Hírolvasó

Overview

The IDrive Cloud Backup Client for Windows, versions 7.0.0.63 and earlier, contains a privilege escalation vulnerability that allows any authenticated user to run arbitrary executables with NT AUTHORITY\SYSTEM permissions.

Description

IDrive is a cloud backup service that allows users to encrypt, sync, and store data from multiple devices such as PCs, Macs, iPhones, and Androids in one cloud-based account. IDrive provides a Windows client for both desktop and server editions, which acts as both a thick client and a thin client with a web interface to manage cloud backups.

CVE-2026-1995 The IDrive Windows client utility id_service.exe runs as a process with elevated SYSTEM privileges and regularly reads from several files located under C:\ProgramData\IDrive. The UTF16-LE encoded contents of these files are used by the service as arguments for starting processes. Because of weak permission configurations, these files can be edited by any standard user logged into the system. An authenticated, low-privilege attacker can overwrite or add a new file that specifies a path to an arbitrary script or .exe, which will then be executed by the id_service.exe process with SYSTEM privileges.

Impact

This vulnerability enables an authenticated local user, or any user with access to the affected directory, to execute arbitrary code as SYSTEM on the target Windows device. A local attacker could exploit this vulnerability to escalate privileges and gain full control over the target machine, potentially enabling data theft, system modification, or arbitrary script execution.

Solution

IDrive has reported that a patch for this vulnerability is currently in development. Users should monitor IDrive releases and update their software to the latest version as soon as it becomes available. In the meantime, users are advised to restrict write permissions for the affected directory and employ additional controls such as EDR monitoring and Group Policies to detect and prevent unauthorized file modifications.

Acknowledgements

Thanks to Matthew Owens and FRSecure for discovering and reporting this vulnerability. This document was written by Molly Jaconski.

Overview

GoHarbor's Harbor default admin password presents a security risk because it does not require change upon initial deployment.

Description

GoHarbor's Harbor is an open-source OCI-compliant container registry project that stores, signs, and manages container images. Harbor initializes with a default administrator account (admin) and password (Harbor12345), configured through the harbor_admin_password parameter in the harbor.yml. While operators are expected to change these credentials during or after deployment, Harbor does not enforce a password change during setup or upon first login. If the default credentials remain unchanged, a remote attacker can authenticate using the publicly known password to gain full administrative access.

Impact

An attacker who gains administrative access can fully compromise the Harbor registry and all managed artifacts. This includes the ability to overwrite or inject malicious container images, enabling supply-chain attacks that may lead to remote code execution in downstream continuous integration and continuous development (CI/CD) pipelines and Kubernetes environments. The attacker can establish persistent access by creating new users, robot accounts, or API tokens, and can weaken or disable security controls such as vulnerability scanning, signature enforcement, and role-based access controls. Additionally, sensitive images can be exfiltrated by configuring replication to external registries or downloading artifacts directly. Administrative privileges also allow destructive actions such as deleting repositories or corrupting artifacts, resulting in service disruption and loss of system integrity.

Solution

Operators should change the default administrative password either before or immediately after deployment. This can be done through the Harbor web interface or by specifying a unique value for harbor_admin_password in harbor.yml during installation. A fix has been proposed to address the hardcoded default password by removing or randomizing default credentials during installation. See the Harbor pull request: https://github.com/goharbor/harbor/pull/19188https://github.com/goharbor/harbor/pull/19188

Acknowledgements

Thanks to notnotnotveg (notnotnotveg@gmail.com) who reported this vulnerability. This document was written by Michael Bragg.

A Google előző hét csütörtökön bejelentett egy új, „fejlettebb” sideloading folyamatot, amely a nem ellenőrzött fejlesztők által készített szoftverek számára 24 órás kötelező várakozási időt ír elő, mielőtt települhetnének egy Android rendszerre. Az új folyamat jól illeszkedik a Google azon törekvéseihez, hogy hitelesített Android eszközre kizárólag ellenőrzött fejlesztők által készített alkalmazások legyenek telepíthetők, így nemcsak […]

A VoidStealer nevű információlopó (infostealer) egy új módszerrel kerüli meg a Chrome Application-Bound Encryption (ABE) védelmi mechanizmusát, és megszerzi a böngészőben tárolt érzékeny adatok visszafejtéséhez szükséges főkulcsot (master key). Az új módszer során a malware hardver töréspontok segítségével közvetlenül a böngésző memóriájából nyeri ki a titkosításhoz és visszafejtéshez használt v20_master_key kulcsot, anélkül, hogy jogosultságkiterjesztésre (privilege […]

Az FBI és a CISA 2026. március 20-án kiadott figyelmeztetése szerint orosz hírszerzési szolgálatokhoz köthető szereplők egy világszintű kampányban célozzák elsősorban a Signal, és a WhatsApp felhasználóit. A hatóságok szerint a műveletek már több ezer egyéni fiók illetéktelen hozzáféréséhez vezettek, és a célpontok tipikusan magas hírszerzési értékű személyek, jelenlegi vagy volt kormányzati tisztviselők, katonák, politikai […]

A támadók a Microsoft Azure Monitor rendszerét használják ki, hogy hitelesnek tűnő, de valójában adathalász e-maileket küldjenek, amelyek sürgős, hamis számlázási problémákra korrigálására hivatkoznak.

