Create accountLogin

Recent searches

No recent searches

Search options

Only available when logged in.
c.im is one of the many independent Mastodon servers you can use to participate in the fediverse.
C.IM is a general, mainly English-speaking Mastodon instance.

Administered by:

Server stats:

2.9K
active users

c.im: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.6

#cve

19 posts18 participants2 posts today
Public
Matthias Luft

Quite some #IngressNightmare #CVE-2025-1974 PoCs on GitHub now that look good at a cursory review:

github.com/hakaioffsec/Ingress

github.com/yoshino-s/CVE-2025-

github.com/Esonhugh/ingressNig

github.com/hi-unc1e/CVE-2025-1

github.com/lufeirider/IngressN

github.com/zwxxb/CVE-2025-1974

github.com/rjhaikal/POC-Ingres

Quick note on exploits trying to use `nginx.ingress.kubernetes.io/server-snippet`: That annotation has been identified as an issue before and has been disabled to mitigate CVE-2021-25742.

This is a PoC code to exploit the IngressNightmare vulnerabilities (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, and CVE-2025-1974). - hakaioffsec/IngressNightmare-PoC
GitHubGitHub - hakaioffsec/IngressNightmare-PoC: This is a PoC code to exploit the IngressNightmare vulnerabilities (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, and CVE-2025-1974).This is a PoC code to exploit the IngressNightmare vulnerabilities (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, and CVE-2025-1974). - hakaioffsec/IngressNightmare-PoC
Public
Habr

Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 3

Всех приветствую, читатели Хабра! Сегодня третья часть анализа защищенности веб-приложений Vulnhub. Ссылки на первую habr.com/ru/articles/894508/ и на вторую habr.com/ru/articles/895092/ части. Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях. Автор статьи не несет ответственности за ваши действия. Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял: УК РФ Статья 272. Неправомерный доступ к компьютерной информации УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Все атаки я проводил на локальный сервер, внутри моего сетевого интерфейса, на моем компьютере, то есть все действия легитимны. И как всегда просьба не переходить на личности в комментариях, если вы обнаружили ошибку недочет или неточность, просто без оскорблений напишите комментарий или напишите мне личным сообщением. В этой статье будет снова анализ защищенности веб-приложений на докер. Ссылка на доке-образы и описание как поднимать эти машины на докер. Рекомендую ознакомиться. Алгоритм атаки будет прежний, за исключением энумерации, в этих примерах ее не будет:

habr.com/ru/articles/895856/

ХабрАтака на некоторые уязвимые веб-приложения Vulnhub. Взлом и эксплуатация уязвимостейВсех приветствую читатели (и не только читали) хабра! В моей сегодняшней статье я затрону анализ защищенности веб-приложений и некоторые способы атаки на них Но для начала уточню пару моментов Я...
#информационная_безопасность#пентестинг#nmap
Public *
CatSalad🐈🥗 (D.Burch) :blobcatrainbow:

Firefox 0-day security vulnerability (CVE-2025-2857) patched

Mozilla patches a sandbox escape vulnerability that is already being exploited (in Chrome)

:firefox:mozilla.org/en-US/security/adv

Announced: 2025-03-27
Impact: ⚠️ critical
Products: Firefox, Firefox ESR (Firefox on Windows only)
Fixed in:
• Firefox 136.0.4 :windows:
• Firefox ESR 115.21.1 :windows:
• Firefox ESR 128.8.1 :windows:

MozillaSecurity Vulnerability fixed in Firefox 136.0.4, Firefox ESR 128.8.1, Firefox ESR 115.21.1
#Firefox#InfoSec#CVE
Public
Habr

Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 2

Всех приветствую читатели Хабра Сегодня я снова поделюсь опытом анализа защищенности веб-приложений Vulnhub. Вот ссылка на первую часть habr.com/ru/articles/894508/ Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях. Автор статьи не несет ответственности за ваши действия. Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял: УК РФ Статья 272. Неправомерный доступ к компьютерной информации УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Все атаки я проводил на локальный сервер, внутри моего сетевого интерфейса, на моем компьютере, то есть все действия легитимны И как всегад просьба не переходить на личности в коментариях, если вы обнаружил ошибку недочет или неточность просто без оскорблений напишите комментарий или напишите мне личным сообщением В прошлой статье я описывал как устанавливать docker-compose и как поднимать машины на интерфейсе. Также там была ссылка на гитхаб где можно скачать данные машины. Очень рекомендую сначала ознакомиться с прошлой статьей. В этой статье я коснусь только запуска машин. Алгоритм атаки будет прежний, за исключением энумерации, в этих примерах ее не будет:

habr.com/ru/articles/895092/

ХабрАтака на некоторые уязвимые веб-приложения Vulnhub. Взлом и эксплуатация уязвимостейВсех приветствую читатели (и не только читали) хабра! В моей сегодняшней статье я затрону анализ защищенности веб-приложений и некоторые способы атаки на них Но для начала уточню пару моментов Я...
#информационная_безопасность#пентестинг#nmap
Public
Saustrup

