A Ghost tartalomkezelő rendszer (CMS) egy néhány hónappal ezelőtt javított sebezhetőségét kihasználva több száz weboldalt feltörtek, köztük olyan nagyobb szervezetek weboldalait is, mint a Harvard, az Oxford és a DuckDuckGo. A Ghost egy széles körben használt, nyílt forráskódú CMS (content management system), amelyet kifejezetten blogoláshoz, hírlevelekhez és publikáláshoz terveztek, továbbá…
A Krebs állítása szerint a CISA számos felhőszolgáltatásához kapcsolódó digitális kulcsot hagyott szabadon, plain text formátumban – egyes esetekben nem tudni, hogy mennyi ideje lehettek ott. Ezt a problémát végül az elmúlt hétvégén orvosolták. Az adattároló egyes jelentések szerint „Private-CISA” néven volt megtalálható, és .CSV fájltípusban jelszavakat, bejelentkezési kulcsokat és…
A Drupal egy nagyon súlyos core sérülékenységre adott ki javítást, amely a leírás szerint távoli kódfuttatáshoz, jogosultságemeléshez vagy információszivárgáshoz is vezethet. A hiba CVE-2026-9082 azonosítót kapta, és a PostgreSQL-t használó Drupal oldalak érintettek. A probléma azért különösen érzékeny, mert nem bejelentkezett támadók is ki tudják használni. A támadási felület egy…
Az NGINX 1.31.0-ban egy új, javítatlan zero-day sérülékenységet azonosítottak, amelyet „nginx-poolslip” néven emlegetnek. A leírás szerint a hiba lehetővé teheti az ASLR megkerülését, majd végső soron távoli kódfuttatást is eredményezhet. Mivel az NGINX a világ aktív webhelyeinek nagyjából egyharmadát szolgálja ki, az érintett rendszerek száma potenciálisan rendkívül magas lehet. A…
Ismét reflektorfénybe került egy 2020-ban azonosított Windows-sebezhetőség, és a jelek szerint a legfrissebb biztonsági frissítésekkel ellátott rendszereken is működőképes.
Az App Store továbbra is kiemelt célpontja a különféle online visszaéléseknek, ezért az Apple az elmúlt években nemcsak emberi erőforrásokkal, hanem a mesterséges intelligencia segítségével is növelte a biztonsági és moderációs kapacitásait. A 2025-ös adatok alapján több mint 2,2 milliárd dollár értékű rosszindulatú tevékenységekkel összefüggő tranzakciót akadályozott meg, miközben a…
Magára vállalta a GitHub belső rendszereit érintő súlyos adatszivárgást a TeamPCP nevű kiberbűnözői csoport. A szivárgásban feltehetően érzékeny forráskódok és a GitHub saját szervezeti adatai érintettek. A csoport jelenleg 50.000 USD-ért árulja a lopott adatbázist az erre megfelelő kiberbűnözői fórumokon. Több sötét webet monitorozó platform, a támadók állítására alapozott véleménye…
A hiba sikeres kihasználása az alapértelmezett beállítások esetén a szerver újraindulását is előidézheti, ami így DoS állapotot okozhat; az Address Space Layout Randomization (ASLR) letiltott állapota esetén pedig akár távoli kódfuttatáshoz is vezethet. A CVE-2026-42945 sérülékenységet – melyet múlt héten patchelt az NGINX – a hétvége folyamán aktívan kihasználták. A…
A Discord bejelentette, hogy a platformon keresztül folytatott hang- és videóhívásokat mostantól alapértelmezés szerint végpontok közötti titkosítással (E2EE) védik. Az E2EE támogatás bevezetése még márciusban fejeződött be. A Discord egy népszerű online közösségi platform, amely az üzenetek küldésén túl, illetve a hang-és videóhívások mellett közösségi szervereket kínál játékok, alkotók, vállalkozások…
Ismét megrendezésre került a Pwn2Own Berlin kiberbiztonsági verseny, ahol ezúttal is biztonsági kutatók mérhették össze tudásukat valós rendszerek feltörésén keresztül. A háromnapos esemény végére a résztvevők összesen több mint 1,29 millió dollár jutalmat vihettek haza, miután 47 zero-day sérülékenységet sikerült kihasználniuk. A verseny az OffensiveCon konferencián zajlott május 14. és…
2026 áprilisa és májusa között a Linux kernel közössége egy szokatlan eseménysorozatot élt át. Néhány hét leforgása alatt öt súlyos kernelsérülékenység vált ismertté, amelyek mindegyike a legnépszerűbb Linux disztribúciókat érinti. A Copy Fail, a Dirty Frag, a Fragnesia, ssh-keysign-pwn és a DirtyDecrypt egymástól eltérő technikai mechanizmusokon alapulnak, de közös vonásuk,…
A Microsoft csütörtökön kockázatcsökkentő intézkedéseket adott ki egy súlyos Microsoft Exchange Server sérülékenységgel kapcsolatban, amelyet a támadók már aktívan kihasználnak. A hiba lehetővé teheti, hogy a támadók speciálisan kialakított webes tartalmak segítségével rosszindulatú kódot futtassanak az Outlook on the Web (OWA) felhasználóinak böngészőjében. A CVE-2026-42897 azonosítójú sérülékenység az Exchange Server…