zero-day

XSS Zeroday sérülékenység a Zimbra-ban

XSS Zeroday sérülékenység a Zimbra-ban.

Új Zero-day XSS-sebezhetőséget tettek közzé az interneten a Zimbrában. A Volexity december 14-én két támadási fázist tartalmazó hadjáratot észlelt. Az első (felderítési) fázis annak nyomon követésére szolgált, hogy a célpont megkapta-e és megnyitotta-e az üzenet(eke)t. A második (szállítási) fázist arra használták, hogy rávegyék a célpontokat egy rosszindulatú hivatkozásra való kattintásra.

Zero-day sérülékenységet találtak a log4J Java naplozó csomagban

Zero-day sérülékenységet találtak a log4J Java naplozó csomagban

2021-12-10

CVE-2021-44228

Zero-day sérülékenységet találtak az Apache log4J Java naplozó csomagban, mely lehetővé teszi, hogy egy nem azonosított támadó távoli kódott futtasson a naplózó gépen. A sérülékenység működésének lényege, hogy ha a naplóba olyan string kerülhet, amit a támadó irányít, azzal kódot tud futtatni a naplózó gépen. (Pl egy web formon megadott adat naplózása.)

Az érintett Apache log4J verziók:

2.0 <= Apache log4j <= 2.14.1