CERT Polska

1. Uwaga fałszywa CAPTCHA, czyli nie daj się zainfekować

   Captcha, czyli „Udowodnij, że nie jesteś robotem” to znany element wielu stron internetowych. Ponieważ nie wzbudza podejrzeń, bywa czasami wykorzystywany przez cyberprzestepców do dystrybucji szkodliwego oprogramowania.

2. Podatność w oprogramowaniu TCL Camera

   W oprogramowaniu TCL Camera wykryto podatność typu Path Traversal (CVE-2024-11136).

3. Podatność w oprogramowaniu DInGO dLibra

   W oprogramowaniu DInGO dLibra Poznańskiego Centrum Superkomputerowo-Sieciowego wykryto podatność typu Reflected XSS (CVE-2024-7124).

4. Podatność w oprogramowaniu terminali PAX POS

   W oprogramowaniu terminali PAX POS bazujących na Androidzie wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-42133).

5. Mroczny rycerz powraca: Analiza złośliwego oprogramowania Joker

   Zespół CERT Polska zaobserwował w ostatnich tygodniach nowe próbki złośliwego oprogramowania na urządzenia mobilne "Joker" w Google Play Store wycelowane między innymi w polskich użytkowników.

6. Podatność w oprogramowaniu Redlink SDK

   W oprogramowaniu Redlink SDK firmy Vercom S.A. wykryto podatność typu Resource Injection i nadano jej identyfikator CVE-2024-6051.

7. Podatności w oprogramowaniu MegaBIP

   W oprogramowaniu MegaBIP wykryto 2 podatności różnego typu (CVE-2024-6662 oraz CVE-2024-6880).

8. CyberParawan 2024 - Podsumowanie

   W tegorocznej edycji cyklu #CyberParawan zamiast leżeć na plaży, zabraliśmy Was w podróż przez letnie strategie cyberprzestępców.

9. Podatności w oprogramowaniu HyperView Geoportal Toolkit

   W oprogramowaniu HyperView Geoportal Toolkit wykryto 2 podatności różnego typu (CVE-2024-6449 oraz CVE-2024-6450).

10. Podatność w oprogramowaniu ConnX ESP HR Management

    W oprogramowaniu ConnX ESP HR Management wykryto podatność typu Stored XSS i nadano jej identyfikator CVE-2024-7269.

11. Podatność w oprogramowaniu routerów KAON AR2140

    W oprogramowaniu routerów KAON AR2140 wykryto podatność typu Command Injection (CVE-2024-3659).

12. Podatności w oprogramowaniu EZD RP

    W oprogramowaniu EZD RP wykryto 3 podatności różnego typu (od CVE-2024-7265 do CVE-2024-7267).

13. Program CVE – pierwszy rok za nami!

    CERT Polska od roku ma status CNA (CVE Numbering Authority), co pozwala na nadawanie identyfikatorów i publikowanie informacji o podatnościach w programie CVE. W ciągu ostatnich 12 miesięcy nadaliśmy 73 takie identyfikatory podatnościom, także tym odkrytym w ramach naszych działań badawczych.

14. Podatność w oprogramowaniu Stackposts Social Marketing Tool

    W oprogramowaniu Stackposts Social Marketing Tool wykryto podatność typu Cross-site Scripting i nadano jej identyfikator CVE-2024-7127.

15. Oszustwa biletowe

    Wakacje to czas, kiedy słowo „bilet” nabiera szczególnego znaczenia. A skoro „bilet” to wakacyjne słowo-klucz, to jest to też świetny wabik wykorzystywany przez wirtualnych oszustów.

16. Podatności w otwartoźródłowym projekcie Phoniebox

    W ramach badań własnych CERT Polska znalazł 2 podatności (CVE-2024-3798 oraz CVE-2024-3799) w otwartoźródłowym projekcie Phoniebox.

17. Podatność SQL injection w oprogramowaniu MegaBIP

    W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6527.

18. Podatności w urządzeniach Longse Technology

    W oprogramowaniu urządzeń firmy Longse Technology wykryto 4 podatności (od CVE-2024-5631 do CVE-2024-5634).

19. Podatność w oprogramowaniu Edito CMS

    W oprogramowaniu Edito CMS wykryto podatność CVE-2024-4836 pozwalającą na pobieranie plików konfiguracyjnych.

20. Podatność w oprogramowaniu SOWA OPAC

    W oprogramowaniu SOWA OPAC wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-6050.