Ivanti Endpoint Manager faces four security vulnerabilities, including a critical 9.6 CVSS flaw. Updates now available for EPM users.
#SecurityLand #CyberWatch #SecurityVulnerability #Ivanti #EPM #CVSS #CVE #XSS
Read More: https://www.security.land/critical-flaws-ivanti-epm-endpoint-management/
Sicherheitsupdate: Präparierte XML-Dateien können #GeoServer lahmlegen | Security https://www.heise.de/news/Sicherheitsupdate-Praeparierte-XML-Dateien-koennen-GeoServer-lahmlegen-11097923.html #Patchday #XSS #CrossSiteScripting #DoS
We’re excited to share the first video in our Eval Villain series from @bemodtwz
This powerful security tool is designed to uncover client-side vulnerabilities and help defenders spot risky patterns.
🚨 CRITICAL: CVE-2025-66481 affects DeepChat <=0.5.1—XSS via unpatched Mermaid content can lead to RCE through Electron’s ipcRenderer. No fix yet. Disable Mermaid, harden input sanitization, monitor activity. Details: https://radar.offseq.com/threat/cve-2025-66481-cwe-80-improper-neutralization-of-s-13a5bdaf #OffSeq #DeepChat #XSS #RCE
⚠️ CVE-2025-13614: HIGH-severity stored XSS in wpkube Cool Tag Cloud plugin (all versions). Authenticated contributors can inject malicious JS via shortcode, risking credential theft & site compromise. Audit permissions & monitor usage. Details: https://radar.offseq.com/threat/cve-2025-13614-cwe-79-improper-neutralization-of-i-7f71da3c #OffSeq #WordPress #XSS
🔍 HIGH severity: CVE-2025-13387 in Kadence WooCommerce Email Designer (≤1.5.17) enables unauthenticated stored XSS via customer name field. Risk of data theft & session hijack. Patch or mitigate now! https://radar.offseq.com/threat/cve-2025-13387-cwe-79-improper-neutralization-of-i-26c42757 #OffSeq #WordPress #XSS #Infosec
🔐 Cross-Site Scripting (XSS) – Still the Web’s Silent Killer in 2025
Think XSS is old news? Think again.
👉 Read how you can defend your apps properly. context-aware encoding, CSP, Trusted Types, and more:
https://wardenshield.com/cross-site-scripting-xss-persistent-web-vulnerability-exploits
Hey everyone! It's been a bit quiet on the news front over the last 24 hours, but we've got one significant update concerning an actively exploited SCADA vulnerability and a look at some sustained exploitation efforts. Let's dive in:
Actively Exploited SCADA XSS Added to CISA KEV ⚠️
- CISA has added CVE-2021-26829, a cross-site scripting (XSS) vulnerability in OpenPLC ScadaBR (affecting Windows through v1.12.4 and Linux through v0.9.1), to its Known Exploited Vulnerabilities (KEV) catalog due to active exploitation.
- This flaw was recently leveraged by the pro-Russian hacktivist group TwoNet, who targeted a Forescout honeypot (mistaking it for a water treatment facility). After gaining initial access via default credentials, they exploited the XSS to deface the HMI login page and disable logs/alarms.
- Separately, VulnCheck has identified a long-running exploit operation, active for about a year, originating from Google Cloud OAST infrastructure and primarily targeting Brazil. This operation scans for over 200 CVEs, including a custom variant of a Fastjson RCE flaw, demonstrating sustained, regionally-focused attack efforts.
📰 The Hacker News | https://thehackernews.com/2025/11/cisa-adds-actively-exploited-xss-bug.html
#CyberSecurity #ThreatIntelligence #Vulnerability #CVE #XSS #SCADA #ICS #CISA #KEV #Hacktivism #TwoNet #Exploitation #InfoSec #IncidentResponse
CISA has added CVE-2021-26829
(OpenPLC/ScadaBR XSS) to the Known Exploited Vulnerabilities Catalog.
XSS vulnerabilities in ICS/SCADA environments remain a dependable avenue for attackers, and CISA is urging organizations - not just federal - to prioritize remediation.
How does your team track and respond to KEV updates?
🔔 Follow TechNadu for balanced, non-sensational cybersecurity coverage.
#infosec #CISA #KEV #ICS #SCADA #OpenPLC #OTSecurity #XSS #vulnerabilitymanagement #riskmanagement #cybersecuritynews #threatintel
Un esperto ha replicato un attacco che avvia automaticamente Apple Podcasts con contenuti scelti dall’hacker
Il rischio: distribuzione silenziosa se si scopre una vulnerabilità 🛡️🎧
Attacchi XSS, seppur datati, sono stati testati nel 2025
Apple Podcasts Security Concerns
https://techlife.blog/posts/apple-podcasts-app-security-concerns/
„Nawiedzone” Apple Podcasts? Ktoś próbuje wstrzykiwać złośliwy kod przez aplikację
Czy zdarzyło Ci się ostatnio, że aplikacja Podcasty na Twoim iPhonie lub Macu uruchomiła się sama z siebie, odtwarzając losowe audycje o tematyce duchowej lub religijnej?
