Címlap /Hírolvasó

Hírolvasó

 Seed phrase phising kampány a kínai App Store-ban

Tech.cert-hungary.hu - sze, 04/22/2026 - 10:16
Egy nagyszabású "FakeWallet" kampány során rosszindulatú, kriptopénztárcának álcázott alkalmazások kerültek az App Store-ba, amelyek adathalász módszerekkel megszerezhették a felhasználók seed phrase-eit, majd ezekkel kiüríthették az áldozatok tárcáit.

A Microsoft sürgős frissítéseket adott ki a Windows Server problémáinak javítására

Tech.cert-hungary.hu - sze, 04/22/2026 - 10:11
A Microsoft rendkívüli frissítési csomagot adott ki a Windows Server rendszereit érintő problémák javítására, amelyek a 2026. áprilisi biztonsági frissítések telepítése után jelentkeztek. A Microsoft múlt héten megerősítette, hogy egyes rendszergazdáknál hibák léphetnek fel a KB5082063 biztonsági frissítés Windows Server 2025 eszközökre történő telepítésekor. Emellett az április havi PatchKedd kumulatív frissítései miatt egyes domainvezérlői szerepkörrel […]

Háromból két zero day sebezhetőségre még mindig nem érkezett javítás a Microsoft-tól

Tech.cert-hungary.hu - sze, 04/22/2026 - 08:48
A Huntress biztonsági cég szerint a kiberbűnözők továbbra is aktívan kihasználják a Microsoft Defender nemrég nyilvánosságra hozott három hibáját, amelyek kihasználása jogosultság eszkalálást tesz lehetővé a támadók számára. A támadási folyamat három, a BlueHammer, a RedSun és az UnDefend nulladik napi sérülékenységek együttes kihasználását foglalja magában. Míg az első kettő egy helyi jogosultság-eszkalációs (LPE) hiba, […]

Kibertámadás érte a francia ANTS portált

Tech.cert-hungary.hu - sze, 04/22/2026 - 07:46
A francia belügyminisztérium 2026. április 20-án közölte, hogy az Agence nationale des titres sécurisés (ANTS), vagyis a biztonságos okmányokért felelős nemzeti ügynökség 2026. április 15-én biztonsági incidenst észlelt az ants[.]gouv[.]fr portálon. A közlemény alapján érintett lehetett a bejelentkezési azonosító, a megszólítás, a név, a keresztnevek, az e-mail-cím, a születési dátum és az egyedi fiókazonosító. Egyes […]

A Context.ai kompromittálódása áll a Vercel-incidens mögött, korlátozott ügyféladat-érintettséggel

Tech.cert-hungary.hu - sze, 04/22/2026 - 06:37
Kiberbiztonsági incidens érte a Vercel webinfrastruktúra-szolgáltatót, amely során a támadók jogosulatlan hozzáférést szereztek a vállalat egyes belső rendszereihez. A vizsgálatok szerint az incidens kiváltó oka a vállalat egyik alkalmazottja által használt, harmadik féltől származó mesterséges intelligencia eszköz, a Context.ai kompromittálódása volt. A Vercel tájékoztatása alapján a Context.ai rendszerének feltörése lehetővé tette, hogy a támadók az […]

VU#890999: Radware Alteon has a reflected XSS vulnerability that can execute JavaScript in the host browser

US-CERT.gov - k, 04/21/2026 - 17:16
Overview

Radware Alteon has a reflected Cross-Site Scripting (XSS) vulnerability in the parameter ReturnTo of the route /protected/login. This vulnerability allows an attacker to execute JavaScript in the host browser.

Description

CVE-2026-5754: Reflected Cross-Site Scripting (XSS) vulnerability in Radware Alteon 34.5.4.0 vADC load-balancer allows an attacker to inject malicious scripts into the website, potentially leading to unauthorized actions, data theft, or other malicious activities.

A reflected Cross-Site Scripting (XSS) vulnerability exists in the ReturnTo parameter of the /protected/login route in Radware Alteon version 34.5.4.0. The vulnerability arises from the lack of user input sanitization, allowing an attacker to inject malicious scripts. Specifically, when a user requests a resource that redirects to a Microsoft SAML login page, the load-balancer redirects the user to the login page with a ReturnTo parameter that fails to sanitize user input. An attacker can exploit this by injecting a malicious payload in the ReturnTo parameter, which will be executed in the victim's browser.

