Overview
- webbertakken
- docusaurus-plugin-content-gists
Description
Statistics
- 3 Posts
- 6 Interactions
Fediverse

Il plugin #Docusaurus gist aggiungeva una pagina all'istanza di Docusaurus, mostrando tutti i gist pubblici degli utenti GitHub che lo usano
Le versioni di docusaurus-plugin-content-gists precedenti alla 4.0.0 sono vulnerabili all'esposizione dei token di accesso personale GitHub negli artefatti di build di produzione quando vengono passati attraverso le opzioni di configurazione del plugin. Il token, destinato esclusivamente all'accesso API in fase di build, viene inavvertitamente incluso nei bundle JavaScript lato client, rendendolo accessibile a chiunque possa visualizzare il codice sorgente del sito web. Questa vulnerabilità è stata risolta nella versione 4.0.0.

Il plugin per WordPress Docusaurus ha una RCE da 10 su 10 di score ed espone le chiavi segrete
Il plugin @docusaurus/plugin-content-docs, vanta numeri impressionanti: oltre 1,36 milioni di download solo nell’ultimo mese, più di 56.000 stelle su GitHub e circa 8.560 fork, a dimostrazione di una community globale estremamente attiva.
Lanciato quasi quattro anni fa, oggi conta 85 pacchetti che lo utilizzano come dipendenza, più di 14.800 repository che lo includono e addirittura 2,7 milioni di download Docker, segno di una crescente adozione anche in ambienti containerizzati.
Nel mondo dei plugin open source, anche un singolo errore può trasformarsi in una falla catastrofica. È il caso di docusaurus-plugin-content-gists, un plugin che permette di mostrare in una pagina del proprio sito tutti i gist pubblici di un utente GitHub.
Secondo la CVE-2025-53624 (score 10/10, severity: CRITICAL), nelle versioni precedenti alla 4.0.0 è stata scoperta una vulnerabilità gravissima: il GitHub Personal Access Token, pensato solo per essere usato in fase di build, veniva incluso per errore nei bundle JavaScript distribuiti sul sito.
Risultato? Chiunque poteva leggere il token direttamente dal codice sorgente del sito pubblicato online, con rischi enormi per la sicurezza. Il problema, corretto nella release 4.0.0, riguarda un errore banale ma letale nella gestione della configurazione: un campo contenente la chiave privata non veniva filtrato correttamente e finiva nel codice client.
Con una complessità di attacco bassa, bastava semplicemente visitare il sito e aprire la console del browser per rubare la chiave. Questo caso dimostra, ancora una volta, quanto sia fondamentale trattare con cura ogni informazione sensibile nelle configurazioni, soprattutto in plugin open source e ambienti come WordPress o Docusaurus, che spesso vengono dati per scontati ma gestiscono dati critici.
La popolarità del plugin rende ancora più preoccupante la recente scoperta di una vulnerabilità critica (score 10/10) nel plugin docusaurus-plugin-content-gists per WordPress, che poteva esporre GitHub Personal Access Tokens nei bundle JavaScript destinati al client, rendendoli visibili a chiunque visualizzasse il codice sorgente del sito.
L'articolo Il plugin per WordPress Docusaurus ha una RCE da 10 su 10 di score ed espone le chiavi segrete proviene da il blog della sicurezza informatica.

🔴 CVE-2025-53624 (CRITICAL): docusaurus-plugin-content-gists (<4.0.0) leaks GitHub Personal Access Tokens in client JS bundles. Upgrade to 4.0.0+, audit for exposed tokens, and revoke any compromised PATs ASAP! https://radar.offseq.com/threat/cve-2025-53624-cwe-200-exposure-of-sensitive-infor-1622e9f0 #OffSeq #CVE2025 #GitHub #AppSec
Overview
- ServiceNow
- Now Platform
Description
Statistics
- 2 Posts
Fediverse

The vulnerability, tracked as CVE-2025-3648 (CVSS score: 8.2), has been described as a case of data inference in Now Platform through conditional access control list (ACL) rules. It has been codenamed Count(er) Strike. https://thehackernews.com/2025/07/servicenow-flaw-cve-2025-3648-could.html
Overview
- Red Hat
- Red Hat Build of Keycloak
- org.keycloak/keycloak-services
Description
Statistics
- 1 Post
- 8 Interactions
Fediverse

