☕ & #threatintel: CISA has moved the due date for mitigating CVE-2025-55182 (Meta React Server Components Remote Code Execution Vulnerability) up two weeks. It was initially set for December 26, but it is now due on December 12. IIRC, this is the first time the due date has been modified.

In all honesty, if you haven't already patched this vulnerability, it's likely too late. As a reminder, patching does not boot attackers, so you should check for indicators of compromise.

⚠️ Podverse Alpha Update ⚠️

I'm shutting off the Alpha website for the night, as there is a critical security vulnerability with the version of Next.js it is using (CVE-2025-55182).

Should have it redeployed and patched tomorrow.

Good video explaining the CVE: https://www.youtube.com/watch?v=s81dVUM-cQM

Thanks to @suorcd or notifying me.

#podverse #pv2

CVE-2025-55182

GG, no re.
And people wonder why we serve only static web pages at work. (it's a lot more effort, but at least nobody is gonna take over the web server itself)

Exploitation of recent React RCE vul (CVE-2025-55182 - #React2Shell) leading to #Mirai infection ⤵️

Botnet Mirai C2 domains 📡:
effeminate.fuckphillipthegerman .ru
trap.fuckphillipthegerman .ru
tranny.fuckphillipthegerman .ru

Botnet Mirai C2 servers , all hosted at FORTIS 🇷🇺:
138.124.72.251:52896
138.124.69.154:60328
5.144.176.19:60328

Mirai #malware sample 🤖:
https://bazaar.abuse.ch/sample/ee2fe11a7f43aba14f37897b7c69e2c4b26eef20a8854a838353b59866ee4861/

Payload delivery host 🌐:
https://urlhaus.abuse.ch/host/172.237.55.180/

Releated IOCs 🦊:
https://threatfox.abuse.ch/browse/tag/CVE-2025-55182/

Hvis du troede, at eksploiteringen af #React2Shell hovedsageligt var begrænset til virksomheds-apps bygget med React-frameworket, kan Bitdefender fortælle, at exploiteringen er blevet adopteret af IoT-botnet-operatører, der bruger den til at gå efter smarte enheder, der muligvis bruger React til deres web-administrations-paneler
https://www.bitdefender.com/en-us/blog/labs/cve-2025-55182-exploitation-hits-the-smart-home

Interesting #react2shell payload detected by my Lophiid honeypots. It does a comprehensive job to obtain secrets (including using trufflehog and gitleaks).

Raw request here:
https://github.com/mrheinen/lophiid/blob/main/hall_of_fame/react2shell_secrets.txt

CVE-2025-55182 #honeypot #dfir #infosec #cybersecurity #exploits

❗ Aktualizujcie swoje UMAMI, pisaliśmy o nich niedawno. Podatność React:

"Podatność CVE-2025-55182, dotycząca RSC, występuje w wersjach 19.0, 19.1.0, 19.1.1 oraz 19.2.0 następujących modułów:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack"

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

🚨 Microsoft patches 56 Windows vulnerabilities, incl. 2 zero-days. Actively exploited: privilege escalation in Cloud Files Mini Filter Driver (CVE-2025-62221). Patch ASAP to defend cloud-linked endpoints! https://radar.offseq.com/threat/microsoft-issues-security-fixes-for-56-flaws-inclu-72859fb1 #OffSeq #Microsoft #Vuln #Windows

Microsoft rilascia aggiornamenti urgenti per un bug zero-day di PLE sfruttato in Windows

Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urgenti al fine di risolvere tale falla.

La classificazione della vulnerabilità è high, secondo il punteggio base CVSS v3.1, pari a 7,8; inoltre, secondo l’avviso rilasciato da Microsoft, risulta che gli aggressori stanno sfruttando exploit funzionanti sulle macchine al fine di ottenere i privilegi di SYSTEM.

Un’ampia gamma di sistemi operativi Windows, dalle più recenti versioni di Windows 11, come la 25H2, e Windows Server 2025, fino a Windows 10 versione 1809, è interessata da questa vulnerabilità di escalation dei privilegi (PLE).

La vulnerabilità è descritta come una debolezza Use-After-Free all’interno del Cloud Files Mini Filter Driver, un componente del kernel responsabile della gestione dei “segnaposto” e della sincronizzazione per i servizi di archiviazione cloud come OneDrive.

A differenza delle falle di esecuzione di codice in modalità remota (RCE) questa vulnerabilità viene sfruttata come fase secondaria nelle catene di attacco, in cui gli avversari hanno già messo piede nel sistema e cercano di aumentare i propri privilegi per persistere o disabilitare i controlli di sicurezza.

La falla consente infatti ad un aggressore con privilegi bassi e autenticato localmente di innescare uno stato di danneggiamento della memoria, consentendogli successivamente di eseguire codice arbitrario con i privilegi di sistema più elevati.

Microsoft Threat Intelligence Center (MSTIC) e Microsoft Security Response Center (MSRC) hanno individuato il bug , sottolineando che, sebbene la complessità dell’attacco sia bassa e non richieda alcuna interazione da parte dell’utente, l’aggressore deve aver stabilito l’accesso locale al computer di destinazione.

Gli amministratori dovrebbero dare priorità all’applicazione immediata di patch a questi sistemi, dato lo stato di sfruttamento attivo confermato.

L'articolo Microsoft rilascia aggiornamenti urgenti per un bug zero-day di PLE sfruttato in Windows proviene da Red Hot Cyber.

