Sigurnosno upozorenje: MongoDB ranjivost (CVE-2025-14847)
Dana 19. prosinca 2025. MongoDB je javno objavio MongoBleed, sigurnosnu ranjivost (CVE-2025-14847) koja omogućuje neautentificiranim napadačima curenje osjetljive heap memorije iskorištavanjem problema povjerenja u načinu na koji MongoDB Server obrađuje mrežne poruke komprimirane pomoću zliba. Ova ranjivost javlja se prije autentifikacije, što znači da je napadaču potreban samo mrežni pristup zadanom portu baze podataka kako bi je iskoristio.
Izvor: Palo Alto Networks Unit 42

Fortinet zakrpa kritičnu FortiSIEM ranjivost koja omogućuje neautentificirano udaljeno izvršavanje koda
Fortinet je objavio nadogradnje koje ispravljaju kritičnu sigurnosnu ranjivost u FortiSIEM-u, a koja bi mogla omogućiti neautentificiranom napadaču izvršavanje koda na pogođenim instancama. Ranjivost ubrizgavanja naredbi operacijskog sustava, praćena pod oznakom CVE-2025-64155, ocijenjena je s 9,4 od mogućih 10,0 prema CVSS sustavu. „Neispravna neutralizacija posebnih elemenata korištenih u OS naredbi (‘OS command injection’) [CWE-78] u FortiSIEM-u može omogućiti neautentificiranom napadaču izvršavanje neautoriziranog koda ili naredbi putem posebno oblikovanih TCP zahtjeva”, navela je tvrtka u svom priopćenju.
Izvor: The Hacker News

Kritična Node.js ranjivost može uzrokovati padove poslužitelja putem async_hooks stack overflowa
Node.js je objavio nadogradnje za ispravak kritičnog sigurnosnog problema koji, prema navodima, pogađa „gotovo svaku produkcijsku Node.js aplikaciju” i koji, ako se uspješno iskoristi, može izazvati uskraćivanje usluge (DoS). „Node.js/V8 ulaže najbolji mogući napor da se oporavi od iscrpljivanja prostora stoga uz hvatanje greške, na što su se frameworksi oslanjali radi dostupnosti usluge”, izjavili su Matteo Collina i Joyee Cheung iz Node.js tima u službenom biltenu.
Izvor: The Hacker News

Microsoft siječanj 2026 Patch Tuesday: ispravljeno 115 ranjivosti
Microsoft je objavio svoj prvi Patch Tuesday u 2026. godini, donoseći velik broj sigurnosnih zakrpa za zaštitu korisnika od različitih digitalnih prijetnji. Ovog mjeseca tehnološki gigant riješio je 115 ranjivosti, od kojih se osam smatra kritičnima, što predstavlja najvišu razinu rizika, dok je 106 označeno kao važno. Siječanjska ažuriranja obuhvaćaju sve, od Windowsa 11 i Microsoft Officea do preglednika Edge.
Izvor: Hackread

„Nepouzdana zaklada”: ciljani kibernetički napadi UAC-0190 protiv SOU-a uz korištenje PLUGGYAPE alata
Tijekom razdoblja od listopada do prosinca 2025., Nacionalni tim za odgovor na kibernetičke incidente, kibernetičke napade i prijetnje CERT-UA, u suradnji s Timom za odgovor na kibernetičke incidente Oružanih snaga Ukrajine (vojna jedinica A0334), proveo je istrage niza ciljanih kibernetičkih napada protiv pripadnika Obrambenih snaga Ukrajine. Napadi su provođeni pod krinkom aktivnosti dobrotvornih zaklada korištenjem softverskog alata PLUGGYAPE. Na temelju određenih obilježja, aktivnosti su s umjerenom razinom pouzdanosti povezane s djelovanjem grupe poznate kao Void Blizzard (Laundry Bear), za čije se praćenje koristi identifikator UAC-0190. U sklopu napada, mete se putem aplikacija za razmjenu poruka potiče da posjete web stranicu koja imitira stranicu navodne dobrotvorne zaklade, s koje im se nudi preuzimanje „dokumenata” – izvršnih datoteka, najčešće smještenih u arhivi zaštićenoj lozinkom.
Izvor: CERT-UA