GitLab‑skanning avdekker over 17 000 lekkede hemmeligheter i offentlige repositories. Kritisk sårbarhet i WordPress-tillegg for Elementor blir aktivt utnyttet i angrep. ASUS advarer om kritiske autentiserings‑omgåelser i rutere og PC‑programvare.
GitLab‑skanning avdekker over 17 000 lekkede hemmeligheter i offentlige repositories
En sikkerhetsingeniør skannet alle ~5,6 millioner offentlige repositories på GitLab Cloud og fant 17 430 hemmeligheter; API‑nøkler, tokens, passord med mer, spredt over rundt 2 800 ulike domener. Funksjonaliteten ble avdekket med verktøyet TruffleHog, og lekkasjene gjelder blant annet nøkler for skytjenester, databaser og bot‑API‑er. Mange av de eksponerte hemmelighetene strekker seg flere år tilbake, noen helt tilbake til 2009.
Kritisk sårbarhet i WordPress-tillegg for Elementor blir aktivt utnyttet i angrep
En kritisk sårbarhet i WordPress-pluginen King Addons for Elementor blir nå aktivt utnyttet av angripere. Sårbarheten, som har fått CVE-2025-8489, gjør det mulig for uautoriserte brukere å tildele seg selv administratorrettigheter under registrering ved å sende parameteren "user_role=administrator". Dette gir full kontroll over nettstedet, inkludert muligheten til å laste opp ondsinnet kode eller endre innhold. Angrepene ble først registrert tidlig i november, og sikkerhetsfirmaet Wordfence har blokkert over 48 400 forsøk på å utnytte denne sårbarheten. Feilen ble opprinnelig rettet i versjon 51.1.35, som ble utgitt allerede 25. september, men mange nettsteder har ennå ikke oppdatert og forblir dermed sårbare. Pluginet har et begrenset installasjonsgrunnlag på ca. 10 000 nettsteder, men konsekvensene av et angrep kan være alvorlige for de som er rammet.
ASUS advarer om kritiske autentiserings‑omgåelser i rutere og PC‑programvare
En ny sikkerhetsrapport avdekker to kritiske sårbarheter hos ASUS: AiCloud‑rutere rammes av CVE-2025-59366 (autentiseringsomgåelse) og enkelte DSL‑rutere av CVE-2025-59367, begge gjør det mulig for angripere som får tilgang eksternt å få full kontroll uten gyldige legitimasjoner.
I tillegg ble en lokal privilegieeskalerings‑sårbarhet i MyASUS for PC er fikset med CVE-2025-59373, som kunne tillate uautoriserte brukere å kjøre kode med SYSTEM‑privilegier.
Oppdater straks ruterens firmware og MyASUS‑programvaren til de nyeste versjonene. Hvis du har en eldre eller utrangert ruter, vurder å deaktivere fjernadgangstjenester og bruk sterke, unike passord.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.