🚨 CRITICAL vuln: 10Web Booster WordPress plugin (all versions ≤2.32.7) allows authenticated users to delete arbitrary folders via path traversal (CVE-2025-13377, CVSS 9.6). Risk: data loss, DoS. Restrict access & monitor systems. https://radar.offseq.com/threat/cve-2025-13377-cwe-22-improper-limitation-of-a-pat-7c7aa1e1 #OffSeq #WordPress #vuln

🚨 CVE-2025-34256: CRITICAL (CVSS 10) vuln in Advantech WISE-DeviceOn Server <5.4—remote attackers can forge JWTs & gain full admin access via hard-coded key. Patch to v5.4+ or restrict access now! https://radar.offseq.com/threat/cve-2025-34256-cwe-321-use-of-hard-coded-cryptogra-3c681503 #OffSeq #ICS #IoTSecurity #Vulnerability

🚨 CRITICAL: CVE-2025-12673 in Flex QR Code Generator for WordPress (≤1.2.6) allows unauthenticated arbitrary file uploads—possible RCE! Disable plugin, monitor for patches, restrict file exec in uploads. https://radar.offseq.com/threat/cve-2025-12673-cwe-434-unrestricted-upload-of-file-74b9ba78 #OffSeq #WordPress #Vulnerability #Infosec

📰 Critical 7-Zip RCE Vulnerability Now Under Active Exploitation

A critical RCE vulnerability in 7-Zip (CVE-2025-11001) is now being actively exploited. ⚠️ The path traversal flaw allows code execution via malicious archives. Update to version 25.0.0 or later immediately! #7Zip #RCE #CyberSecurity

🔗 https://cyber.netsecops.io/articles/active-exploitation-of-critical-7-zip-rce-vulnerability-confirmed/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

Vulnerabilità critica in Apache Tika con Severity 10! rischio di attacco XXE

E’ stata pubblicata una vulnerabilità critica in Apache Tika, che potrebbe consentire un attacco di iniezione di entità esterne XML, noto come XXE. La falla di sicurezza, catalogata come CVE-2025-66516, presenta un punteggio pari a 10,0 secondo la scala CVSS, indice di massima gravità.

Si ritiene che CVE-2025-66516 sia identica al CVE-2025-54988 (punteggio CVSS: 8,4), un’altra falla XXE nel framework di rilevamento e analisi dei contenuti, corretta dai responsabili del progetto nell’agosto 2025. Il nuovo CVE, ha affermato il team di Apache Tika, amplia la portata dei pacchetti interessati in due modi.

La falla critica è presente nei moduli Apache Tika, precisamente in tika-core (dalla versione 1.13 alla 3.2.1), tika-pdf-module (dalle versioni 2.0.0 alla 3.2.1) e tika-parsers (dalla 1.13 alla 1.28.5), su tutte le piattaforme, permette ad un aggressore di effettuare iniezioni di entità esterne XML attraverso un file XFA contraffatto incluso in un PDF.

Riguarda i seguenti pacchetti Maven:

• org.apache.tika:tika-core >= 1.13,
• org.apache.tika:tika-parser-pdf-module >= 2.0.0,
• org.apache.tika:tika-parsers >= 1.13,

“Innanzitutto, sebbene il punto di ingresso della vulnerabilità fosse il modulo tika-parser-pdf, come riportato in CVE-2025-54988, la vulnerabilità e la sua correzione si trovavano in tika-core”, ha affermato il team. “Gli utenti che hanno aggiornato il modulo tika-parser-pdf ma non hanno aggiornato tika-core alla versione >= 3.2.2 sarebbero comunque vulnerabili”.

Alla luce della criticità della vulnerabilità, si consiglia agli utenti di applicare gli aggiornamenti il prima possibile per mitigare le potenziali minacce.

L'articolo Vulnerabilità critica in Apache Tika con Severity 10! rischio di attacco XXE proviene da Red Hot Cyber.

ZSPACE

https://www.cve.org/CVERecord?id=CVE-2025-14106

https://www.cve.org/CVERecord?id=CVE-2025-14107

TOZED

https://www.cve.org/CVERecord?id=CVE-2025-14105

cc: @Dio9sys @da_667

#internetOfShit