Il plugin #Docusaurus gist aggiungeva una pagina all'istanza di Docusaurus, mostrando tutti i gist pubblici degli utenti GitHub che lo usano

Le versioni di docusaurus-plugin-content-gists precedenti alla 4.0.0 sono vulnerabili all'esposizione dei token di accesso personale GitHub negli artefatti di build di produzione quando vengono passati attraverso le opzioni di configurazione del plugin. Il token, destinato esclusivamente all'accesso API in fase di build, viene inavvertitamente incluso nei bundle JavaScript lato client, rendendolo accessibile a chiunque possa visualizzare il codice sorgente del sito web. Questa vulnerabilità è stata risolta nella versione 4.0.0.

https://nvd.nist.gov/vuln/detail/CVE-2025-53624#:~:text=The%20Docusaurus%20gists%20plugin%20adds,passed%20through%20plugin%20configuration%20options

@informatica

Il plugin per WordPress Docusaurus ha una RCE da 10 su 10 di score ed espone le chiavi segrete

Il plugin @docusaurus/plugin-content-docs, vanta numeri impressionanti: oltre 1,36 milioni di download solo nell’ultimo mese, più di 56.000 stelle su GitHub e circa 8.560 fork, a dimostrazione di una community globale estremamente attiva.

Lanciato quasi quattro anni fa, oggi conta 85 pacchetti che lo utilizzano come dipendenza, più di 14.800 repository che lo includono e addirittura 2,7 milioni di download Docker, segno di una crescente adozione anche in ambienti containerizzati.

Nel mondo dei plugin open source, anche un singolo errore può trasformarsi in una falla catastrofica. È il caso di docusaurus-plugin-content-gists, un plugin che permette di mostrare in una pagina del proprio sito tutti i gist pubblici di un utente GitHub.

Secondo la CVE-2025-53624 (score 10/10, severity: CRITICAL), nelle versioni precedenti alla 4.0.0 è stata scoperta una vulnerabilità gravissima: il GitHub Personal Access Token, pensato solo per essere usato in fase di build, veniva incluso per errore nei bundle JavaScript distribuiti sul sito.

Risultato? Chiunque poteva leggere il token direttamente dal codice sorgente del sito pubblicato online, con rischi enormi per la sicurezza. Il problema, corretto nella release 4.0.0, riguarda un errore banale ma letale nella gestione della configurazione: un campo contenente la chiave privata non veniva filtrato correttamente e finiva nel codice client.

Con una complessità di attacco bassa, bastava semplicemente visitare il sito e aprire la console del browser per rubare la chiave. Questo caso dimostra, ancora una volta, quanto sia fondamentale trattare con cura ogni informazione sensibile nelle configurazioni, soprattutto in plugin open source e ambienti come WordPress o Docusaurus, che spesso vengono dati per scontati ma gestiscono dati critici.

La popolarità del plugin rende ancora più preoccupante la recente scoperta di una vulnerabilità critica (score 10/10) nel plugin docusaurus-plugin-content-gists per WordPress, che poteva esporre GitHub Personal Access Tokens nei bundle JavaScript destinati al client, rendendoli visibili a chiunque visualizzasse il codice sorgente del sito.

L'articolo Il plugin per WordPress Docusaurus ha una RCE da 10 su 10 di score ed espone le chiavi segrete proviene da il blog della sicurezza informatica.

🔴 CVE-2025-53624 (CRITICAL): docusaurus-plugin-content-gists (<4.0.0) leaks GitHub Personal Access Tokens in client JS bundles. Upgrade to 4.0.0+, audit for exposed tokens, and revoke any compromised PATs ASAP! https://radar.offseq.com/threat/cve-2025-53624-cwe-200-exposure-of-sensitive-infor-1622e9f0 #OffSeq #CVE2025 #GitHub #AppSec

I believe Citrix may have made a mistake in the patching instructions for CitrixBleed2 aka CVE-2025-5777.

They say to do the instructions on the left, but they appear to have missed other session types (e.g. AAA) which have session cookies that can be stolen and replayed with CitrixBleed2. On the right is the CitrixBleed1 instructions.

The net impact is, if you patched but a threat actor already took system memory, they can still reuse prior sessions.

