Специалисты Palo Alto Networks сообщили об устранении нескольких уязвимостей в инструменте миграции Expedition, включая критическую CVE-2025-0103 (CVSS: 7.8), которая позволяла злоумышленникам читать базы данных и создавать/удалять файлы. Уязвимость затрагивает конфиденциальные данные, такие как пароли и ключи API. Исправления включены в версию 1.2.101, которая также устраняет четыре уязвимости средней и низкой степени критичности. Компания рекомендует ограничить доступ к Expedition и отключить его, если он не используется. С 31 декабря 2024 года Expedition больше не поддерживается, и Palo Alto Networks призывает клиентов переходить на альтернативные решения.
Исследователи Trend Micro обнаружили поддельные эксплойты, имитирующие уязвимости LDAPNightmare в Windows: CVE-2024-49113 и CVE-2024-4911 (CVSS: 9.8). Вместо легитимного PoC-кода злоумышленники распространяют вредоносный файл «poc.exe», который запускает скрипт PowerShell для кражи данных. Украденная информация включает данные о системе, процессы, сетевые IP-адреса и установленные обновления. Несмотря на то, что схема может показаться подозрительной для опытных исследователей, ее актуальность и высокая оценка уязвимостей делают ее опасной для широкой аудитории. Trend Micro предупреждает о необходимости быть осторожными при работе с PoC-эксплойтами.
В популярном плагине GiveWP для онлайн-пожертвований и сбора средств обнаружена критическая уязвимость CVE-2025-22777 (CVSS: 9.8). Проблема связана с неаутентифицированным внедрением PHP-объектов, что позволяет злоумышленникам обходить защиту и захватывать сайты WordPress. Уязвимость затрагивает версии 3.19.3 и ниже. Злоумышленники могут использовать слабую проверку регулярных выражений для внедрения вредоносных метаданных, которые затем десериализуются. Это может привести к удалению критических файлов, таких как wp-config.php, и полному захвату сайта. Разработчики GiveWP выпустили исправление в версии 3.19.4. Пользователям рекомендуется немедленно обновиться, чтобы защитить свои сайты от потенциальных атак.
Злоумышленники активно используют уязвимости в корпоративной платформе для коммуникаций Mitel MiCollab, включая уязвимость нулевого дня, и критическую уязвимость в Oracle WebLogic Server, эксплуатируемую уже пять лет. В Mitel MiCollab эксплуатируются уязвимости обхода пути CVE-2024-41713 (CVSS: 9.8) и CVE-2024-55550 (CVSS: 2.7). Первая уязвимость позволяет неавторизованным пользователям просматривать или удалять данные, она была исправлена в октябре 2024 года. Вторая уязвимость может быть использована авторизованными администраторами для доступа к конфиденциальным данным, ее исправление пока недоступно. Уязвимость удаленного выполнения кода (RCE) CVE-2020-2883 (CVSS: 9.8) связана с десериализацией в Oracle WebLogic Server. Несмотря на то, что уязвимость была исправлена в апреле 2020 года, до сих пор активно эксплуатируется. Mitel рекомендует обновить MiCollab до версии 9.8 SP2 (9.8.2.12) для снижения рисков. Oracle также настоятельно советует установить все доступные обновления безопасности.
Команда инженеров Wiz проанализировала уязвимость в популярном сканере с открытым исходным кодом Nuclei. Уязвимость с идентификатором CVE-2024-43405 (CVSS: 7.4) позволяет злоумышленникам обходить проверку подписи шаблонов и внедрять вредоносный код на локальных системах. Проблема связана с несоответствием обработки переносов строк между парсером YAML и логикой Go, а также игнорированием дополнительных строк #digest:. Разработчики ProjectDiscovery устранили проблему в версии 3.3.2. Пользователям рекомендуется обновить ПО и использовать Nuclei в изолированных средах для предотвращения атак.