After a lot of tinkering, we finally made it to the latest release of the #nginx ingress controller on the mstdn.dk cluster. The latest release addresses no less than FOUR #CVE records. Critical configuration areas had changed, the GeoIP database had to be cached to avoid rate limiting and the #LUA engine needed some tweaks before it could handle the relative large number of TLS certificates we're using in the cluster, but we finally made it. Sorry about the hick-ups. We're trying to keep expenses from going through the roof, so we've skipped the test setup in favor of gently tweaking things in production. Usually that goes well, but there is the rare exception.

Somewhat related, the #KubeCon / #KubeConEU #Kubernetes conference is next week, which means I'll be in #London for the first time for an entire week. Any suggestions for things worth visiting for a bunch of #nerds? :D

Mastodon hosted on mstdn.dkmstdn.dkJust your average friendly Danish Mastodon server. New users tooting in Danish/English welcome. Administered from Denmark. Hosted on bare-metal Kubernetes in the EU.
Public
Habr

[Перевод] Как 9.3 уязвимость ждала открытия 3 года

В крупнейшем JavaScript фреймворке, Next.js, была найдена критическая уязвимость 9.3/10, на исправление которой Vercel потребовалось 13 дней .

habr.com/ru/articles/894770/

ХабрКак 9.3 уязвимость ждала открытия 3 годаВступление На днях мы с Ясером Алламом (Yasser Allam), он же _inzo , объединились, чтобы провести совместное исследование. Обсудив список потенциальных жертв целей, выбор пал на уже хорошо мне...
#javascript#vercel#nextjs
Public
Habr

Атака на некоторые уязвимые веб-приложения Vulnhub. Взлом и эксплуатация уязвимостей

Всех приветствую читатели (и не только читали) хабра! В моей сегодняшней статье я затрону анализ защищенности веб-приложений и некоторые способы атаки на них Но для начала уточню пару моментов Я публикую только те примеры, которые я сам лично пробовал на практике, примеры с которыми не должно возникнуть сложностей, которые хороши также для освоения или закрепления новых навыков. Огромная просьба не писать гневных коментариев или переходить на личности, а писать только по существу, например предложить другие методы решения Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях. Автор статьи не несет ответственности за ваши действия. Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял: УК РФ Статья 272. Неправомерный доступ к компьютерной информации УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей Итак приступим В своих примерах я буду использовать уязвимые веб-приложения на докер-контейнерах Для начала необходимо установить сам докер. В линукс это можно введя в терминал команды: sudo apt update; sudo apt install docker-compose Докер - также является средой виртуализации, отличие его от например virtualbox лишь в том, что бокс поднимает полноценную операционную систему, докер же поднимает все програмное обеспечение (обычно это серверные программы) на сетевом интерфейсе

habr.com/ru/articles/894508/

ХабрАтака на некоторые уязвимые веб-приложения Vulnhub. Взлом и эксплуатация уязвимостейВсех приветствую читатели (и не только читали) хабра! В моей сегодняшней статье я затрону анализ защищенности веб-приложений и некоторые способы атаки на них Но для начала уточню пару моментов Я...
#информационная_безопасность#пентестинг#nmap
Public
circl

A security issue was discovered in Kubernetes where under certain conditions, an unauthenticated attacker with access to the pod network can achieve arbitrary code execution in the context of the ingress-nginx controller.

CVE-2025-1974 but also CVE-2025-1097 CVE-2025-1098 CVE-2025-24513 CVE-2025-24514

🔗 For more details about Ingress NGINX Controller for Kubernetes release vulnerability.circl.lu/bundle/

vulnerability.circl.luBundle - Ingress NGINX Controller for Kubernetes - Vulnerabilities fixed in controller-v1.12.1Vulnerability-Lookup - Fast vulnerability lookup correlation from different sources.
#kubernetes#vulnerability#cybersecurity
ExploreLive feeds
About