Os pesquisadores subsequentemente descobriram que outros sistemas de gerenciamento de conteúdo que contam com a mesma biblioteca vulnerável do Dragonfly – incluindo Locomotive CMS e Alchemy CMS – também estavam em risco. A falha permitia explorações, incluindo leitura de arquivo arbitrário, gravação de arquivo arbitrário e (em condições favoráveis) execução remota de código. Um artigo técnico da ZX Security explica o problema com mais detalhes.
A biblioteca Dragonfly lida com funções como gerar miniaturas de imagens e imagens de texto ou apenas gerenciar anexos em geral. Vulnerabilidades de injeção de argumento são uma classe de ataque que significa que entradas não confiáveis podem ser passadas como argumentos durante a execução de um comando específico. A fragilidade da segurança define o cenário para a execução de injeção de recomendação de sistema operacional e ataques semelhantes. Atualizar o Dragonfly Ruby Gem para 1.4.0 ou superior atenuaria esse problema. Como alternativa, garantir que a opção padrão do Dragonfly verify_urls esteja habilitada oferece uma mitigação efetiva, de acordo com a ZX Security.
Fonte: https://portswigger.net/
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…