CSIRT.SK

🚨 Microsoft Edge Vulnerability Allows Remote Attackers to Execute Arbitrary Code Source: https://t.co/ucBHY0LbyF Microsoft has released a security update addressing a critical vulnerability in Microsoft Edge that could allow remote attackers to execute arbitrary code on vulnerable systems. An attacker who can trick a user into opening a malicious file or visiting a crafted page could exploit this flaw alongside other bugs to run code in the logged-in user's context. 📌 CVE-2026-45495 (CVSS 7.5): This vulnerability allows remote attackers to execute arbitrary code on affected installations of Microsoft Edge 📌 CVE-2026-45494 (CVSS 5.0): A navigation-handling weakness that can enable cross-origin script injection; user interaction required. 📌 CVE-2026-45492 (CVSS 4.3): Insufficient origin validation in cross-device managed sign-in, which can expose restricted functionality and be chained with other issues. #cybersecuritynews #MicrosoftEdge

⚠️⚠️ CVE-2026-32625 (CVSS 9.6): Authenticated users can exfiltrate server env secrets via MCP ${VAR} in server URLs 🔗FOFA Link: https://t.co/4DF7a7T3hY 🎯14.8K+ Results are found on https://t.co/HSOBZfCA2r in the past year. FOFA Query: app="LibreChat" 🔖Refer: https://t.co/3FmSUCjrke #OSINT #FOFA #CyberSecurity #Vulnerability

🚨Upozorňujeme na zranitelnost v HTTP/2 implementacích NGINX, Apache HTTPD, Microsoft IIS, Envoy, Cloudflare Pingora, CVE-2026-49975. Zranitelnost označovaná jako HTTP/2 Bomb umožňuje vzdálený útok typu denial-of-service (DoS) zneužitím výchozího nastavení HTTP/2. Útočník dokáže velmi malým množstvím odeslaných dat přimět server k opakovanému přidělování paměti a zároveň zabránit jejímu uvolnění, čímž vzniká výrazný nepoměr mezi zatížením útočníka a serveru. Důsledkem je rychlé vyčerpání dostupné paměti a znepřístupnění služby, přičemž i jeden klient může během několika sekund spotřebovat desítky GB RAM. Podmínkou zneužití je povolený HTTP/2 v běžné konfiguraci bez omezení využití prostředků. Opravy jsou dostupné v NGINX 1.29.8+ a Apache HTTPD mod_http2 v2.0.41, pro Microsoft IIS, Envoy a Cloudflare Pingora zatím opravy nejsou dostupné. 📌Doporučujeme aktualizovat NGINX na verzi 1.29.8+ a Apache HTTPD mod_http2 na verzi 2.0.41, případně dočasně vypnout HTTP/2 na neaktualizovaných systémech.

🚨 cve-2026-42211: React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE Critical Vulnerability Alert! React Router is affected by CVE-2026-42211. Full Vulnerability Details & Analysis at DarkEye: 🔗 https://t.co/XkhFAwFIQQ 🔍 Identify Targets via ZoomEye: Filter: vul.cve="cve-2026-42211" Search Dork: app="React Router" Exposure: 1.3m instances identified globally. ZoomEye Search Link: 👉 https://t.co/0YbacoMaoQ #Infosec #CyberSecurity #ZoomEye #DarkEye

🚨 Upozorňujeme na aktivně zneužívanou RCE zranitelnost ve Windows Netlogon, CVE-2026-41089. Jedná se o chybu typu přetečení zásobníku v komponentě Netlogon, kterou lze zneužít zasláním speciálně vytvořených síťových požadavků na server fungující jako Domain Controller; zranitelnost je zneužitelná vzdáleně bez autentizace. Úspěšné zneužití může vést k nesprávnému zpracování požadavku službou Netlogon a umožnit útočníkovi spustit libovolný kód s oprávněními SYSTEM, čímž může získat plnou kontrolu nad řadičem domény a potenciálně i nad celou doménovou infrastrukturou. Bylo potvrzeno aktivní zneužívání v reálném prostředí, což zvyšuje riziko kompromitace organizací, přestože Microsoft zatím zneužití této zranitelnosti nepotvrdil. 📌Doporučujeme aktualizovat na nejnovější verzi.

🚨 Fake Claude Code Installer Via Google Sites Delivers Credential-Stealing Malware Source: https://t.co/6s9juUivcS A recently identified campaign uses fake pages mimicking Claude Code and OpenAI Codex, hosted on trusted Google Sites infrastructure, to trick users into running commands that quietly steal their credentials and other sensitive personal data from their devices. The attack follows a technique known as ClickFix, where victims are shown what looks like a legitimate setup page and told to execute a short command. There is no file downloaded in the traditional sense. Instead, the entire malicious operation runs silently in memory, making it much harder for standard security tools to catch it in the act. #cybersecuritynews