T1553.002EnterpriseПодтехника
Подписание кода
Злоумышленники могут создавать, приобретать или красть материалы для подписи кода, чтобы подписывать свое вредоносное ПО или инструменты. Подписание кода обеспечивает уровень подлинности бинарного файла от разработчика и гарантию того, что бинарный файл не был изменен. Сертификаты, используемые во время операции, могут быть созданы, приобретены или украдены злоумышленником. В отличие от недействительной подписи кода, эта активность приведет к действительной подписи. Подписание кода для проверки программного обеспечения при первом запуске может использоваться в современных системах Windows и macOS. Оно не используется в Linux из-за децентрализованной природы платформы. Сертификаты подписи кода могут использоваться для обхода политик безопасности, требующих выполнения подписанного кода в системе.
Тактики
Ослабление защиты
Родительская техника
T1553
Подрыв средств контроля доверия
Платформы
macOSWindows
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2026-21858Получение конфиденциальной информации в n8n
CVE-2026-0848NLTK versions <=3.9.2 are vulnerable to arbitrary code execution due to improper input validation in the StanfordSegmenter module. The module dynamically loads external Java .jar files without verification or sandboxing. An attacker can supply or replace the JAR file, enabling the execution of arbitrary Java bytecode at import time. This vulnerability can be exploited through methods such as model poisoning, MITM attacks, or dependency poisoning, leading to remote code execution. The issue arises from the direct execution of the JAR file via subprocess with unvalidated classpath input, allowing malicious classes to execute when loaded by the JVM.
CVE-2025-69426The Ruckus vRIoT IoT Controller firmware versions prior to 3.0.0.0 (GA) contain hardcoded credentials for an operating system user account within an initialization script. The SSH service is network-accessible without IP-based restrictions. Although the configuration disables SCP and pseudo-TTY allocation, an attacker can authenticate using the hardcoded credentials and establish SSH local port forwarding to access the Docker socket. By mounting the host filesystem via Docker, an attacker can escape the container and execute arbitrary OS commands as root on the underlying vRIoT controller, resulting in complete system compromise.
CVE-2025-34300В Sawtooth Software’s Lighthouse Studio версий до 9.16.14 существует уязвимость, связанная с внедрением шаблона, через Perl веб-приложение ciwweb.pl. Эксплуатация позволяет неаутентифицированному злоумышленнику выполнить произвольные команды [1].
Источники:
- [1] https://sawtoothsoftware.com/resources/software-downloads/lighthouse-studio
- [2] https://slcyber.io/assetnote-security-research-center/rce-in-the-most-popular-survey-software-youve-never-heard-of/
CVE-2025-34105В встроенном веб-интерфейсе DiskBoss Enterprise версий 7.4.28, 7.5.12 и 8.2.14 существует уязвимость переполнения буфера на основе стека. Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированный длинный URI, что потенциально может привести к выполнению произвольного кода с привилегиями SYSTEM на уязвимых хостах Windows. Существуют эксплойты для этой уязвимости, доступные на сайтах Exploit-DB [1][2] и в модуле Metasploit [3].
Источники:
- [1] https://www.exploit-db.com/exploits/40869
- [2] https://www.exploit-db.com/exploits/42395
- [3] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/diskboss_get_bof.rb
- [4] https://www.vulncheck.com/advisories/diskboss-enterprise-buffer-overflow-rce
CVE-2025-34063A cryptographic authentication bypass vulnerability exists in OneLogin AD Connector prior to 6.1.5 due to the exposure of a tenant’s SSO JWT signing key via the /api/adc/v4/configuration endpoint. An attacker in possession of the signing key can craft valid JWT tokens impersonating arbitrary users within a OneLogin tenant. The tokens allow authentication to the OneLogin SSO portal and all downstream applications federated via SAML or OIDC. This allows full unauthorized access across the victim’s SaaS environment.
CVE-2025-34060A PHP objection injection vulnerability exists in the Monero Project’s Laravel-based forum software due to unsafe handling of untrusted input in the /get/image/ endpoint. The application passes a user-supplied link parameter directly to file_get_contents() without validation. MIME type checks using PHP’s finfo can be bypassed via crafted stream filter chains that prepend spoofed headers, allowing access to internal Laravel configuration files. An attacker can extract the APP_KEY from config/app.php, forge encrypted cookies, and trigger unsafe unserialize() calls, leading to reliable remote code execution.
CVE-2025-34043A remote command injection vulnerability exists in Vacron Network Video Recorder (NVR) devices v1.4 due to improper input sanitization in the board.cgi script. The vulnerability allows unauthenticated attackers to pass arbitrary commands to the underlying operating system via crafted HTTP requests. These commands are executed with the privileges of the web server process, enabling remote code execution and potential full device compromise. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-06 UTC.
CVE-2025-2857После недавнего выхода из песочницы Chrome (CVE-2025-2783) различные разработчики Firefox выявили аналогичный шаблон в нашем коде IPC. Скомпрометированный дочерний процесс может привести к тому, что родительский процесс вернёт случайно мощный дескриптор, что приведёт к выходу из песочницы.
Исходная уязвимость эксплуатировалась в дикой природе.
*Эта проблема затрагивает только Firefox на Windows. Другие операционные системы не затронуты.* Эта уязвимость затрагивает Firefox < 136.0.4, Firefox ESR < 128.8.1 и Firefox ESR < 115.21.1.
CVE-2025-23202Bible Module - это инструмент, предназначенный для разработчиков ROBLOX для интеграции функциональности Библии в их игры. Функции `FetchVerse` и `FetchPassage` в Bible Module подвержены инъекции из-за отсутствия проверки входных данных. Эта уязвимость может позволить злоумышленнику манипулировать URL запросов API, что потенциально приведет к несанкционированному доступу или изменениям данных. Эта проблема была решена в версии 0.0.3. Всем пользователям рекомендуется обновиться. Неизвестны обходные пути для этой уязвимости.
CVE-2025-20393Выполнение произвольного кода в Cisco Secure Email Gateway And Cisco Secure Email and Web Manager
CVE-2025-14988A security issue has been identified in ibaPDA that could allow unauthorized actions on the file system under certain conditions. This may impact the confidentiality, integrity, or availability of the system.
CVE-2025-12285Missing Initial Password Change.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2025-12275Mail Configuration File Manipulation + Command Execution.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2025-12004Неправильное назначение прав доступа к критическому ресурсу в расширении Lockdown MediaWiki фонда Викимедиа, позволяющее злоупотребление привилегиями. Уязвимость заключается в том, что модуль Action API compare (ApiComparePages) не вызывает authorizeRead('read', $page) и поэтому не проверяет обычные права чтения. В результате любой пользователь с правом «read» может получить содержимое защищённых страниц через запрос api.php?action=compare… [1]. Проблема обнаружена в расширении Lockdown, но фактической причиной является отсутствие проверки в ядре MediaWiki. Исправление реализовано в ядре MediaWiki (Action API) и включает вызов authorizeRead, а также аналогичная проверка выполнена в REST‑endpoint CompareHandler [2]. Патч был применён к веткам REL1_42, REL1_43, REL1_44 и master (см. Gerrit).\nИсточники:\n- [1] https://phabricator.wikimedia.org/T397521\n- [2] https://gerrit.wikimedia.org/r/q/Id275382743957004fa7fc56318fc104d8e2d267b
Совпадений нет — уточните фильтр.