News

Bezpečnostní chyby v oblíbeném nástroji pgAdmin pro správu databází PostgreSQL

Patrik Žák

6. kvě 2024 — 1 min read

Nástroj pgAdmin, nedávno řešil dvě významné bezpečnostní chyby. Tyto zranitelnosti, identifikované až do verze 8.5 včetně, představovaly pro uživatele vážné riziko, protože potenciálně umožňovaly neoprávněné akce a spouštění skriptů

Chyby, sledované jako CVE-2024-4215 a CVE-2024-4216, měly v systému CVSS hodnocení závažnosti 7,4.

CVE-2024-4215: Chyba v obcházení ověřování

Útočníci mohli tuto chybu zneužít k úplnému obejití vícefaktorového ověřování (MFA). I když jste pečlivě implementovali MFA, starší verze aplikace pgAdmin byly vystaveny riziku. S pouhými přihlašovacími údaji uživatele mohou útočníci získat kontrolu nad instancí pgAdmin, manipulovat s daty, vynášet citlivé informace a potenciálně provádět další útoky.

CVE-2024-4216: Zranitelnost XSS (Cross-Site Scripting)

Tato zranitelnost se nachází v API rozhraní pro nastavení aplikace pgAdmin. V případě zneužití by útočník mohl injektovat škodlivý kód, který by se spustil v prohlížeči oběti.

Obě zranitelnosti byly vyřešeny vydáním verze 8.6 aplikace pgAdmin. Uživatelům aplikace pgAdmin se důrazně doporučuje aktualizovat na nejnovější verzi.

SECURITY SUNDAY 39/2024

Kritická chyba ve službě CUPS ohrožuje Linuxové systémy Bylo nalezeno několik kritických bezpečnostních chyb v systému pro správu tisku Common Unix Printing System (CUPS) pro Linux označených jako CVE-2024-47175 až CVE-2024-47177. Security research Simone Margaritelli ukázal, že cizí neautorizovaný útočník může potichu nahradit existující tiskárny (nebo nainstalovat nové) což má

SECURITY SUNDAY 38/2024

Vítejte u Security Sunday, týdenního shrnutí ze světa cyber-security. Čínští špióni strávili měsíce v síti letecké firmy Čínští špióni pronikli do globální inženýrské firmy vyrábějící komponenty pro veřejné i soukromé letecké organizace a další klíčové sektory, včetně těžby ropy a plynu. Útočníci získali přístup do systému firmy prostřednictvím výchozích správcovských

SECURITY SUNDAY 37/2024

Společnost Fortinet potvrdila únik dat Společnost Fortinet potvrdila narušení bezpečnosti dat, o němž poprvé informoval hacker, který tvrdil, že ukradl 440 GB dat ze serveru Microsoft SharePoint. Údajný pachatel, vystupující pod přezdívkou „Fortibitch“, se pokusil vymoci od společnosti Fortinet výkupné výměnou za to, že ukradená data nezveřejní. Podle hackera však

SECURITY SUNDAY 36/2024

Výzkumníci nalezli způsob, jak obejít bezpečnostní kontroly na letištích Bezpečnostní výzkumníci identifikovali zranitelnost v klíčovém systému letecké bezpečnosti FlyCASS, který by umožnil neoprávněným osobám obejít bezpečnostní kontroly na letišti a získat přístup do letadel. Ian Carroll a Sam Curry objevili zranitelnost ve službě FlyCASS, webové službě třetí strany, kterou některé