☕ & #threatintel: CISA has moved the due date for mitigating CVE-2025-55182 (Meta React Server Components Remote Code Execution Vulnerability) up two weeks. It was initially set for December 26, but it is now due on December 12. IIRC, this is the first time the due date has been modified.

In all honesty, if you haven't already patched this vulnerability, it's likely too late. As a reminder, patching does not boot attackers, so you should check for indicators of compromise.

⚠️ Podverse Alpha Update ⚠️

I'm shutting off the Alpha website for the night, as there is a critical security vulnerability with the version of Next.js it is using (CVE-2025-55182).

Should have it redeployed and patched tomorrow.

Good video explaining the CVE: https://www.youtube.com/watch?v=s81dVUM-cQM

Thanks to @suorcd or notifying me.

#podverse #pv2

❗ Aktualizujcie swoje UMAMI, pisaliśmy o nich niedawno. Podatność React:

"Podatność CVE-2025-55182, dotycząca RSC, występuje w wersjach 19.0, 19.1.0, 19.1.1 oraz 19.2.0 następujących modułów:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack"

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Exploitation of recent React RCE vul (CVE-2025-55182 - #React2Shell) leading to #Mirai infection ⤵️

Botnet Mirai C2 domains 📡:
effeminate.fuckphillipthegerman .ru
trap.fuckphillipthegerman .ru
tranny.fuckphillipthegerman .ru

Botnet Mirai C2 servers , all hosted at FORTIS 🇷🇺:
138.124.72.251:52896
138.124.69.154:60328
5.144.176.19:60328

Mirai #malware sample 🤖:
https://bazaar.abuse.ch/sample/ee2fe11a7f43aba14f37897b7c69e2c4b26eef20a8854a838353b59866ee4861/

Payload delivery host 🌐:
https://urlhaus.abuse.ch/host/172.237.55.180/

Releated IOCs 🦊:
https://threatfox.abuse.ch/browse/tag/CVE-2025-55182/

Hvis du troede, at eksploiteringen af #React2Shell hovedsageligt var begrænset til virksomheds-apps bygget med React-frameworket, kan Bitdefender fortælle, at exploiteringen er blevet adopteret af IoT-botnet-operatører, der bruger den til at gå efter smarte enheder, der muligvis bruger React til deres web-administrations-paneler
https://www.bitdefender.com/en-us/blog/labs/cve-2025-55182-exploitation-hits-the-smart-home

Interesting #react2shell payload detected by my Lophiid honeypots. It does a comprehensive job to obtain secrets (including using trufflehog and gitleaks).

Raw request here:
https://github.com/mrheinen/lophiid/blob/main/hall_of_fame/react2shell_secrets.txt

CVE-2025-55182 #honeypot #dfir #infosec #cybersecurity #exploits

🚨 With folks (rightfully) abandoning GitHub for other pastures, some are turning to self-hosting. One option is Gogs, and the epic team at Wiz says you gotta patch since there's an 0-day in the wild (pls RT for reach and someone pls post on the stupid fosstodon server b/c the folks there are likely to be doing this)

https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

EITW ../ 0day in Gogs.

http://wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

🚨 CRITICAL: Fortinet, Ivanti, SAP patch auth bypass & code exec flaws (e.g. CVE-2025-59718, CVE-2025-10573, CVE-2025-42880). Affects FortiOS, FortiWeb, Ivanti Endpoint Manager, SAP Solution Manager. Patch ASAP & disable risky features! https://radar.offseq.com/threat/fortinet-ivanti-and-sap-issue-urgent-patches-for-a-9a0f9a74 #OffSeq #Vulnerability #SysAdmin

Ivanti risolve 4 vulnerabilità critiche in Endpoint Manager (EPM)

Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli aggressori di eseguire codice a loro scelta o di prendere il controllo delle sessioni amministrative.

Tra le vulnerabilità corrette, vi sono quattro falle specifiche, compresa una particolarmente critica, contraddistinta da un punteggio di elevata gravità, che sono state sanate grazie a questo aggiornamento.

Per le organizzazioni che non sono in grado di applicare immediatamente la patch, e suggerisce di segregare al meglio le proprie reti riportando che : “Se i clienti non hanno esposto la propria soluzione su Internet, il rischio di questa vulnerabilità è significativamente ridotto”.

