#NSA #emissary #Vulnerabilities
سازمان NSA یه ابزاری رو در GitHub خودش توسعه داده بوده که امکان ارتباط P2P رو فراهم میکرده.
جالبه که این ابزار که تا نسخه 5.9.0 هم توسعه داده شده، دارای 5 آسیب پذیری بوده که در تصویر پست شناسه ها و نوع اونها رو مشاهده میکند، شرایط بهره برداری از آسیب پذیری اینه که بعد از احراز مبتنی بر HTTP Digest Authentication قربانی میبایست در معرض حمله CSRF یا ارسال درخواست جعلی مهاجم قرار بگیره.
یعنی بواسطه آسیب پذیری XSS از نوع واکنشی، قربانی در معرض اسکریپت درخواست جعلی قرار بگیره و درخواست CSRF زده شده و بواسطه آسیب پذیری Code Injection بر روی وبسرویس مربوط به NSA یک کد سیستمی اجرا و دسترسی به خط فرمان قربانی حاصل بشه!
خلاصه NSA هم که باشی جلوی تنوع آسیب پذیری های وب کم میاری...
https://blog.sonarsource.com/code-vulnerabilities-in-nsa-application-revealed
@Unk9vvN
سازمان NSA یه ابزاری رو در GitHub خودش توسعه داده بوده که امکان ارتباط P2P رو فراهم میکرده.
جالبه که این ابزار که تا نسخه 5.9.0 هم توسعه داده شده، دارای 5 آسیب پذیری بوده که در تصویر پست شناسه ها و نوع اونها رو مشاهده میکند، شرایط بهره برداری از آسیب پذیری اینه که بعد از احراز مبتنی بر HTTP Digest Authentication قربانی میبایست در معرض حمله CSRF یا ارسال درخواست جعلی مهاجم قرار بگیره.
یعنی بواسطه آسیب پذیری XSS از نوع واکنشی، قربانی در معرض اسکریپت درخواست جعلی قرار بگیره و درخواست CSRF زده شده و بواسطه آسیب پذیری Code Injection بر روی وبسرویس مربوط به NSA یک کد سیستمی اجرا و دسترسی به خط فرمان قربانی حاصل بشه!
خلاصه NSA هم که باشی جلوی تنوع آسیب پذیری های وب کم میاری...
https://blog.sonarsource.com/code-vulnerabilities-in-nsa-application-revealed
@Unk9vvN
#Zimbra #Zeroday #Vulnerabilities
در این مقاله قصد داریم تا تحلیل فنی ای در خصوص آسیب پذیری های ایمیل سرور Zimbra داشته باشیم و بررسی کنیم که چگونه منجر به ایجاد دسترسی از راه دور شده، که بدون نیاز به احراز هویت بوده است. همچنین نحوه ارتقاء سطح دسترسی بعد از ایجاد دسترسی اولیه که مبتنی بر آسیب پذیری ای در خصوص وبسرویس می باشد، همچنین لازم به ذکر است که این آسیب پذیری طی ماه های گذشته موجب افشای اطلاعات از سازمان تولید و تحقیق سازمان انرژی…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2023/01/zimbra-server-zero-day-exploit-vulnerabilities/
@Unk9vvN
در این مقاله قصد داریم تا تحلیل فنی ای در خصوص آسیب پذیری های ایمیل سرور Zimbra داشته باشیم و بررسی کنیم که چگونه منجر به ایجاد دسترسی از راه دور شده، که بدون نیاز به احراز هویت بوده است. همچنین نحوه ارتقاء سطح دسترسی بعد از ایجاد دسترسی اولیه که مبتنی بر آسیب پذیری ای در خصوص وبسرویس می باشد، همچنین لازم به ذکر است که این آسیب پذیری طی ماه های گذشته موجب افشای اطلاعات از سازمان تولید و تحقیق سازمان انرژی…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2023/01/zimbra-server-zero-day-exploit-vulnerabilities/
@Unk9vvN