Hírolvasó

Az UNC3886 néven hivatkozott, Kínához köthető APT csoport kiberkémkedési kampányt indított Szingapúr telekommunikációs szektora ellen, jelentette be a Szingapúri Kiberbiztonsági Ügynökség (CSA). Az Ügynökség és az Infocomm Media Development Authority (IMDA) közös védelmi hadműveletet (CYBER GUARDIAN) kezdeményezett a telekommunikációs szektor védelme érdekében. A vizsgálatok szerint az UNC3886 már 2025 júliusa óta hajt végre célzott támadási […]

Vizsgálatot indított az Európai Bizottság egy, a mobileszközkezelő rendszerét ért kibertámadás miatt. 2026. január 30-án az Európai Bizottság kibertámadásra utaló jeleket tapasztalt a mobileszközöket kezelő központi infrastruktúráján. A támadás során az elkövetők hozzáférést szerezhettek egyes alkalmazottak nevéhez és mobilszámához. A Bizottság közleménye szerint a gyors reagálásnak köszönhetően 9 órán belül sikerült megfékezniük az incidenst és […]

Overview

A prototype pollution vulnerability present in CASL Ability versions 2.4.0 through 6.7.4 is triggered through the rulesToFields() function in the extra module. The program’s library contains a method called setByPath() that does not properly sanitize property names, allowing attackers to add or modify properties on an object’s prototype.

Description

The CASL library provides a robust suite for managing attribute-based access control across various components, services, and queries. Access control is defined with a set of rule conditions. The library provides a set of default values for these conditions.

In JavaScript libraries like CASL, prototypes are template objects that serve as blueprints and inform the properties of their child objects. By exploiting this prototype pollution vulnerability, an attacker can inject arbitrary properties into global object prototypes, thereby affecting all child objects that inherit from them. The issue arises from a flaw in the setByPath() function, a component of the rulesToFields() function in the extra module.

The setByPath() function is intended to safely update only permitted fields; however, it fails to properly sanitize path segments before using them as object property keys. Consequently, special property names such as prototype and constructor are accepted as valid keys, allowing an attacker to modify the properties of object prototypes and constructor classes. Furthermore, the _proto_ special property can be used to traverse the prototype chain and ultimately write to Object.prototype, the root prototype of all objects. By polluting Object.prototype, an attacker can add arbitrary properties to all objects and compromise the prototype chain throughout the Node.js process.

Impact

As Object.prototype is the root prototype that all JavaScript objects inherit from, changes to its properties can be significant, allowing an attacker to execute arbitrary code and potentially leading to a complete system compromise. Additionally, an attacker can bypass intended authorization logic, allowing unauthorized access to sensitive resources. Furthermore, changes to Object.prototype can cause unintended behavior in application code, leading to logic manipulation and potentially allowing an attacker to perform actions that would normally be restricted.

Manipulating properties in Object.prototype can also cause crashes or unexpected behavior if polluted properties do not match expected types in the application code, leading to a denial of service. Overall, the Object.prototype pollution vulnerability poses a significant risk to applications and systems. Because the vulnerability exists in the CASL library, which is used by multiple applications and services, a single exploit can have a ripple effect, compromising multiple systems and potentially leading to a widespread security breach.

Solution

Users of the library should upgrade to version 6.7.5 or later, found at https://github.com/stalniy/casl/tree/master/packages/casl-ability.

Acknowledgements

Thanks to Maor Caplan from the Alma Security for coordinating the disclosure of this vulnerability. This document was written by Ayushi Kriplani and Dr. E. Drennan, CISSP.

Adatbiztonsági incidensről figyelmezteti felhasználóit a népszerű Flickr fénykép- és videómegosztó közösségi oldal.

Biztonsági figyelmeztetést adott ki a német belföldi hírszerző ügynökség a Signal üzenetküldő alkalmazáson terjedő adathalász üzenetekkel kapcsolatban.

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) új, kötelező érvényű irányelve (BOD 26-02) előírja a szövetségi ügynökségek számára, hogy távolítsák el azokat a hálózati peremeszközeiket, amelyek már nem kapnak gyári frissítéseket.

A Conpet olajvezeték-üzemeltető cég előző heti sajtóközleményében arról nyilatkozott, hogy kibertámadás érte az informatikai rendszereit, aminek következtében elérhetetlenné vált a weboldaluk (www.conpet.ro).

Az Anthropic MI-fejlesztő vállalat bejelentette, hogy legújabb nagy nyelvi modellje (LLM), a Claude Opus 4.6 több mint 500, korábban ismeretlen, magas súlyosságú sérülékenységet azonosított különböző széles körben használt nyílt forráskódú könyvtárakban.

Észak-koreához köthető hackerek a GhostCall nevű támadás során macOS-felhasználókat célozhattak meg, hanghiba ürügyén kártékony kódok futtatására bírva őket.

Több kritikus sérülékenységet azonosítottak a népszerű, nyílt forráskódú n8n workflow-automatizációs platformban, amelyek súlyos biztonsági kockázatot jelentenek az érintett rendszerekre.

A modern webes infrastruktúrák egyik legfontosabb építőeleme a reverse proxy réteg. Ebben a szerepben az NGINX világszerte domináns megoldás. Webkiszolgálóként, load balancer-ként, cache rétegként és forgalomirányító proxyként egyaránt használják.

Egy 2026 januárjában közzétett frissítés során az OpenSSL fejlesztői összesen tizenkét, korábban nem ismert sérülékenységet javítottak. A hibák feltárása egy autonóm, mesterséges intelligencián alapuló kódelemző rendszer segítségével történt, amelyet az AISLE fejlesztett.

Kevesebb mint egy hét alatt több mint 230 rosszindulatú csomagot tettek közzé a személyes AI-asszisztens, az OpenClaw (korábban Moltbot és ClawdBot) hivatalos csomagregiszterében, illetve a GitHubon.

Bizonyos támadók már december vége óta aktívan kihasználnak egy kritikus súlyosságú, React Native-et érintő sérülékenységet.

Egy újonnan azonosított GlassWorm-kártevőkampány kompromittált OpenVSX-bővítményeken keresztül macOS rendszereket vett célba.

Az ukrán CERT (CERT-UA) szerint az Oroszországhoz köthető kiberbűnözői csoportok egy olyan Microsoft Office sebezhetőség (CVE-2026-21509) kihasználásával hajtanak végre rosszindulatú műveleteket, amelynek javítására sürgősségi, soron kívüli frissítést adott ki a Microsoft még január 26-án.

A Notepad++ további részleteket osztott meg arról az ellátásilánc támadásról, amely 2025 decemberében került nyilvánosságra. A projekt tájékoztatása szerint nagy valószínűséggel egy kínai, államilag támogatott APT csoport célzott támadást hajtott végre egyes felhasználók ellen egy tárhelyszolgáltató infrastruktúráján keresztül.

Az adathalász támadások napjainkban egyre kifinomultabbá válnak, mára már nem csupán megjelenésükben, hanem működésükben és felhasználói élményükben is a nagyvállalati szolgáltatók megoldásait utánozzák.

Az utóbbi időszakban egyre gyakoribbak azok az online csalások, amelyek állásajánlatnak álcázva próbálnak rávenni felhasználókat arra, hogy fertőzött fájlokat töltsenek le és nyissanak meg.

December végén kibertámadás érte Lengyelország villamosenergia-hálózatát, amely elsősorban elosztott energiatermelő rendszerekhez (distributed energy resource - DER) kapcsolódó létesítményeket vett célba.