A CVE-2026-21992 azonosítón nyomon követett kritikus besorolású sérülékenység távoli kódfuttatást tesz lehetővé az Oracle Identity Manager és a Web Services Manager termékekben. Az Oracle Identity Manager egy vállalati identitáskezelő platform, amely automatizálja a felhasználói fiókok létrehozását és megszüntetését, valamint a jogosultságaik kezelését. Az Oracle Web Services Manager pedig egy olyan szabályzat-vezérelt keretrendszer, amely kezeli és […]

Az Interlock zsarolóvírus-csoport január óta használja zero-day támadásokhoz a Cisco Secure Firewall Management Center (FMC) szoftver egy távoli kódfuttatási (RCE) sérülékenységét. Az Interlock ransomware banda 2024 szeptemberében bukkant fel először, ám azóta több támadási módszerrel is összefüggésbe hozták, például a ClickFlix technikával és egy NodeSnake nevű távoli hozzáférésű trójai vírussal, amelyet több brit egyetem hálózatára […]

A Google Threat Intelligence Group elemzése alapján a DarkSword egy több lépcsőből álló, teljes iOS kompromittálást lehetővé tevő exploitlánc, amelyet 2025 novembere óta több, egymástól különálló fenyegető szereplő is használt célzott műveletekben. A kutatások szerint a kampányok földrajzilag is elkülönülő célpontokat érintettek. A megfigyelt aktivitás alapján a DarkSword nem egyetlen incidenshez köthető technikai megoldás, hanem […]

Kiberbiztonsági kutatók egy rendkívül súlyos, 9,8-as CVSS pontszámú sérülékenységet azonosítottak a GNU InetUtils csomag telnetd szolgáltatásában (CVE-2026-32746), amely lehetővé teszi egy hitelesítés nélküli, külső támadó számára, hogy tetszőleges kódot futtasson root jogosultságokkal. A hiba az úgynevezett LINEMODE Set Local Characters (SLC) alopció kezelésében található, ahol egy out-of-bounds write típusú memóriakezelési probléma puffertúlcsordulást idéz elő.  A […]

Az agentikus mesterséges intelligencia (Agentic AI) alapjaiban alakítja át a vállalatok működését. Az AI-ügynökök már nem csupán támogató eszközök vagy fejlett chatbotok, hanem autonóm rendszerek, amelyek képesek tervezni, döntéseket hozni és műveleteket végrehajtani. Kódot generálnak, adatokat mozgatnak, tranzakciókat hajtanak végre, és több rendszeren átívelően működnek, gyakran emberi felügyelet nélkül, folyamatosan és gépi sebességgel. Ez a […]

A szervezet közleményében hangsúlyozta, hogy a korai felismerésre kialakított biztonsági rendszereik és belső eljárásaik megakadályozták a kompromittálódást, és lehetővé tették az informatikai szakemberek számára, hogy azonnal reagáljanak a fenyegetésre és biztosítsák a támadás által érintett rendszereket. Az NCBJ Lengyelország vezető állami nukleáris kutatóintézete, amely nukleáris fizikával, reaktortechnológiával, részecskefizikával és sugárzástechnológia alkalmazásával foglalkozik. Műszaki és tudományos […]

Az Apple 2026. március 17-én kiadta az iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) és macOS 26.3.2 (a) Background Security Improvements frissítéseket, amelyek az iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 és macOS 26.3.2 rendszereken érhetők el. Ezek a javítások azért érdekesek, mert nem klasszikus, teljes rendszerverzió frissítésként érkeznek, hanem a legfrissebb támogatott platformokra […]

Az Európai Tanács kibertámadással összefüggő tevékenységek miatt szankcionált két kínai és egy iráni szervezetet, valamint további két konkrét személyt. A szóban forgó kínai vállalatok egyike az Integrity Technology Group, akik 2022 és 2023 „műszaki és anyagi támogatást nyújtottak”, aminek eredménye több mint 65.000 fertőzött eszközhöz vezetett hat uniós országban. A másik kínai vállalat az Anxun […]

