24h | 7d | 30d

Overview

  • UTT
  • 进取 512W

11 Dec 2025
Published
11 Dec 2025
Updated

CVSS v4.0
CRITICAL (9.3)
EPSS
Pending

KEV

Description

A vulnerability was identified in UTT 进取 512W up to 3.1.7.7-171114. Affected is the function strcpy of the file /goform/formConfigFastDirectionW. The manipulation of the argument ssid leads to buffer overflow. The attack may be initiated remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.

Statistics

  • 2 Posts
  • 1 Interaction

Last activity: 5 hours ago

Fediverse

Profile picture

⚠️ CVE-2025-14535: CRITICAL buffer overflow in UTT 进取 512W (≤3.1.7.7-171114). Remotely exploitable via ssid param in /goform/formConfigFastDirectionW. Public exploit out, no patch. Isolate & monitor now! radar.offseq.com/threat/cve-20

  • 0
  • 0
  • 0
  • 5h ago

Overview

  • Adobe
  • ColdFusion

09 Dec 2025
Published
10 Dec 2025
Updated

CVSS v3.1
CRITICAL (9.1)
EPSS
0.24%

KEV

Description

ColdFusion versions 2025.4, 2023.16, 2021.22 and earlier are affected by an Improper Input Validation vulnerability that could result in a Security feature bypass. An attacker could leverage this vulnerability to bypass security measures and gain unauthorized read and write access. Exploitation of this issue does not require user interaction and scope is unchanged.

Statistics

  • 2 Posts

Last activity: 20 hours ago

Bluesky

Profile picture
> Adobe ColdFusionの脆弱性対策について(CVE-2025-61809) https://www.ipa.go.jp/security/security-alert/2025/alert20251211.html
  • 0
  • 0
  • 0
  • 21h ago
Profile picture
Adobe ColdFusionの脆弱性対策について(CVE-2025-61809) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/security-alert/2025/alert20251211.html
  • 0
  • 0
  • 0
  • 20h ago

Overview

  • Pending

11 Feb 2025
Published
12 Feb 2025
Updated

CVSS
Pending
EPSS
0.03%

KEV

Description

An issue in the BdApiUtil driver of Baidu Antivirus v5.2.3.116083 allows attackers to terminate arbitrary process via executing a BYOVD (Bring Your Own Vulnerable Driver) attack.

Statistics

  • 2 Posts

Last activity: 19 hours ago

Fediverse

Profile picture

L’EDR è inutile! Gli hacker di DeadLock hanno trovato un “kill switch” universale

Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la tecnica Bring Your Own Vulnerable Driver (BYOVD). Il gruppo non gestisce un sito di fuga di dati ma comunica con le vittime tramite Session Messenger.

Secondo Talos gli attacchi vengono eseguiti da un operatore motivato finanziariamente che ottiene l’accesso all’infrastruttura della vittima almeno cinque giorni prima della crittografia e prepara gradualmente il sistema per l’implementazione di DeadLock.

Uno degli elementi chiave della catena è BYOVD : gli aggressori stessi introducono nel sistema un driver Baidu Antivirus legittimo ma vulnerabile, BdApiUtil.sys, camuffato da DriverGay.sys, e il proprio loader, EDRGay.exe. Il loader inizializza il driver in modalità utente, stabilisce una connessione ad esso tramite CreateFile() e inizia a enumerare i processi alla ricerca di soluzioni antivirus ed EDR.

Successivamente, viene sfruttata la vulnerabilità CVE-2024-51324, un errore di gestione dei privilegi nel driver. Il loader invia uno speciale comando DeviceIOControl() al driver con codice IOCTL 0x800024b4 e il PID del processo di destinazione.

Dal lato kernel, il driver interpreta questo come una richiesta di terminazione del processo, ma a causa della vulnerabilità, non verifica i privilegi del programma chiamante. Eseguendo con privilegi kernel, il driver richiama semplicemente ZwTerminateProcess() e “termina” immediatamente il servizio di sicurezza, aprendo la strada ad ulteriori aggressori.

Prima di lanciare il ransomware, l’operatore esegue uno script PowerShell preparatorio sul computer della vittima. Innanzitutto, verifica i privilegi dell’utente corrente e, se necessario, si riavvia con privilegi amministrativi tramite RunAs, bypassando l’UAC e attenuando le restrizioni standard di PowerShell.

