A mesterséges intelligencia lecsap: négy szoftverhiba célkeresztben

Veszélyben a fejlesztők és rendszergazdák

A CVE-2025-45877 számú hiba a Vite keretrendszerben a hozzáférési jogosultságok helytelen kezeléséből ered, amely nem megfelelően védett szervereken lehetővé teszi a nem publikált fájlok elérését. Bár főként fejlesztői példányokra vonatkozik, régóta elérhetők azok a biztonsági frissítések, amelyek a 6.2.4, 6.1.3, 6.0.13, 5.4.16 és 4.5.11 verziókban javítják a problémát.

Kritikus sebezhetőség és ellopott tokenek

Sokakat érinthet a Versa Concerto SD-WAN platform CVE-2025-45793 számú hibája is, ahol egy rosszul konfigurált Traefik proxy miatt adminisztratív felületek, köztük aktív memóriadumpok és naplók válnak elérhetővé. A Concerto 12.1.2–12.2.0 verziói érintettek, de más verziókban is előfordulhat hasonló gond.

A Prettier formázó és az eslint-config-prettier csomag is érintett: 2024 júliusában hackerek kompromittálták a csomagot, és kártékony verziót töltöttek fel az npm-re, amely Windows rendszeren npm-hitelesítési tokeneket lopott. Érintettek a 8.10.1, 9.1.1, 10.1.6, 10.1.7 verziók.

Zimbra is célkeresztben

A legújabb, 2025 decemberében feltárt sérülékenység (CVE-2025-53365) a Zimbra 10.0 és 10.1 webmail felületét érinti, ahol egy hibásan kezelt paraméter miatt jogosulatlan felhasználók lekérhetnek tetszőleges fájlokat a rendszerből.

A CISA minden amerikai állami intézményt arra kötelez, hogy azonnal frissítsenek, vagy hagyják abba az érintett szoftverek használatát 2026. február 12-ig. Az eddigi támadásokról részleteket nem közöltek, a zsarolóvírusok érintettsége sem ismert.

2025, adrienne, www.bleepingcomputer.com alapján