An example attack flow is below:

  1. Attacker creates link with XSS payload in ReturnTo parameter.
  2. Victim clicks malicious link, redirecting to login page.
  3. Load-balancer reflects malicious ReturnTo parameter, executing XSS payload.
  4. Attacker performs JavaScript code execution in the victim's browser.
Impact

The impact of this vulnerability is significant, as it allows an attacker to execute arbitrary JavaScript code in a victim’s browser. Doing so enables a range of harmful activities, including the following: stealing session cookies and sensitive data; performing unauthorized actions on behalf of the victim; tricking users into falling for phishing attacks; and damaging a website’s reputation and user trust.

Solution

Unfortunately, we were unable to reach the vendor to coordinate this vulnerability. The vendor, Radware, has acknowledged the vulnerability in their customer portal and plans to patch it in the next version, 34.5.7.0. This version was expected to be released on March 31st, 2026, based upon the release notes, but it is unclear if this release occurred and included a fix. In the meantime, users are advised to take precautions to prevent exploitation, such as validating and encoding user input.

Acknowledgements

Thanks to the reporter, Loinaz Merino Cerrajeria, for bringing this vulnerability to our attention.This document was written by Timur Snoke.

Kategóriák: Biztonsági hírek

VU#414811: Terrarium contains a vulnerability that allows arbitrary code execution

US-CERT.gov - k, 04/21/2026 - 15:37
Overview

Terrarium is a sandbox-based code execution platform that enables users to run and execute code in a controlled environment, providing a secure way to test and validate code. However, a vulnerability has been discovered in Terrarium that allows arbitrary code execution with root privileges on the host Node.js process. This vulnerability is caused by a JavaScript prototype chain traversal in the Pyodide WebAssembly environment.

Description

The root cause of the vulnerability lies in the configuration of jsglobals objects in service.ts. Specifically, the mock document object is created using a standard JavaScript object literal, which inherits properties from Object.prototype. This inheritance chain allows sandbox code to traverse up to the function constructor, create a function that returns globalThis, and from there access Node.js internals, including require(). As a result, an attacker can escape the sandbox and execute arbitrary system commands as root within the container.

CVE-2026-5752 Sandbox Escape Vulnerability in Terrarium allows arbitrary code execution with root privileges on a host process via JavaScript prototype chain traversal.

Impact

Applications that use Terrarium for sandboxed code execution may be compromised, allowing an attacker to:

  • Execute arbitrary commands as root inside the container
  • Access and modify sensitive files, including /etc/passwd and environment variables
  • Reach other services on the container's network, including databases and internal APIs
  • Potentially escape the container and escalate privileges further
Mitigation

Unfortunately, we were unable to coordinate with the vendor to obtain a patch or fix for this vulnerability. In the meantime, several mitigation strategies can be employed to reduce the risk of exploitation. Users should consider implementing the following measures:

  • Disable unnecessary features: Disable any features that allow users to submit code to the sandbox, if possible.
  • Implement network segmentation: Segment the network to limit the attack surface and prevent lateral movement.
  • Use a Web Application Firewall (WAF): Deploy a WAF to detect and block suspicious traffic, including attempts to exploit the vulnerability.
  • Monitor container activity: Regularly monitor container activity for signs of suspicious behavior.
  • Implement access controls: Limit access to the container and its resources to authorized personnel only.
  • Use a secure container orchestration tool: Utilize a secure container orchestration tool to manage and secure containers.
  • Regularly update and patch dependencies: Ensure that dependencies are up-to-date and patched.
Acknowledgments

The vulnerability was discovered by Jeremy Brown, who used AI-assisted vulnerability research to identify the issue. This document was written by Timur Snoke with assistance from AI.

Kategóriák: Biztonsági hírek

VU#915947: SGLang is vulnerable to remote code execution when rendering chat templates from a model file

US-CERT.gov - h, 04/20/2026 - 15:46
Overview

A remote code execution vulnerability has been discovered in the SGLang project, specifically in the reranking endpoint (/v1/rerank). A CVE has been assigned to track the vulnerability; CVE-2026-5760. An attacker can create a malicious model for SGLang to achieve RCE. Successful exploitation could allow arbitrary code execution in the context of the SGLang service, potentially leading to host compromise, lateral movement, data exfiltration, or denial-of-service (DoS) attacks. No response was obtained from the project maintainers during coordination.

Description

SGLang is an open-source framework for serving large language models (LLMs) and multimodal AI models, supporting models such as Qwen, DeepSeek, Mistral, and Skywork, and is compatible with OpenAI APIs. A vulnerability, tracked as CVE-2026-5760, has been discovered within the reranking endpoints. Using a cross-encoder model, the reranking endpoint reranks documents based on their relevance to a query.

