Kritična ranjivost za bijeg iz sandboxa otkrivena u popularnoj vm2 NodeJS biblioteci
Kritična ranjivost u vm2 Node.js sandbox biblioteci, praćena pod oznakom CVE-2026-22709, omogućuje bijeg iz sandboxa i izvršavanje proizvoljnog koda na podložnom host sustavu. Open-source vm2 biblioteka stvara sigurno okruženje za izvršavanje nepouzdanog JavaScript koda bez pristupa datotečnom sustavu. Povijesno se koristila u SaaS platformama koje podržavaju izvršavanje korisničkih skripti, online alatima za pokretanje koda, chatbotovima i open-source projektima, s primjenom u više od 200.000 GitHub projekata. Projekt je ukinut 2023. godine zbog ponovljenih sandbox escape ranjivosti te se smatra nesigurnim za izvršavanje nepouzdanog koda.
Izvor: BleepingComputer

Fortinet blokira aktivno iskorištavani FortiCloud SSO zero-day dok se ne objavi zakrpa
Fortinet je potvrdio novu kritičnu zero-day ranjivost zaobilaženja autentikacije u FortiCloud single sign-on (SSO) mehanizmu, praćenu pod oznakom CVE-2026-24858, koja se aktivno iskorištava. Tvrtka navodi da je ublažila napade blokiranjem FortiCloud SSO veza s uređaja koji koriste ranjive verzije firmwarea. Propust omogućuje napadačima zloupotrebu FortiCloud SSO-a za stjecanje administratorskog pristupa FortiOS, FortiManager i FortiAnalyzer uređajima registriranima na druge korisnike, čak i kada su ti uređaji bili u potpunosti zakrpani protiv prethodno objavljene ranjivosti.
Izvor: BleepingComputer

CISA dodaje pet aktivno iskorištavanih ranjivosti u KEV katalog
CISA je dodala pet novih ranjivosti u svoj katalog Known Exploited Vulnerabilities (KEV) na temelju dokaza o aktivnom iskorištavanju. Novo dodani propusti uključuju ranjivosti koje pogađaju Linux kernel, Microsoft Office, GNU InetUtils i SmarterTools SmarterMail, što dodatno naglašava kontinuirano iskorištavanje dugogodišnjih i nedavno otkrivenih slabosti u široko korištenom softveru.
Izvor: CISA

Istraga međunarodne “ATM jackpotting” sheme rezultirala dodatnim optužnicama
Savezni veliki porotni sud u okrugu Nebraska podigao je dodatnu optužnicu protiv 31 osobe zbog njihove uloge u velikoj zavjeri usmjerenoj na implementaciju malwarea i krađu milijuna dolara s bankomata u Sjedinjenim Američkim Državama, poznatoj kao “ATM jackpotting”. Prethodno je već bilo optuženo 56 osoba. Slučaj uključuje državljane Venezuele i Kolumbije, uključujući pripadnike skupine Tren de Aragua, te obuhvaća optužbe za zavjeru radi bankovne prijevare, provale u banke, računalne prijevare i nanošenje štete zaštićenim računalnim sustavima.
Izvor: U.S. Department of Justice

Povreda podataka u SoundCloudu izložila e-mail adrese milijuna korisnika
U prosincu 2025. SoundCloud je objavio da je otkrio neautoriziranu aktivnost koja je napadačima omogućila povezivanje javno dostupnih podataka profila s e-mail adresama za približno 20% korisnika. Izloženi podaci uključivali su desetke milijuna e-mail adresa, korisnička imena i povezane metapodatke profila. Napadači su naknadno pokušali ucjenu prije nego što su sljedećeg mjeseca javno objavili skup podataka.
Izvor: BleepingComputer