That's an interesting workflow.
https://access.redhat.com/security/cve/CVE-2025-7365
A flaw was found in Keycloak. When an authenticated attacker attempts to merge accounts with another existing account during an identity provider (IdP) login, the attacker will subsequently be prompted to "review profile" information. This vulnerability allows the attacker to modify their email address to match that of a victim's account, triggering a verification email sent to the victim's email address. The attacker's email address is not present in the verification email content, making it a potential phishing opportunity. If the victim clicks the verification link, the attacker can gain access to the victim's account.
Overview
- Mitsubishi Electric Corporation
- PV-DR004J
Description
Statistics
- 2 Posts
- 1 Interaction
Fediverse

🔎 CVE-2025-5023 (HIGH): Hard-coded credentials in Mitsubishi Electric PV-DR004J/PV-DR004JA (all versions) allow attackers in Wi-Fi range to access or tamper with system data, or cause DoS. Support ended 2020; isolate or replace devices ASAP. More: https://radar.offseq.com/threat/cve-2025-5023-cwe-798-use-of-hard-coded-credential-6e6d0fc4 #OffSeq #Vuln #ICS #IoT

Mitsubishi Electric getting in on the hardcoded creds game. Also in the advisory is a weak password requirements vuln but that's to be expected in OT stuff.
https://www.mitsubishielectric.com/psirt/vulnerability/pdf/2025-007_en.pdf
Overview
Description
Statistics
- 2 Posts
Fediverse

Critical Flaw in mcp-remote Tool Exposes AI Systems to Command Injection Attacks
🚨 Introduction: A Silent Threat Lurking in AI Infrastructure As AI systems grow more interconnected, security vulnerabilities in the foundational tools they rely on can lead to catastrophic consequences. A newly discovered high-severity vulnerability, tracked as CVE-2025-6514, affects the popular mcp-remote proxy tool—a core component used by many LLM (Large Language Model) hosts such as…

Two critical vulnerabilities were discovered in tools related to the Model Context Protocol (MCP), a standard for connecting AI tools to external systems. The flaws, CVE-2025-6514 and CVE-2025-49596, existed in mcp-remote and MCP Inspector, respectively, and could be exploited for remote code execution. Both vulnerabilities have been patched in recent MCP releases, but researchers warn of potential risks associated with insecure MCP server connections and lack of authentication.
https://www.bankinfosecurity.com/serious-flaws-patched-in-model-context-protocol-tools-a-28924
Overview
Description
Statistics
- 1 Post
- 6 Interactions
Fediverse

Ecovacs Whoopsie.
During the pairing process, the Ecovacs Deebot T10 creates an open Wi-Fi network, and the mobile app instructs the user to connect to this open, unencrypted Wi-Fi network. Once connected, the mobile app sends the user’s home Wi-Fi network password to the Ecovacs Deebot T10 through cleartext HTTP protocol over the cleartext open Wi-Fi network using the endpoint /rcp.do via POST request.
Overview
- Sudo project
- Sudo
Description
Statistics
- 1 Post
- 4 Interactions
Fediverse
Overview
- OpenText™
- Directory Services
Description
Statistics
- 1 Post
- 1 Interaction
Fediverse

Code execution in OpenText Directory Services.
sev:MED 6.3 - CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L/S:N/AU:Y/R:A/V:D/RE:L/U:Clear
Improper Control of Generation of Code ('Code Injection') vulnerability in OpenText™ Directory Services allows Remote Code Inclusion. The vulnerability could allow access to the system via script injection.This issue affects Directory Services: 23.4.
Overview
- Palo Alto Networks
- GlobalProtect App
Description
Statistics
- 1 Post
- 2 Interactions
Fediverse

@cR0w As I wrote elsewhere, the CVSS for CVE-2025-0141 makes no sense to me. Why is initial system Confidentiality impact Low?
Overview
- notepad-plus-plus
- notepad-plus-plus
Description
Statistics
- 1 Post
- 1 Interaction