‑side requests and remain valid for approximately twenty days. Once copied, they can be reused from any external website or script to query the database API directly. Because the platform allows requests from any origin, attackers can repeatedly query the API and extract large volumes of user data without interacting with the application itself. The combination of exposed tokens, permissive CORS behavior, and large response limits enables persistent, automated harvesting of entire user databases using only a single token obtained from any visitor session.

Impact

These vulnerabilities affect all Adalo applications across both V1 and V2. Because they occur at the platform level, the entire population of Adalo‑built applications is impacted.

Exposure of Sensitive Information to an Unauthorized attacker (CVE-2026-10706) Attackers may extract full user records and correlate user behavior across multiple applications via dbId enumeration. The platform does not implement data minimization, privacy by design, or implement appropriate technical safeguards, allowing sensitive information to be exposed to unauthorized parties.

Insufficiently Protected Credentials (CVE-2026-10708) This vulnerability enables large‑scale data harvesting without requiring app‑specific secrets. A single request to a minimal leaderboard component may return user records containing emails, UUIDs, and custom fields. The combination of wildcard CORS behavior, long‑lived twenty‑day JWTs, and the absence of token revocation allows attackers to gather sensitive personal information from any Adalo application.

Solution

Adalo contains an access control weakness that may allow unauthorized users to bypass application boundaries under certain conditions. Adalo has acknowledged the issue, however, no patch is currently available. Customers and tenants should assume data in Adalo collections may be exposed, and avoid storing sensitive information there until a patch is deployed. Users should remain aware of increased phishing and identity theft risks and monitor their accounts for suspicious activity.

Acknowledgements

Thanks to the reporter Saud Darwish. This document was written by Laurie Tyzenhaus.

Kategóriák: Biztonsági hírek

GhostLock: a 15 éve rejtőző Linux hiba root jogosultságot ad

Tech.cert-hungary.hu - sze, 07/08/2026 - 15:35
Kutatók felfedték a GhostLock nevű sebezhetőséget (CVE-2026-43499), amely egy 15 éve a Linux kernel kódjában megbújó use-after-free hiba. Sikeres kihasználás esetén bármely bejelentkezett felhasználónak teljes root hozzáférést biztosít egy nem patchelt operációs rendszeren. A hiba 2011 óta gyakorlatilag minden mainstream disztribúcióban jelen van, és semmilyen speciális jogosultságot vagy hálózati hozzáférést nem igényel, hétköznapi szálkezelési (threading) […]

Kiberbiztonsági incidens a Medtronicnál

Tech.cert-hungary.hu - sze, 07/08/2026 - 10:55
A világ legnagyobb orvostechnikai eszközgyártója, a Medtronic mintegy 3,8 millió érintett számára küld tájékoztatást arról, hogy személyes adataik érintettek lehetnek egy olyan kiberbiztonsági incidensben, amely sajtóértesülések szerint a ShinyHunters kiberbűnözői csoporthoz köthető. A vállalat április 24-én megerősítette, hogy illetéktelenek hozzáfértek egyes vállalati informatikai rendszerekben tárolt adatokhoz, hozzátéve, hogy akkor nem találtak bizonyítékot arra, hogy az […]

Google fiókokat vettek célba népszerű márkák meghamisításával a támadók

Tech.cert-hungary.hu - sze, 07/08/2026 - 09:39
Több mint 30 széles körben ismert márka, köztük az Adobe, a Netflix, a Coca-Cola és az OpenAI került meghamisításra egy állásinterjús adathalász kampány során, a támadók célja az áldozatok Google-fiókjaihoz tartozó hitelesítő adatok megszerzése volt. A phishing kampányt vizsgáló biztonsági kutató, Will Thomas elemzése szerint az adathalász e-mailek látszólag egy marketing pozícióra toborzó munkatárstól származtak. […]

Oldalak

Feliratkozás Anaheim.hu hírolvasó csatornájára