• Многие фирмы тратят огромные деньги на безопасность. Покупаются различные системы, десятки специалистов следят за внешними и внутренними угрозами информационной безопасности. Но при этом физической безопасности отводится лишь малая часть внимания.
• В этой статье описан поверхностный этап проведения физического проникновения на территорию объекта с последующим тестированием внутренней инфраструктуры. Будет интересно. Приятного чтения:
#Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
DevOps и SRE: конкуренты или союзники в борьбе за надёжность?
Где заканчивается зона ответственности DevOps-инженера и начинается область контроля SRE?
Приглашаем на открытый урок, где разберём разницу между подходами DevOps и SRE, особенно — в контексте Service Level Indicators (SLI), Service Level Objectives (SLO) и Service Level Agreements (SLA).
✅ Вы узнаете, как эти практики помогают создавать надёжную платформу и кто за что отвечает в команде.
📌 Обсудим как DevOps и SRE трактуют «качество платформы». И кто за какими метриками следит: производительность, аптайм, алерты, ошибки
⬆️ Протестируй курс «SRE практики и инструменты» на открытом уроке:
https://tglink.io/c2f474255678?erid=2W5zFGc1dLL
#реклама
О рекламодателе
Где заканчивается зона ответственности DevOps-инженера и начинается область контроля SRE?
Приглашаем на открытый урок, где разберём разницу между подходами DevOps и SRE, особенно — в контексте Service Level Indicators (SLI), Service Level Objectives (SLO) и Service Level Agreements (SLA).
✅ Вы узнаете, как эти практики помогают создавать надёжную платформу и кто за что отвечает в команде.
📌 Обсудим как DevOps и SRE трактуют «качество платформы». И кто за какими метриками следит: производительность, аптайм, алерты, ошибки
⬆️ Протестируй курс «SRE практики и инструменты» на открытом уроке:
https://tglink.io/c2f474255678?erid=2W5zFGc1dLL
#реклама
О рекламодателе
Forwarded from SecAtor
Уязвимость плагина Forminator WordPress позволяет злоумышленникам удалять произвольные файлы и получить контроль потенциально над более чем 400 000 уязвимых веб-сайтами.
Forminator - популярный плагин для создания форм, имеющий более 600 000 активных установок. Он поддерживает различные типы форм, включая контактные и платежные, опросы и многое другое.
Упоминаемая CVE-2025-6463 (оценка CVSS 8,8) представляет собой ошибку произвольного удаления файлов, существующую из-за того, что пути к файлам недостаточно проверяются в функции, используемой для удаления загруженных файлов отправки формы.
Исследователь, обнаруживший ошибку и сообщивший о ней через Wordfence Bug Bounty Program, получил вознаграждение в размере 8100 долларов США.
По данным Defiant, функция, которую Forminator использует для сохранения полей ввода форм в базу данных, не выполняет надлежащую очистку значений в поле, что позволяет злоумышленникам отправлять массивы файлов в поля формы.
Кроме того, функция, отвечающая за удаление файлов, отправленных через форму, при удалении формы не выполняет необходимые проверки типа поля, расширения файла и ограничений каталога загрузки.
Уязвимость может быть использована неавторизованными злоумышленниками для указания произвольных файлов на сервере, которые будут удалены при удалении формы, вручную или автоматически, в зависимости от настроек установки.
Как отмечают в Defiant, злоумышленники могут указать файл wp-config.php для удаления, в результате чего сайт перейдет в состояние настройки, что позволит злоумышленнику получить контроль над ним.
Несмотря на то, что для эксплуатации уязвимости требуется этап пассивного или активного взаимодействия, исследователи полагают, что удаление отправленной формы является весьма вероятной ситуацией, что делает эту уязвимость весьма привлекательной для злоумышленников.
CVE-2025-6463 была устранена в версии Forminator 1.44.3 с добавлением проверки пути к файлу в функцию удаления, которая теперь удаляет только файлы, загруженные через поля формы, имеющие метку «загрузка» или «подпись» и помещенные в каталог загрузок WordPress.
Исправленная версия плагина была выпущена 30 июня.
При этом телеметрия WordPress показывают, что за последние два дня ее загрузили менее 200 000 раз, что говорит о том, что уязвимыми остаются более 400 000 сайтов.
Учитывая риск, который представляет CVE-2025-6463, пользователям рекомендуется как можно скорее обновить свои установки Forminator до последней версии.
Forminator - популярный плагин для создания форм, имеющий более 600 000 активных установок. Он поддерживает различные типы форм, включая контактные и платежные, опросы и многое другое.