An attacker exploits this vulnerability by creating a malicious GPT Generated Unified Format (GGUF) model file with a crafted tokenizer.chat_template parameter that contains a Jinja2 server-side template injection (SSTI) payload with a trigger phrase to activate the vulnerable code path. A tokenizer.chat_template is a metadata field that defines how text is structured before being processed. The victim then downloads and loads the model in SGLang, and when a request hits the /v1/rerank endpoint, the malicious template is rendered, executing the attacker's arbitrary Python code on the server. This sequence of events enables the attacker to achieve remote code execution (RCE) on the SGLang server.

The vulnerability arises from the use of jinja2.Environment() without sandboxing in the getjinjaenv() function. This function sets up the environment for rendering Jinja2 templates, but since it lacks proper sandboxing, it fails to restrict the execution of arbitrary Python code. Consequently, when the reranking endpoint is accessed and a malicious model file containing a crafted tokenizer.chattemplate is loaded, the model can execute arbitrary commands on the server.

Impact

An attacker can create a malicious model for SGLang to achieve RCE. Successful exploitation could allow arbitrary code execution in the context of the SGLang service, potentially leading to host compromise, lateral movement, data exfiltration, or denial-of-service (DoS) attacks. Deployments that expose the affected interface to untrusted networks are at the highest risk of exploitation.

Solution

To mitigate this vulnerability, it is recommended to use ImmutableSandboxedEnvironment instead of jinja2.Environment() to render the chat templates. This will prevent the execution of arbitrary Python code on the server. No response or patch was obtained during the coordination process.

Acknowledgements

Thanks to the reporter, Stuart Beck. This document was written by Christopher Cullen.

Kategóriák: Biztonsági hírek

A NIST nem fog saját elemzést végezni az alacsony prioritású sebezhetőségek esetén

Tech.cert-hungary.hu - h, 04/20/2026 - 10:09
A Nemzeti Szabványügyi és Technológiai Intézethez (NIST) évről-évre egyre nagyobb mennyiségben érkeznek be újonnan felfedezett sérülékenységek, ezért a nagy leterheltség miatt az Intézet úgy döntött, hogy április 15-től nem végez saját elemzést és súlyossági besorolást az alacsony prioritású sérülékenységek esetén. A Nemzeti Sebezhetőség Adatbázis (NVD) továbbra is listázni fog minden bejelentett sérülékenységet, viszont az alacsony […]

Tömeges WordPress-fertőzés: C2 szerverről vezérelt az EssentialPlugin bővítményekben

Tech.cert-hungary.hu - cs, 04/16/2026 - 15:07
Több mint 30 népszerű WordPress-bővítménybe rejtett backdoor révén szereztek jogosulatlan hozzáférést támadók.

Az Nginx UI egyik kritikus hitelesítési hibája már aktív kihasználás alatt áll

Tech.cert-hungary.hu - cs, 04/16/2026 - 14:06
A CVE-2026-33032 azonosítójú sérülékenység az Nginx UI nevű, NGINX kiszolgálók webes menedzsmentjére használt felületét érinti, nem pedig magát a hivatalos NGINX webszervert. A hiba jelentőségét az adja, hogy a nyilvános beszámolók szerint már aktív kihasználás alatt áll, tehát nem pusztán egy laboratóriumi vagy elméleti problémáról van szó. A technikai probléma az Nginx UI MCP integrációjához […]

A Chrome kifejezetten gyengének számít a browser fingerprintinggel szemben

Tech.cert-hungary.hu - cs, 04/16/2026 - 13:29
A Chrome jelenleg nem nyújt érdemi védelmet az egyik legalapvetőbb és legelterjedtebb online követési módszerrel, az úgynevezett browser fingerprintinggel szemben.

Újabb védelmi funkció érkezik a Windows-hoz

Tech.cert-hungary.hu - sze, 04/15/2026 - 14:38
A Microsoft új védelmi funkciót vezet be a Windows rendszerben az RDP fájlokkal visszaélő adathalász támadások ellen, így a figyelmeztetések mellett, alapértelmezetten tiltásra kerülnek a kockázatosnak tűnő megosztott erőforrások. Az RDP fájlokat gyakran használják vállalati környezetben távoli rendszerekhez való csatlakozáshoz, mivel a rendszergazdák előre konfigurálják azokat, hogy automatikusan átirányítsák a helyi erőforrásokat egy távoli gépre. […]

A támadók kanadai alkalmazottakat céloznak „payroll pirate” típusú támadások során

