Mr. Cl0wn - Security

Checker CVE-2020-5902: BIG-IP versions 15.0.0 through 15.1.0.3, 14.1.0 through 14.1.2.5, 13.1.0 through 13.1.3.3, 12.1.0 through 12.1.5.1, and 11.6.1 through 11.6.5.1 suffer from Traffic Management User Interface (TMUI) arbitrary file read and command execution vulnerabilities. Os dispositivos BIG-IP, fabricados pela F5 Networks, integram funções como gerenciar tráfego de rede, gerenciamento de segurança de aplicativos e load balancing. BIG-IP são hardware que tem diversas funcionalidades internas que ajudam no gerenciamento e segurança. O pesquisador da Positive Technologies Mikhail Klyuchnikov que descobriu tal vulnerabilidade RCE registrada com CVE-2020-5902. A vulnerabilidade descoberta pode ser usada para criar ou excluir arquivos, executar comandos no sistema. VERSÕES AFETADAS 15.0.0–15.1.0.3 14.1.0–14.1.2.5 13.1.0–13.1.3.3 12.1.0–12.1.5.1 11.6.1–11.6.5.1 CORREÇÃO TEMPORÁRIA ( httpd config ) include ' <LocationMatch ".\*\.\.;.\*"> Redirect...

É possível coletar informações (E-mails) do log gerado pelo plugin Mailchimp for WordPress no CMS Wodpress . Isso não se trata de uma falha do plugin de fato, mas sim falta de configuração das pastas, porem pode ser categorizado como vazamento de informação. Issue no GIT falando sobre: Logo depois do report foi modificado: Add migration to rename log file & insert PHP exit header. #28 1 https://github.com/ibericode/mailchimp-for-wordpress/commit/df7c4929b928406583e2c2c03e2156d2257121b5 Add migration to rename log file & insert PHP exit header. #281 https://github.com/ibericode/mailchimp-for-wordpress/commit/12bd049d684ad51dd72a5d7d9bf1b505ca98765c O que é o plugin: Mailchimp for WordPress Allowing your visitors to subscribe to your newsletter should be easy. With this plugin, it finally is. This plugin helps you grow your Mailchimp lists and write better newsletters through various methods. You can create good looking opt-in forms or integrate with any existing...

Por tempos ouvimos de "especialistas" em segurança a famosa frase: sempre antes de fornecer seus dados verifique se o site tem https e o cadeadinho verde. Mas estamos em 2019 e essa informação já não basta para falar se site X ou Y é seguro, quanto mais sites com "cadeadinho verde" mais phishings com certificado SSL no processo. E chamo isso de fraude segura. O ícone de cadeado carregou muito mais peso anos atrás, e para obter um certificado SSL / TLS foi um processo mais difícil, mas esses certificados agora são gratuitos e podem ser adquiridos por qualquer pessoa. Os invasores estão cada vez mais se certificando de que seus sites de phishing tenham certificados autênticos para imitar sites legítimos. Stu Sjouwerman (CEO knowbe4 ) Devemos modificar nossa visão de como olhar um possível site malicioso, o fato de ter um https ou famoso selo (site blindado) não diz nada. surfando nos https Hoje o https virou uma grande aliada para fraudadores no qu...