Tell anybody you know at Citrix.

The vulnerability, tracked as CVE-2025-3648 (CVSS score: 8.2), has been described as a case of data inference in Now Platform through conditional access control list (ACL) rules. It has been codenamed Count(er) Strike. https://thehackernews.com/2025/07/servicenow-flaw-cve-2025-3648-could.html

https://thehackernews.com/2025/07/servicenow-flaw-cve-2025-3648-could.html

#cybersecurity

That's an interesting workflow.

https://access.redhat.com/security/cve/CVE-2025-7365

A flaw was found in Keycloak. When an authenticated attacker attempts to merge accounts with another existing account during an identity provider (IdP) login, the attacker will subsequently be prompted to "review profile" information. This vulnerability allows the attacker to modify their email address to match that of a victim's account, triggering a verification email sent to the victim's email address. The attacker's email address is not present in the verification email content, making it a potential phishing opportunity. If the victim clicks the verification link, the attacker can gain access to the victim's account.

🔎 CVE-2025-5023 (HIGH): Hard-coded credentials in Mitsubishi Electric PV-DR004J/PV-DR004JA (all versions) allow attackers in Wi-Fi range to access or tamper with system data, or cause DoS. Support ended 2020; isolate or replace devices ASAP. More: https://radar.offseq.com/threat/cve-2025-5023-cwe-798-use-of-hard-coded-credential-6e6d0fc4 #OffSeq #Vuln #ICS #IoT

Mitsubishi Electric getting in on the hardcoded creds game. Also in the advisory is a weak password requirements vuln but that's to be expected in OT stuff.

https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2025-007_en.pdf

https://nvd.nist.gov/vuln/detail/CVE-2025-5022

https://nvd.nist.gov/vuln/detail/CVE-2025-5023

Critical Flaw in mcp-remote Tool Exposes AI Systems to Command Injection Attacks

🚨 Introduction: A Silent Threat Lurking in AI Infrastructure As AI systems grow more interconnected, security vulnerabilities in the foundational tools they rely on can lead to catastrophic consequences. A newly discovered high-severity vulnerability, tracked as CVE-2025-6514, affects the popular mcp-remote proxy tool—a core component used by many LLM (Large Language Model) hosts such as…

https://undercodenews.com/critical-flaw-in-mcp-remote-tool-exposes-ai-systems-to-command-injection-attacks/

Two critical vulnerabilities were discovered in tools related to the Model Context Protocol (MCP), a standard for connecting AI tools to external systems. The flaws, CVE-2025-6514 and CVE-2025-49596, existed in mcp-remote and MCP Inspector, respectively, and could be exploited for remote code execution. Both vulnerabilities have been patched in recent MCP releases, but researchers warn of potential risks associated with insecure MCP server connections and lack of authentication.
https://www.bankinfosecurity.com/serious-flaws-patched-in-model-context-protocol-tools-a-28924

Ecovacs Whoopsie.

https://httpscolonforwardslashforwardslashwwwdotzoltanbalazsdotcom.com/2025/07/09/CVE-2025-44251.html

During the pairing process, the Ecovacs Deebot T10 creates an open Wi-Fi network, and the mobile app instructs the user to connect to this open, unencrypted Wi-Fi network. Once connected, the mobile app sends the user’s home Wi-Fi network password to the Ecovacs Deebot T10 through cleartext HTTP protocol over the cleartext open Wi-Fi network using the endpoint /rcp.do via POST request.

@BigOld @OldBig @board
我找到了漏洞的官方文档可以看一下
https://www.stratascale.com/vulnerability-alert-CVE-2025-32463-sudo-chroot

Code execution in OpenText Directory Services.

sev:MED 6.3 - CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L/S:N/AU:Y/R:A/V:D/RE:L/U:Clear

Improper Control of Generation of Code ('Code Injection') vulnerability in OpenText™ Directory Services allows Remote Code Inclusion. The vulnerability could allow access to the system via script injection.This issue affects Directory Services: 23.4.

https://nvd.nist.gov/vuln/detail/CVE-2024-7650

@cR0w As I wrote elsewhere, the CVSS for CVE-2025-0141 makes no sense to me. Why is initial system Confidentiality impact Low?