BolhaSec News #29 - 15/12/2024 a 21/12/2024

LLMs estão ensinando desenvolvedores a usar chaves de API hardcoded: pesquisadores da Trufflesecurity analisaram 10 LLMs e descobriram que a maioria delas recomenda usar senhas e API keys hardcoded no código. Esse comportamento se estende a ferramentas como VS Code, ChatGPT e outros assistentes de codificação em IA amplamente utilizados. O risco é que Programadores inexperientes (seniors de 2 anos) podem seguir esses conselhos cegamente, sem saber que estão introduzindo falhas de segurança graves. +Info +Bluesky

RCE no Apache Tomcat: Essa semana, a Apache Foundation publicou atualizações de segurança para corrigir duas vulnerabilidades no Apache Tomcat. A primeira, identificada como CVE-2024-50379 (CVSS 9.8), é uma Race Condition Time-of-check Time-of-use (TOCTOU) que leva a execução remota de código (RCE) em sistemas de arquivos que i) não diferenciam maiúsculas de minúsculas; ii) o servlet padrão está habilitado para escrita. A segunda é uma vulnerabilidade média, CVE-2024-54677 (CVSS 5.3), é uma negação de serviço (DoS) que pode ser utilizada para causar um OutOfMemoryError. O fix é atualizar para as versões mais recentes, como Apache Tomcat 11.0.2 ou posterior, 10.1.34 ou posterior, e 9.0.98 ou posterior. +Info

RCE no Craft CMS: ok, essa é a leitura obrigatória de fim de ano hein 🤣. Mais um grande report da Assetnote. Dessa vez, revelando um execução remota de código em um dos mais populares CMSs em PHP. A vulnerabilidade recebeu o código CVE-2024-56145 (CVSS 9.3) e o fix é update para as últimas versões: 3.9.14, 4.13.2 e 5.5.2. “Ok, mas como funciona essa vuln?” você me pergunta. Eu sugiro fortemente a leitura do post, mas ela nasce numa confusão entre a execução do PHP como CLI vs web server. Mais especificamente no tratamento do $_SERVER['argv'] 🌚. Os autores ainda combinaram essa “confusão” com template injection para alcançar o RCE. +Info

Pedindo McDonald por $0.01 (na Índia): essa semana, foi publicado um report muito interessante e detalhado sobre vulnerabilidades bem graves encontradas no sistema McDelivery da McDonald India. Resumo do report é BOLA pra todo lado e Mass Assignment pra fechar com chave de ouro. O report é bem escrito e detalhado, ideal como material de estudo. Infelizmente, o pesquisador recebeu só uma recompensa de $240 em Amazon gift card 😢, apesar de ter conseguido fazer pedidos por $0.01 USD. +Info

É isso pessoal. Essa foi a última edição de 2024 (a não ser que algo catastrófico aconteça).

Em 2025 voltamos.

BTW, o link da newsleter mudou para https://newsletter.bolhasec.com/ 
Não esqueçam de compartilhar 👍