⚠️ HIGH severity CVE-2025-12160: Stored XSS in nmedia Simple User Registration (≤6.6) for WordPress. Unauthenticated attackers can inject scripts via 'wpr_admin_msg'. Disable plugin & monitor for abuse. Details: https://radar.offseq.com/threat/cve-2025-12160-cwe-79-improper-neutralization-of-i-d593386d #OffSeq #WordPress #XSS #Infosec

🚨 CVE-2025-64762 (HIGH): workos authkit-nextjs <2.11.1 fails to set anti-caching headers, risking session token leaks via CDN caches. Upgrade to 2.11.1+ or review CDN cache configs now! https://radar.offseq.com/threat/cve-2025-64762-cwe-524-use-of-cache-containing-sen-e4c820e8 #OffSeq #Nextjs #Security #CVE2025

Weiteres Zero-Day Sicherheitsloch bei Oracle angegriffen

Im Oktober hatte ich über CVE-2025-61882 berichtet, eine Zero-Day Sicherheitslücke bei Oracle. Die wurde vorher schon, und erst recht nach der Veröffentlichung, für viele Angriffe ausgenutzt. Diese wiederum haben zu Datenlecks geführt. Jetzt hat ein Sicherheitsunternehmen veröffentlicht, dass es schon vorher eine weitere Zero-Day Sicherheitslücke (CVE-2025-61757) gefunden und an Oracle gemeldet hatte. Oracle hat sie mit den Oktober-Updates geflickt, aber Honigtopf-Protokolle zeigen Angriffe darauf bereits seit dem 2025-08-30. Außerdem ist sie geradezu trivial einfach auszunutzen: Durch Anhängen von ";.wadl" wird

https://www.pc-fluesterer.info/wordpress/2025/11/21/weiteres-zero-day-sicherheitsloch-bei-oracle-angegriffen/

#Hintergrund #Warnung #0day #closedsource #cybercrime #exploits #hintertür #wissen

🚨 New plugin: ViciboxVersionPlugin (CVE-2024-8503, CVE-2024-8504).

VICIdial outdated version detection - unauthenticated SQL injection and authenticated RCE, versions <= 2.14-917a affected.

Results: https://leakix.net/search?q=%2Bplugin%3AViciboxVersionPlugin&scope=leak