Tech.cert-hungary.hu - k, 04/14/2026 - 13:34
A Storm-2755 néven azonosított pénzügyi motivációjú kiberbűnözői csoport kanadai munkavállalók fizetéseit veszi célba. A támadások az úgynevezett „payroll pirate” módszerre épülnek, amely során a támadók vállalati fiókok kompromittálása után a munkabér utalási adatait manipulálva eltérítik a kifizetéseket. A támadási lánc (1. ábra) első szakaszában a támadók rosszindulatú Microsoft 365 bejelentkezési oldalakat használtak, amelyek SEO poisoning […]

Komoly vádak érték a LinkedIn adatgyűjtési módszerét

Tech.cert-hungary.hu - k, 04/14/2026 - 12:24
A BrowserGate komoly vádakkal illeti a LinkedIn-t, egy nemrég publikált cikke szerint ugyanis profilalkotási célból tömeges adatgyűjtést végez a platform felhasználóiról, beleértve az eszközökre és az ujjlenyomatokra vonatkozó információkat. A BrowserGate jelentés a magára Fairlinked néven hivatkozó civil szervezet cikkére utal, amely az alábbi linken érhető el. A publikációban azzal vádolják a LinkedIn-t, hogy egy […]

Cookie-lopás elleni védelem jön a Chrome-ba

Tech.cert-hungary.hu - k, 04/14/2026 - 08:59
A Google bejelentette, hogy új védelmi funkciót vezet be a Chrome böngészőbe, amivel jelentősen megnehezíti, hogy az ellopott munkamenet sütikkel (session cookie) feltörhessék a felhasználói fiókokat. A támadók különféle rosszindulatú programmal hozzáférhetnek a felhasználók eszközein tárolt munkamenet sütikhez, amelyek segítségével képesek megkerülni a hagyományos védelmi mechanizmusokat és hozzáférni a felhasználói fiókokhoz. A Device Bound Session […]

Adatvédelmi incidens érte a Booking.com platformot

Tech.cert-hungary.hu - k, 04/14/2026 - 08:39
Kép forrása: (Bleepingcomputer.com) Ezúttal a Booking.com felhasználói- és foglalási adatai kerültek kiberbünözők kezére egy adatvédelmi incidens miatt. A vállalat azonnali intézkedésként visszaállította a PIN-kódokat a már meglévő foglalásoknál és tájékoztatta az érintett felhasználókat az esetről. A Booking.com a világ egyik legnagyobb online utazási platformja, amely lehetővé teszi a felhasználók számára a szállások, repülőjegyek, bérautók, taxik […]

Már mobileszközökön is olvashatók a Gmail titkosított e-mailjei

Tech.cert-hungary.hu - k, 04/14/2026 - 07:51
A Google múlt héten jelentette be, hogy a Gmail alkalmazáson keresztül mostantól mobileszközön is olvashatóvá válnak a végponttól végpontig titkosított (E2EE) e-mailek az üzleti felhasználók számára. A funkció minden kliens oldali titkosítást (CSE) alkalmazó felhasználó számára elérhető, akik Enterprise Plus licenccel és Assured Controls vagy Assured Controls Plus bővítménnyel rendelkeznek. Ehhez a rendszergazdáknak engedélyezniük kell […]

Több mint 20 ezer áldozatot azonosítottak egy nemzetközi kriptovaluta-csalás elleni fellépés során

Tech.cert-hungary.hu - h, 04/13/2026 - 14:42
Egy összehangolt nemzetközi bűnüldözési akció keretében több mint 20 000 kriptovaluta-csalás (cryptocurrency fraud) áldozatát azonosították Kanadában, az Egyesült Királyságban és az Egyesült Államokban. A műveletet az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége (U.K.’s National Crime Agency, NCA) vezette. Az „Operation Atlantic” nevű akcióra a közelmúltban került sor, melyben az NCA mellett részt vett az Egyesült Államok […]

Új Silver Fox kampány indult

Tech.cert-hungary.hu - p, 04/10/2026 - 11:29
Új malware kampány indult a híres Silver Fox APT nevéhez köthetően, mely során hamis Telegram kínai nyelvcsomag telepítőbe rejtettek ValleyRAT trójai vírust. A rosszindulatú szoftver egy átlagos MSI telepítőnek volt álcázva, és először 2026 április 8-án jelent meg a MalwareBazaar nevű oldalon. A legújabb támadássorozat során egy olyan mindennapi konfigurációs fájlban rejtették el a malwaret, […]

Oldalak

Feliratkozás Anaheim.hu hírolvasó csatornájára