BolhaSec News #16 - 15/09/24 a 21/09/24

Vulnerabilidade alta de Path traversal no Spring Boot (e fix): Essa semana foi publicada a CVE-2024-38816, vulnerabilidade de path traversal (CVSS 7.5) no Spring Boot 6.1.x, 6.0.x e 5.3.x (e anteriores). São afetadas aplicações web que i) usam RouterFunctions para servir recursos estáticos; ii) resource handling está configurado com um FileSystemResource. Foi publicado também o fix da vulnerabilidade nas versões 5.3.40, 6.0.24 e 6.1.13 (versões anteriores não receberam fix). +Info +Info2 +Bluesky

Quanto tempo leva para hackers descobrirem credenciais expostas? Foi essa pergunta que pesquisadores do Cybenari tentaram respoder. Pesquisadores expuseram publicamente canary tokens em várias plataformas, como Github, DockerHub e NPMJS. Além de analisarem quanto tempo levou para as credenciais serem utilizadas, avaliaram também os IPs (qual o país e se está marcado como malicioso) e User Agents. +Info +Bluesky

Vulnerabilidade no Salesforce public link permite acesso a dados sensíveis: No começo do ano, pesquisadores do Varonis Threat Labs descobriram uma vulnerabilidade no Salesforce onde atacantes conseguem acessar informações dos clientes (incluindo PII) através da manipulção das chamadas a API não documentada Salesforce Aura. Devido a gravidade da vulnerabilidade, só foi publicada esse mês. +Info

BC avisa do vazamento de dados cadastrados de 150 chaves Pix relacionadas a Shopee: Banco Central publicou uma nota informando do vazamento de dados vinculados a 150 chaves Pix sob a guarda da SHPP Brasil – instituição de pagamentos vinculada à Shopee. Segundo a nota, não foram expostos dados sensíveis, como senhas, movimentações ou saldos financeiros e “As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento”. +Info +Info2 +Bluesky