Una falla di sicurezza di Stored Cross-Site Scripting (XSS) monitorata con il CVE-2025-10573, ha ottenuto un punteggio CVSS di 9,6. Le versioni del software EPM antecedenti alla 2024 SU4 SR1 sono interessate da questa vulnerabilità.

L’avviso segnala che la vulnerabilità permette ad un aggressore remoto non autenticato di eseguire codice JavaScript a sua scelta all’interno di una sessione di amministrazione.

La falla richiede l’interazione dell’utente, in quanto è probabile che un amministratore venga indotto a visualizzare una pagina dannosa, tuttavia il rischio di un dirottamento dell’intera sessione impone una priorità assoluta per i responsabili della difesa.

Oltre al bug critico XSS, Ivanti ha corretto altre tre vulnerabilità di elevata gravità che espongono il sistema all’esecuzione di codice remoto (RCE) e alla manipolazione non autorizzata dei file:

• Scrittura di file arbitraria (CVE-2025-13659): classificata CVSS 8.8, questa falla riguarda il “controllo improprio delle risorse di codice gestite dinamicamente”, consentendo a un aggressore remoto e non autenticato di scrivere file arbitrari sul server.
• Errore di verifica della firma (CVE-2025-13662): con un punteggio CVSS di 7,8, questa vulnerabilità deriva da una “verifica impropria delle firme crittografiche nel componente di gestione delle patch”. Consente ad aggressori remoti non autenticati di eseguire codice arbitrario, sebbene richieda l’interazione dell’utente.
• Path Traversal (CVE-2025-13661): questo problema (CVSS 7.1) consente a un aggressore autenticato di “scrivere file arbitrari al di fuori della directory prevista”, compromettendo potenzialmente l’integrità del sistema.

Sebbene Ivanti affermi di “non essere a conoscenza di alcun cliente sfruttato da queste vulnerabilità al momento della divulgazione”, consiglia vivamente ai clienti di effettuare immediatamente l’aggiornamento.

L'articolo Ivanti risolve 4 vulnerabilità critiche in Endpoint Manager (EPM) proviene da Red Hot Cyber.

🚨 Microsoft patches 56 Windows vulnerabilities, incl. 2 zero-days. Actively exploited: privilege escalation in Cloud Files Mini Filter Driver (CVE-2025-62221). Patch ASAP to defend cloud-linked endpoints! https://radar.offseq.com/threat/microsoft-issues-security-fixes-for-56-flaws-inclu-72859fb1 #OffSeq #Microsoft #Vuln #Windows

Microsoft rilascia aggiornamenti urgenti per un bug zero-day di PLE sfruttato in Windows

Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urgenti al fine di risolvere tale falla.

La classificazione della vulnerabilità è high, secondo il punteggio base CVSS v3.1, pari a 7,8; inoltre, secondo l’avviso rilasciato da Microsoft, risulta che gli aggressori stanno sfruttando exploit funzionanti sulle macchine al fine di ottenere i privilegi di SYSTEM.

Un’ampia gamma di sistemi operativi Windows, dalle più recenti versioni di Windows 11, come la 25H2, e Windows Server 2025, fino a Windows 10 versione 1809, è interessata da questa vulnerabilità di escalation dei privilegi (PLE).

La vulnerabilità è descritta come una debolezza Use-After-Free all’interno del Cloud Files Mini Filter Driver, un componente del kernel responsabile della gestione dei “segnaposto” e della sincronizzazione per i servizi di archiviazione cloud come OneDrive.

A differenza delle falle di esecuzione di codice in modalità remota (RCE) questa vulnerabilità viene sfruttata come fase secondaria nelle catene di attacco, in cui gli avversari hanno già messo piede nel sistema e cercano di aumentare i propri privilegi per persistere o disabilitare i controlli di sicurezza.

La falla consente infatti ad un aggressore con privilegi bassi e autenticato localmente di innescare uno stato di danneggiamento della memoria, consentendogli successivamente di eseguire codice arbitrario con i privilegi di sistema più elevati.

Microsoft Threat Intelligence Center (MSTIC) e Microsoft Security Response Center (MSRC) hanno individuato il bug , sottolineando che, sebbene la complessità dell’attacco sia bassa e non richieda alcuna interazione da parte dell’utente, l’aggressore deve aver stabilito l’accesso locale al computer di destinazione.