Jeśli tak, nie zwariowałeś – to element dziwnego zjawiska, które nagłośnił serwis 404 Media. Wygląda na to, że ktoś testuje zabezpieczenia platformy Apple, próbując przeprowadzić ataki typu XSS (Cross-Site Scripting).
Kazania z kodem w tle
Joseph Cox z 404 Media opisuje sytuację, w której aplikacja Podcasty otwierała się samoczynnie, prezentując audycje o tytułach wyglądających jak błędy w kodzie, np. 5../XEWE2′””"″onclic…. W rzeczywistości są to fragmenty skryptów.
Jeden z takich „podcastów” zawierał w sekcji „Strona programu” link przekierowujący do witryny próbującej wykonać atak XSS. Choć na ten moment wydaje się to raczej formą „badania gruntu” przez hakerów lub spamerów, niż masowym atakiem kradnącym dane, sytuacja budzi obawy ekspertów.
Luka w automatycznym uruchamianiu
Sprawie przyjrzał się Patrick Wardle, znany ekspert ds. bezpieczeństwa macOS. Potwierdził on, że najbardziej niepokojącym aspektem nie jest sama treść podcastów, ale łatwość, z jaką można wymusić uruchomienie aplikacji.
„Wystarczy odwiedzić odpowiednią stronę internetową, aby wyzwolić otwarcie aplikacji Podcasty i załadowanie wybranej przez atakującego audycji. W przeciwieństwie do innych aplikacji, jak np. Zoom, na macOS nie pojawia się żaden monit z prośbą o zgodę użytkownika” – zauważa Wardle.
Mechanizm ten przypomina plagę spamu w Kalendarzu Google sprzed kilku lat, gdzie złośliwe linki były przemycane w zaproszeniach na wydarzenia. Apple na razie nie odniosło się do sprawy, mimo wielokrotnych próśb o komentarz.
Apple przedstawia najpopularniejsze programy i trendy w Apple Podcasts w roku 2025
#applePodcasts #cyberbezpieczenstwo #ios #macos #news #patrickWardle #spam #xss
Wird Apple Podcasts als Angriffsweg missbraucht?
Ein ungewöhnliches Verhalten der Apple-Podcasts-App sorgt derzeit für Fragen. Mehrere Nutzer:innen berichten von automatisch startenden Podcasts zu Religion, Spiritualität und Bildung – ohne erkennbaren Grund.
Podcasts öffnen sich ohne ersichtlichen
https://www.apfeltalk.de/magazin/news/wird-apple-podcasts-als-angriffsweg-missbraucht/
#iPhone #News #404Media #Apple #CrossSiteScripting #iOS #macOS #Podcasts #Sicherheit #SixColors #XSS
⚠️ CRITICAL: CVE-2025-64130 in Zenitel TCIV-3+ (CVSS 9.8) enables remote reflected XSS — attackers can execute JavaScript in user browsers. No patch yet: segment, restrict, monitor! https://radar.offseq.com/threat/cve-2025-64130-cwe-79-in-zenitel-tciv-3-929b32fb #OffSeq #XSS #InfoSec #Zenitel
#Zohocorp ManageEngine: Mehrere Sicherheitslücken in unterschiedlichen Produkten | Security https://www.heise.de/news/Zohocorp-ManageEngine-Mehrere-Sicherheitsluecken-in-unterschiedlichen-Produkten-11076609.html #Patchday #SQLinjection #XSS #CrossSiteScripting
#Citrix Netscaler ADC und Gateway: Update schließt #CrossSiteScripting-Lücke | Security https://www.heise.de/news/Citrix-Netscaler-ADC-und-Gateway-Update-schliesst-Cross-Site-Scripting-Luecke-11077335.html #XSS #Patchday
⚠️ HIGH severity CVE-2025-12160: Stored XSS in nmedia Simple User Registration (≤6.6) for WordPress. Unauthenticated attackers can inject scripts via 'wpr_admin_msg'. Disable plugin & monitor for abuse. Details: https://radar.offseq.com/threat/cve-2025-12160-cwe-79-improper-neutralization-of-i-d593386d #OffSeq #WordPress #XSS #Infosec
REGEXSS: How Turned Into over $6k in Bounties
Over-greedy regex replacements in HTML sanitisation enable unauthenticated XSS bugs; author reports >$6k in bounties exploiting this class.
🔎 New HIGH severity XSS vuln (CVE-2025-12904, CVSS 7.2) in SNORDIAN's H5PxAPIkatchu WordPress plugin (≤0.4.17). Unauthenticated attackers can inject persistent scripts via 'insert_data' AJAX. Remove or mitigate now! https://radar.offseq.com/threat/cve-2025-12904-cwe-79-improper-neutralization-of-i-6488aea7 #OffSeq #WordPress #XSS #infosec
#Cisco: Teils kritische Sicherheitslücken in mehreren Produkten | Security https://www.heise.de/news/Cisco-Teils-kritische-Sicherheitsluecken-in-mehreren-Produkten-11067359.html #XSS #CrossSiteScripting #Patchday