Dopo aver ottenuto i privilegi di amministratore, lo script disabilita Windows Defender e altri strumenti di sicurezza, arresta e disabilita i servizi di backup, i database e altri software che potrebbero interferire con la crittografia. Elimina inoltre tutti gli snapshot delle copie shadow del volume, privando la vittima degli strumenti di ripristino standard, e infine si autodistrugge, complicando l’analisi forense.

Lo script include anche un elenco dettagliato di eccezioni per i servizi critici per il sistema. Tra queste rientrano i servizi di rete (WinRM, DNS, DHCP), i meccanismi di autenticazione (KDC, Netlogon, LSM) e i componenti di base di Windows (RPCSS, Plug and Play, registro eventi di sistema).

Ciò consente agli aggressori di disabilitare il maggior numero possibile di componenti di sicurezza e applicativi senza causare l’arresto anomalo dell’intero sistema, consentendo alla vittima di leggere la nota, contattare il ransomware e pagare.

Talos ha notato che alcune sezioni dello script relative all’eliminazione delle condivisioni di rete e ai metodi alternativi per l’arresto dei processi erano commentate, a indicare che gli autori le intendevano come “opzioni” per scopi specifici. Lo script carica dinamicamente alcune eccezioni da un file run[.]txt esterno.

La telemetria indica che gli aggressori stanno accedendo alla rete della vittima tramite account legittimi compromessi. Dopo l’accesso iniziale, configurano l’accesso remoto persistente: utilizzando il comando reg add, modificano il valore di registro fDenyTSConnections per abilitare RDP. Quindi, utilizzando netsh advfirewall, creano una regola che apre la porta 3389, impostano il servizio RemoteRegistry in modalità on-demand e lo avviano, consentendo la gestione remota del registro.

Il giorno prima della crittografia, l’operatore installa una nuova istanza di AnyDesk su una delle macchine , nonostante altre installazioni del software siano già presenti nell’infrastruttura, rendendo questa distribuzione sospetta.

AnyDesk viene distribuito in modo silenzioso, con l’avvio di Windows abilitato, una password configurata per l’accesso silenzioso e gli aggiornamenti disabilitati che potrebbero interrompere le sessioni degli aggressori. Successivamente, inizia la ricognizione attiva e lo spostamento della rete: nltest viene utilizzato per trovare i controller di dominio e la struttura del dominio, net localgroup/domain per enumerare i gruppi privilegiati, ping e quser per verificare la disponibilità e gli utenti attivi, e infine mstsc e mmc compmgmt.msc per connettersi ad altri host tramite RDP o tramite lo snap-in Gestione Desktop remoto.

Il potenziale accesso alle risorse web interne viene rilevato dall’avvio di iexplore.exe con indirizzi IP interni.

L'articolo L’EDR è inutile! Gli hacker di DeadLock hanno trovato un “kill switch” universale proviene da Red Hot Cyber.

  • 0
  • 0
  • 0
  • 19h ago

Bluesky

Profile picture
📢 DeadLock: un nouveau loader BYOVD exploite CVE-2024-51324 pour tuer l’EDR et chiffrer Windows 📝 Cisco Talos (Threat Spotlight) publie une analys… https://cyberveille.ch/posts/2025-12-10-deadlock-un-nouveau-loader-byovd-exploite-cve-2024-51324-pour-tuer-ledr-et-chiffrer-windows/ #BYOVD #Cyberveille
  • 0
  • 0
  • 0
  • 19h ago

Overview

  • Red Hat
  • Red Hat Enterprise Linux 10
  • glib2

11 Dec 2025
Published
11 Dec 2025
Updated

CVSS
Pending
EPSS
0.03%

KEV

Description

A flaw was found in glib. This vulnerability allows a heap buffer overflow and denial-of-service (DoS) via an integer overflow in GLib's GIO (GLib Input/Output) escape_byte_string() function when processing malicious file or remote filesystem attribute values.

Statistics

  • 1 Post
  • 5 Interactions

Last activity: 13 hours ago

Fediverse

Profile picture

BoF in glib.

access.redhat.com/security/cve

A flaw was found in glib. This vulnerability allows a heap buffer overflow and denial-of-service (DoS) via an integer overflow in GLib's GIO (GLib Input/Output) escape_byte_string() function when processing malicious file or remote filesystem attribute values.

  • 3
  • 2
  • 0
  • 13h ago

Overview

  • Tenda
  • CH22

11 Dec 2025
Published
11 Dec 2025
Updated

CVSS v4.0
HIGH (8.7)
EPSS
Pending

KEV

Description

A security flaw has been discovered in Tenda CH22 1.0.0.1. This affects the function frmL7ImForm of the file /goform/L7Im. Performing manipulation of the argument page results in buffer overflow. Remote exploitation of the attack is possible. The exploit has been released to the public and may be exploited.