Gli amministratori dovrebbero dare priorità all’applicazione immediata di patch a questi sistemi, dato lo stato di sfruttamento attivo confermato.

L'articolo Microsoft rilascia aggiornamenti urgenti per un bug zero-day di PLE sfruttato in Windows proviene da Red Hot Cyber.

Vulnerabilità critica in FortiOS e altri prodotti Fortinet: aggiornamenti urgenti

Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso di sicurezza urgente. Tale avviso è stato emesso in relazione a falle di sicurezza che interessano tali prodotti.

Un aggressore potrebbe ottenere l’accesso amministrativo non autorizzato al dispositivo creando un messaggio SAML specifico, se la vulnerabilità viene sfruttata. Tale vulnerabilità è causata dall’incapacità del dispositivo di verificare in modo corretto le firme dei messaggi SAML.
Pannello CVE Details di Red Hot Cyber
Fortinet raccomanda ai propri clienti di procedere con l’aggiornamento alle versioni più recenti che seguono. Per quelle organizzazioni che non sono in grado di applicare le patch immediatamente, è stata messa a disposizione una soluzione provvisoria. Disabilitanto la funzionalità di accesso a FortiCloud, gli amministratori sono in grado di ridurre il rischio.

La falla di sicurezza, identificata come Verifica impropria della firma crittografica (CWE-347), potrebbe consentire a un aggressore non autenticato di aggirare l’autenticazione di accesso Single Sign-On (SSO) di FortiCloud.

Quando un amministratore registra un dispositivo su FortiCare tramite l’interfaccia utente grafica (GUI), l’opzione “Consenti accesso amministrativo tramite FortiCloud SSO” è abilitata per impostazione predefinita. A meno che l’amministratore non disattivi esplicitamente questa opzione durante la registrazione, il dispositivo diventa immediatamente vulnerabile a questo bypass.

La scoperta del problema è stata fatta internamente da Theo Leleu e Yonghui Han del team di sicurezza dei prodotti Fortinet, e l’informazione è stata resa pubblica il 9 dicembre 2025. La funzionalità SSO di FortiCloud, costituisce un rischio considerevole soprattutto negli ambienti di rete distribuiti.

L'articolo Vulnerabilità critica in FortiOS e altri prodotti Fortinet: aggiornamenti urgenti proviene da Red Hot Cyber.

As Microsoft explains, this mitigates a high-severity PowerShell remote code execution vulnerability (CVE-2025-54100), which primarily affects enterprise or IT-managed environments that use PowerShell scripts for automation, since PowerShell scripts are not as commonly used
2/3

Le patch pour la vulnérabilité CVE-2025-54100 peut avoir un impact sur vos scripts PowerShell https://www.it-connect.fr/windows-powershell-cve-2025-54100-impacts/ #Cybersécurité #Logiciel-OS #Powershell #Microsoft

Related to this one.

Denial of Service vulnerability in Apache Struts, file leak in multipart request processing causes disk exhaustion.\n\nThis issue affects Apache Struts: from 2.0.0 through 6.7.4, from 7.0.0 through 7.0.3.\n\nUsers are recommended to upgrade to version 6.8.0 or 7.1.1, which fixes the issue.\n\nIt's related to https://cve.org/CVERecord?id=CVE-2025-64775 - this CVE addresses missing affected version 6.7.4

https://cwiki.apache.org/confluence/display/WW/S2-068

🚨 CRITICAL: Fortinet, Ivanti, SAP patch auth bypass & code exec flaws (e.g. CVE-2025-59718, CVE-2025-10573, CVE-2025-42880). Affects FortiOS, FortiWeb, Ivanti Endpoint Manager, SAP Solution Manager. Patch ASAP & disable risky features! https://radar.offseq.com/threat/fortinet-ivanti-and-sap-issue-urgent-patches-for-a-9a0f9a74 #OffSeq #Vulnerability #SysAdmin

Spectre on XiangShan for you low-level nerds. The post is six months old but the CVE was just published.

CVE-2025-63094

https://github.com/necst/aca25-xiangshan-spectre/blob/main/README.md