A CVE-2026-23813 azonosítón nyomon követett sérülékenység (CVSS pontszáma: 9,8) az AOS-CX switchek webalapú menedzsmentfelületét érinti. A sérülékenység távolról, hitelesítés nélkül kihasználható, így a támadók megkerülhetik a meglévő hitelesítési mechanizmusokat. A sebezhetőség számos HPE Aruba Networking switch-sorozatot érint, többek között a CX 4100i, CX 6000, CX 6100, CX 6200, CX 6300, CX 6400, CX 8320, CX […]

Újabb sérülékenységgel bővült a CISA Known Exploited Vulnerabilities (KEV) listája, ezúttal a Wing FTP kiszolgálóban található CVE-2025-47813számon nyomon követett sérülékenységgel, amely kihasználása információszivárgáshoz vezethet. A sebezhetőség a szoftver 7.4.3-as és annál korábbi verzióit érinti. A CISA közleménye szerint a sérülékenység miatt a Wing FTP kiszolgáló érzékeny adatokat tartalmazó hibaüzenetet generál, ha az UID cookie túl […]

A Meta 2026 májusától leállítja a végponttól végpontig terjedő titkosítás (E2EE) támogatását az Instagram csevegéseknél ugyanis – a cég elmondása szerint – nagyon kevés felhasználó használta a funkciót a platform direkt üzeneteinél (DM). Azok, akik továbbra is end-to-end titkosítással szeretnének chatelni, a tech óriás az azonnali üzenetküldő alkalmazását, a WhatsApp-ot ajánlja. Először 2021-ben kezdték el […]

A Bitdefender kutatása egy kiterjedt, több országot és nyelvet érintő online csalási ökoszisztémát azonosított, amely a Meta közösségi platformjain futtatott rosszindulatú hirdetési kampányokon keresztül irányította az áldozatokat befektetési csalásokba.

Overview

A log-injection vulnerability in the LibreChat RAG API, version 0.7.0, is caused by improper sanitization of user-supplied input written to system logs. An authenticated attacker can forge or manipulate log entries by inserting CRLF characters, compromising the integrity of audit records. This flaw may further enable downstream attacks if the tampered logs are processed or displayed by insecure log-management tools.

Description

LibreChat’s retrieval-augmented generation (RAG) application programming interface (API) is a specialized, asynchronous backend service developed with Python FastAPI and LangChain that facilitates document-based RAG through a file-level, ID-based indexing system. It operates by extracting and chunking text from user-uploaded files, generating high-dimensional embeddings via providers like OpenAI or local Ollama instances, and storing them in a PostgreSQL database equipped with the pgvector extension for efficient semantic search.

A log-injection vulnerability occurs when an application fails to properly sanitize or validate untrusted user input before including it in system log files, allowing an attacker to manipulate the integrity of the audit trail. By inserting line-feed or carriage-return (CRLF) characters in a POST request, specifically in the file_id parameter of the form data, an authenticated attacker can forge fake log entries.

Impact

By exploiting this vulnerability, an authenticated attacker can obfuscate malicious activity, misdirect forensic investigations, or impersonate other users. Furthermore, if the logs are later viewed through a web-based administrative console or an unsecure log-management tool, this vulnerability can escalate into secondary attacks such as cross-site scripting (XSS) or remote command execution.

Solution

Unfortunately, we were unable to reach the vendor to coordinate this vulnerability. Since a patch is unavailable, we can only offer mitigation strategies. The following workarounds can help mitigate this vulnerability's impact on the targeted environment:

• Sanitize input logs with a filter in the RAG ingest to prevent malicious data.
• Disable the pgvector extension in PostgreSQL, if not in use.
• Validate RAG output before passing it to other tools to prevent relaying of data that could lead to indirect prompt injection.

These recommendations are not mutually exclusive and can be implemented in combination to provide layered protection. By taking these steps, organizations can reduce their risk exposure until the vendor addresses the underlying vulnerabilities.

Acknowledgements

Thanks to Caio Bittencourt for coordinating the disclosure of this vulnerability. This document was written by Dr. Elke Drennan, CISSP.

A Szövetségi Nyomozóiroda (FBI) Seattle-i részlege nyomozást folytat a Steam játékpiactérre feltöltött, káros kódokat tartalmazó játékokkal kapcsolatban. Az áldozatkereső felhívásban olyan felhasználók közreműködését kérik, akik telepítették az FBI által felsorolt játékok valamelyikét és/vagy olyan információkkal rendelkeznek, amelyek segíthetik a nyomozást. Az FBI feltételezése szerint a káros kódok terjesztésért felelős rosszindulatú fejlesztők a 2024 májusa és […]