تحقیقات Wiz نشان داد که دو endpoint مربوط به ثبت‌نام و تایید OTP در Base44 بدون کنترل app_id محافظت شده بودند. این باگ به مهاجم اجازه می‌داد بدون احراز هویت وارد اپ خصوصی کاربران دیگر شود.

افزونه Ads Pro وردپرس (نسخه ≤ ۴.۸۹) دچار آسیب‌پذیری LFI است که به مهاجمان اجازه می‌دهد فایل‌های حساس سرور را بخوانند یا حتی ممکن است منجر به اجرای کد شود. شدت این ضعف بر اساس CVSS 3.x امتیاز ۹.۸ (بحرانی) دارد.

FortiWeb نسخه‌های 7.0 تا 7.6 دچار آسیب‌پذیری شدید SQL Injection هستند، که بدون نیاز به احراز هویت می‌تواند به اجرای کد مخرب یا افشای پایگاه داده منجر شود. همین الان نسخه‌ها را به‌روزرسانی کنید!

Nuclei یکی از ابزارهای پیشرفته و سریع در حوزه تست نفوذ و اسکن آسیب‌پذیری است که توسط پروژه معروف ProjectDiscovery توسعه یافته. این ابزار با استفاده از الگوهای قابل توسعه (Templates) می‌تواند انواع اسکن‌ها را روی وب‌سایت‌ها انجام دهد، از جمله: اسکن آسیب‌پذیری‌ها (XSS, SQLi, RCE, …) شناسایی پیکربندی‌های اشتباه کشف صفحات مخفی، فایل‌های عمومی، […]

یک آسیب‌پذیری در سرویس Cross Device ویندوز 11 (شامل نسخهٔ 24H2) اجازه می‌دهد تا با جایگزینی یک DLL، مهاجم با دسترسی پایین، به SYSTEM ارتقاء یابد. این PoC شامل مراحل ساخت DLL مخرب و زمان‌بندی مناسب است.

تکمیل داده‌های BloodHound: SCCMHound به‌عنوان مکملی برای جمع‌آورنده‌های موجود مانند SharpHound عمل می‌کند و دید جامع‌تری از محیط Active Directory ارائه می‌دهد.

رابط کاربری وب مبتنی بر پایتون: Zig Strike دارای یک رابط کاربری وب است که به کاربران امکان می‌دهد پیلودهای خود را به‌صورت پویا سفارشی‌سازی کرده، روش‌های تزریق را انتخاب کرده و پیلود نهایی را دریافت کنند.

آسیب‌پذیری CVE-2024-48990 در ابزار needrestart نشان‌دهنده اهمیت به‌روزرسانی منظم نرم‌افزارها و نظارت مستمر بر سیستم‌های سازمانی است. با اتخاذ تدابیر امنیتی مناسب و آموزش کاربران، می‌توان از بروز تهدیدات ناشی از این نقص جلوگیری کرد.