🚨 CVE-2025-6218: RARLAB WinRAR Path Traversal Vulnerability has been added to the CISA KEV Catalog

CVSS: 7.8

https://darkwebinformer.com/cisa-kev-catalog/

🚨 With folks (rightfully) abandoning GitHub for other pastures, some are turning to self-hosting. One option is Gogs, and the epic team at Wiz says you gotta patch since there's an 0-day in the wild (pls RT for reach and someone pls post on the stupid fosstodon server b/c the folks there are likely to be doing this)

https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

EITW ../ 0day in Gogs.

http://wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

Tiens, un bon vieux XSS via curl sous windows

⬇️
https://github.com/osman1337-security/CVE-2025-54100/

( :twitter: https://x.com/osman1337_/status/1998494447483400373 )
👇
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54100

[related]
⬇️
https://www.bleepingcomputer.com/news/security/microsoft-windows-powershell-now-warns-when-running-invoke-webrequest-scripts/

#CyberVeille #CVE_2025_54100

As Microsoft explains, this mitigates a high-severity PowerShell remote code execution vulnerability (CVE-2025-54100), which primarily affects enterprise or IT-managed environments that use PowerShell scripts for automation, since PowerShell scripts are not as commonly used
2/3

Le patch pour la vulnérabilité CVE-2025-54100 peut avoir un impact sur vos scripts PowerShell https://www.it-connect.fr/windows-powershell-cve-2025-54100-impacts/ #Cybersécurité #Logiciel-OS #Powershell #Microsoft

🚨 CRITICAL: Fortinet, Ivanti, SAP patch auth bypass & code exec flaws (e.g. CVE-2025-59718, CVE-2025-10573, CVE-2025-42880). Affects FortiOS, FortiWeb, Ivanti Endpoint Manager, SAP Solution Manager. Patch ASAP & disable risky features! https://radar.offseq.com/threat/fortinet-ivanti-and-sap-issue-urgent-patches-for-a-9a0f9a74 #OffSeq #Vulnerability #SysAdmin

Vulnerabilità critica in FortiOS e altri prodotti Fortinet: aggiornamenti urgenti

Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso di sicurezza urgente. Tale avviso è stato emesso in relazione a falle di sicurezza che interessano tali prodotti.

Un aggressore potrebbe ottenere l’accesso amministrativo non autorizzato al dispositivo creando un messaggio SAML specifico, se la vulnerabilità viene sfruttata. Tale vulnerabilità è causata dall’incapacità del dispositivo di verificare in modo corretto le firme dei messaggi SAML.
Pannello CVE Details di Red Hot Cyber
Fortinet raccomanda ai propri clienti di procedere con l’aggiornamento alle versioni più recenti che seguono. Per quelle organizzazioni che non sono in grado di applicare le patch immediatamente, è stata messa a disposizione una soluzione provvisoria. Disabilitanto la funzionalità di accesso a FortiCloud, gli amministratori sono in grado di ridurre il rischio.

La falla di sicurezza, identificata come Verifica impropria della firma crittografica (CWE-347), potrebbe consentire a un aggressore non autenticato di aggirare l’autenticazione di accesso Single Sign-On (SSO) di FortiCloud.

Quando un amministratore registra un dispositivo su FortiCare tramite l’interfaccia utente grafica (GUI), l’opzione “Consenti accesso amministrativo tramite FortiCloud SSO” è abilitata per impostazione predefinita. A meno che l’amministratore non disattivi esplicitamente questa opzione durante la registrazione, il dispositivo diventa immediatamente vulnerabile a questo bypass.

La scoperta del problema è stata fatta internamente da Theo Leleu e Yonghui Han del team di sicurezza dei prodotti Fortinet, e l’informazione è stata resa pubblica il 9 dicembre 2025. La funzionalità SSO di FortiCloud, costituisce un rischio considerevole soprattutto negli ambienti di rete distribuiti.

L'articolo Vulnerabilità critica in FortiOS e altri prodotti Fortinet: aggiornamenti urgenti proviene da Red Hot Cyber.

Related to this one.

Denial of Service vulnerability in Apache Struts, file leak in multipart request processing causes disk exhaustion.\n\nThis issue affects Apache Struts: from 2.0.0 through 6.7.4, from 7.0.0 through 7.0.3.\n\nUsers are recommended to upgrade to version 6.8.0 or 7.1.1, which fixes the issue.\n\nIt's related to https://cve.org/CVERecord?id=CVE-2025-64775 - this CVE addresses missing affected version 6.7.4

https://cwiki.apache.org/confluence/display/WW/S2-068

🚨 CRITICAL: Fortinet, Ivanti, SAP patch auth bypass & code exec flaws (e.g. CVE-2025-59718, CVE-2025-10573, CVE-2025-42880). Affects FortiOS, FortiWeb, Ivanti Endpoint Manager, SAP Solution Manager. Patch ASAP & disable risky features! https://radar.offseq.com/threat/fortinet-ivanti-and-sap-issue-urgent-patches-for-a-9a0f9a74 #OffSeq #Vulnerability #SysAdmin

🚨 CRITICAL: Fortinet, Ivanti, SAP patch auth bypass & code exec flaws (e.g. CVE-2025-59718, CVE-2025-10573, CVE-2025-42880). Affects FortiOS, FortiWeb, Ivanti Endpoint Manager, SAP Solution Manager. Patch ASAP & disable risky features! https://radar.offseq.com/threat/fortinet-ivanti-and-sap-issue-urgent-patches-for-a-9a0f9a74 #OffSeq #Vulnerability #SysAdmin