Advisory

Ogni ottima ricerca merita

degli ottimi advisory.

La ricerca è uno dei pilastri di Shielder.

Investiamo dal 25% al 100% del tempo dei dipendenti nella ricerca di vulnerabilità, nello sviluppo di exploit e nella formazione. Approfondendo le nostre conoscenze tecniche e scoprendo nuove vulnerabilità, contribuiamo alla sicurezza dell’ecosistema digitale.

Ogni nostra scoperta è seguita dalla pubblicazione di un avviso con dettagli tecnici riguardanti il problema e la risoluzione, il tutto nel rispetto della nostra politica di divulgazione. Al termine di campagne di ricerca particolarmente approfondite o a lungo termine, condividiamo apertamente con la comunità internazionale il nostro modus operandi, gli strumenti e le lezioni apprese nel nostro blog e nelle conferenze in tutto il mondo.

Ci sforziamo di migliorare continuamente e di offrire ai nostri clienti consulenza sulla sicurezza basata sulla ricerca. Per qualsiasi informazione, contattaci.

LibreNMS 1.65 is affected by an authenticated command-injection vulnerability via the HTTP GET "title" parameter in the "/graph.php" API endpoint. A "normal" privileges attacker can gain Remote Code Execution (RCE) on the LibreNMS host.

Leggi di più

LibreNMS 1.65 is affected by a SQL Injection vulnerability via the 'address' parameter in the '/ajax_table.php' API endpoint. A 'normal' privileges attacker can gain access to the database in use by LibreNMS.

Leggi di più

LibreNMS 1.65 is affected by multiple SQL Injection vulnerabilities via the 'searchPhrase' parameter in the '/ajax_table.php' API endpoint. A 'normal' privileges attacker can gain access to the database in use by LibreNMS.

Leggi di più

LibreNMS 1.65 is affected by multiple SQL Injection vulnerabilities via the `sort` parameter in the '/ajax_table.php' API endpoint. A 'normal' privileges attacker can gain access to the database in use by LibreNMS.

Leggi di più

Horde Gollem 3.0.12, as used in Horde Groupware Webmail Edition 5.2.22, is affected by a reflected Cross-Site Scripting (XSS) vulnerability via the HTTP GET dir parameter in the browser functionality. An attacker can obtain access to a victim’s webmail account by making them visit a malicious URL.

Leggi di più

The image view functionality in Horde Groupware Webmail Edition before 5.2.22 is affected by a stored Cross-Site Scripting (XSS) vulnerability via an SVG image upload containing a JavaScript payload. An attacker can obtain access to a victim's webmail account by making them visit a malicious URL.

Leggi di più

CVE-2019-9202: a Command Injection vulnerability in Nagios Incident Manager (component of Nagios XI) before 2.2.7 allows authenticated attackers to achieve remote code execution via a malicious host record.

Leggi di più

CVE-2019-9204: a SQL Injection vulnerability in Nagios Incident Manager (component of Nagios XI) before 2.2.7 allows authenticated attackers to inject additional SQL statements via the incident_id parameter.

Leggi di più

CVE-2019-9203: An Authorization Bypass vulnerability in Nagios Incident Manager (component of Nagios XI) before 2.2.7 allows unauthenticated users to bypass the authentication checks via a void token.

Leggi di più

CVE-2019-9164: a command injection vulnerability in Nagios XI before 5.5.11 allows authenticated users to execute arbitrary remote commands via a new autodiscovery job.

Leggi di più