Statistics

  • 1 Post
  • 10 Interactions

Last activity: 13 hours ago

Overview

  • JBL
  • LIVE PRO 2 TWS

10 Dec 2025
Published
10 Dec 2025
Updated

CVSS v3.1
HIGH (8.8)
EPSS
0.02%

KEV

Description

Due to improper BLE security configurations on the device's GATT server, an adjacent unauthenticated attacker can read and write device control commands through the mobile app service wich could render the device unusable.

Statistics

  • 1 Post
  • 2 Interactions

Last activity: 21 hours ago

Fediverse

Profile picture

VDE-2024-076
BLE GATT Service Vulnerability in JBL Headphones

Due to improper BLE security configurations and lack of authentication on the GATT server of JBL LIVE PRO 2 TWS and JBL TUNE FLEX Headphones, unauthenticated users can read and write device control commands through the mobile app service.
CVE-2024-2104

certvde.com/en/advisories/vde-

harman.csaf-tp.certvde.com/.we

  • 1
  • 1
  • 0
  • 21h ago

Overview

  • Pending

11 Dec 2025
Published
11 Dec 2025
Updated

CVSS
Pending
EPSS
Pending

KEV

Description

An issue was discovered in cPanel 110 through 132. A directory traversal vulnerability within the Team Manager API allows for overwrite of an arbitrary file. This can allow for privilege escalation to the root user.

Statistics

  • 1 Post
  • 2 Interactions

Last activity: 10 hours ago

Fediverse

Profile picture
  • 1
  • 1
  • 0
  • 10h ago

Overview

  • JBL
  • Flip 5

10 Dec 2025
Published
10 Dec 2025
Updated

CVSS v3.1
MEDIUM (6.5)
EPSS
0.02%

KEV

Description

An unauthorised attacker within bluetooth range may use an improper validation during the BLE connection request to deadlock the affected devices.

Statistics

  • 1 Post
  • 2 Interactions

Last activity: 21 hours ago

Fediverse

Profile picture

VDE-2025-089
BLE ICM Vulnerability in JBL Headphones

The BLE controller in certain consumer products fails to properly validate the channel map field in connection requests, enabling attackers within radio range to cause a denial of service through a specially crafted packet.
CVE-2024-2105

certvde.com/en/advisories/vde-

harman.csaf-tp.certvde.com/.we

  • 1
  • 1
  • 0
  • 21h ago

Overview

  • elysiajs
  • elysia

09 Dec 2025
Published
09 Dec 2025
Updated

CVSS v4.0
CRITICAL (9.1)
EPSS
0.05%

KEV

Description

Elysia is a Typescript framework for request validation, type inference, OpenAPI documentation and client-server communication. Versions 1.4.0 through 1.4.16 contain a prototype pollution vulnerability in `mergeDeep` after merging results of two standard schema validations with the same key. Due to the ordering of merging, there must be an any type that is set as a standalone guard, to allow for the `__proto__ prop` to be merged. When combined with GHSA-8vch-m3f4-q8jf this allows for a full RCE by an attacker. This issue is fixed in version 1.4.17. To workaround, remove the `__proto__ key` from body.

Statistics

  • 1 Post
  • 1 Interaction

Last activity: 15 hours ago

Bluesky

Profile picture
‼️ A critical issue has landed for anyone building with Elysia.js. CVE-2025-66456 allows attackers to achieve remote code execution through a prototype-pollution pathway in certain schema-validation flows. buff.ly/RCQHiLI #ElysiaJS #CVE202566456 #RCE #AppSec #NodeSecurity #TypeScript 🧵1/5
  • 0
  • 1
  • 0
  • 15h ago

Overview

  • D-Link
  • DIR-803

11 Dec 2025
Published
11 Dec 2025
Updated

CVSS v4.0
MEDIUM (6.9)
EPSS
Pending

KEV

Description

A vulnerability was detected in D-Link DIR-803 up to 1.04. Impacted is an unknown function of the file /getcfg.php of the component Configuration Handler. The manipulation of the argument AUTHORIZED_GROUP results in information disclosure. The attack may be performed from remote. The exploit is now public and may be used. This vulnerability only affects products that are no longer supported by the maintainer.

Statistics

  • 1 Post
  • 1 Interaction

Last activity: 13 hours ago
Showing 11 to 20 of 76 CVEs