Упоминаемая CVE-2025-6463 (оценка CVSS 8,8) представляет собой ошибку произвольного удаления файлов, существующую из-за того, что пути к файлам недостаточно проверяются в функции, используемой для удаления загруженных файлов отправки формы.
Исследователь, обнаруживший ошибку и сообщивший о ней через Wordfence Bug Bounty Program, получил вознаграждение в размере 8100 долларов США.
По данным Defiant, функция, которую Forminator использует для сохранения полей ввода форм в базу данных, не выполняет надлежащую очистку значений в поле, что позволяет злоумышленникам отправлять массивы файлов в поля формы.
Кроме того, функция, отвечающая за удаление файлов, отправленных через форму, при удалении формы не выполняет необходимые проверки типа поля, расширения файла и ограничений каталога загрузки.
Уязвимость может быть использована неавторизованными злоумышленниками для указания произвольных файлов на сервере, которые будут удалены при удалении формы, вручную или автоматически, в зависимости от настроек установки.
Как отмечают в Defiant, злоумышленники могут указать файл wp-config.php для удаления, в результате чего сайт перейдет в состояние настройки, что позволит злоумышленнику получить контроль над ним.
Несмотря на то, что для эксплуатации уязвимости требуется этап пассивного или активного взаимодействия, исследователи полагают, что удаление отправленной формы является весьма вероятной ситуацией, что делает эту уязвимость весьма привлекательной для злоумышленников.
CVE-2025-6463 была устранена в версии Forminator 1.44.3 с добавлением проверки пути к файлу в функцию удаления, которая теперь удаляет только файлы, загруженные через поля формы, имеющие метку «загрузка» или «подпись» и помещенные в каталог загрузок WordPress.
Исправленная версия плагина была выпущена 30 июня.
При этом телеметрия WordPress показывают, что за последние два дня ее загрузили менее 200 000 раз, что говорит о том, что уязвимыми остаются более 400 000 сайтов.
Учитывая риск, который представляет CVE-2025-6463, пользователям рекомендуется как можно скорее обновить свои установки Forminator до последней версии.
Wordfence
600,000 WordPress Sites Affected by Arbitrary File Deletion Vulnerability in Forminator WordPress Plugin
On June 20th, 2025, we received a submission for an Arbitrary File Deletion vulnerability in Forminator, a WordPress plugin with more than 600,000 active installations. This vulnerability makes it possible for unauthenticated threat actors to specify arbitrary…
🔐 SOC. Основы 🚨
🔥8 июля в 20:00 мск. приглашаем на открытый вебинар в OTUS.
Что мы обсудим:
- Назначение и функции центров мониторинга.
- Типы и роли SOC.
- Зоны ответственности аналитиков SOC.
- Основной инструментарий для работы SOC.
🎓После вебинара вы:
- Узнаете, какие задачи решают центры мониторинга и для чего они предназначены.
- Поймете, какие модели функционирования SOC существуют.
- Научитесь, какие функции выполняют аналитики.
- Познакомитесь с основными инструментами для мониторинга и реагирования на инциденты.
Присоединяйтесь и начните понимать, как работает защита на самом глубоком уровне!
👉 Регистрация
Бесплатное занятие приурочено к старту курса "Аналитик SOC". Курс позволит прокачать многие профессиональные навыки, такие как, работу с современными инструментами (SIEM, Wireshark), навыки выявления аномалий, анализ трафика, а также умение реагировать на инциденты и проводить threat hunting.
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
🔥8 июля в 20:00 мск. приглашаем на открытый вебинар в OTUS.
Что мы обсудим:
- Назначение и функции центров мониторинга.
- Типы и роли SOC.
- Зоны ответственности аналитиков SOC.
- Основной инструментарий для работы SOC.
🎓После вебинара вы:
- Узнаете, какие задачи решают центры мониторинга и для чего они предназначены.
- Поймете, какие модели функционирования SOC существуют.
- Научитесь, какие функции выполняют аналитики.
- Познакомитесь с основными инструментами для мониторинга и реагирования на инциденты.
Присоединяйтесь и начните понимать, как работает защита на самом глубоком уровне!
👉 Регистрация
Бесплатное занятие приурочено к старту курса "Аналитик SOC". Курс позволит прокачать многие профессиональные навыки, такие как, работу с современными инструментами (SIEM, Wireshark), навыки выявления аномалий, анализ трафика, а также умение реагировать на инциденты и проводить threat hunting.
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576