Sigurnosne vijesti tjedna [05/26-3]
PAN-OS nulti dan pod aktivnom eksploatacijom daje root pristup firewallima
Palo Alto Networks potvrdio je aktivnu eksploataciju CVE-2026-0300 u PAN-OS Captive Portal komponenti. Propust omogućuje neautentificirano udaljeno izvršavanje koda s root ovlastima na izloženim firewallima, što ga čini jednim od najhitnijih perimetarskih rizika u ovom ciklusu.
Izvor: Palo Alto Networks
Cisco SD-WAN propust za zaobilaženje autentifikacije aktivno se iskorištava
Cisco Talos izvijestio je o tekućoj eksploataciji CVE-2026-20182 u Catalyst SD-WAN kontrolerima. Uspješan napad omogućuje udaljenom napadaču zaobilaženje prijave i dobivanje administratorskih ovlasti, a propust je već dodan u CISA KEV katalog.
Izvor: Cisco Talos
Kritična cPanel ranjivost iskorištava se protiv državnih i MSP okruženja
Napadači su vrlo brzo nakon objave počeli iskorištavati CVE-2026-41940 u cPanel i WHM sustavima. Aktivnost je zahvatila državna, vojna, hosting i managed service provider okruženja, što pokazuje koliko je brzo authentication bypass propust pretvoren u stvarne operacije.
Izvor: The Hacker News
DigiCert je opozvao lažno izdane certifikate nakon proboja internog portala
DigiCert je opozvao certifikate do kojih su napadači došli nakon kompromitacije support sustava i prodora u interni portal povezan s obradom certifikata. Incident je posebno važan jer uključuje EV code signing certifikate i izravno pogađa povjerenje u procese izdavanja i potpisivanja softvera.
Izvor: SecurityWeek
Copy Fail Linux root propust prešao je u stvarnu eksploataciju
CVE-2026-31431, poznat kao Copy Fail, prešao je iz objave u potvrđenu eksploataciju i dodan je u CISA KEV katalog. Propust pogađa glavne Linux distribucije i lokalnom napadaču može omogućiti podizanje ovlasti do root razine.
Izvor: SecurityWeek
NGINX CVE-2026-42945 već se iskorištava u stvarnim napadima
Napadači ciljaju CVE-2026-42945, heap buffer overflow u NGINX rewrite modulu, samo nekoliko dana nakon javne objave. Propust može rušiti worker procese, a u nekim konfiguracijama može omogućiti i udaljeno izvršavanje koda na internetom izloženim sustavima.
Izvor: The Hacker News
Mini Shai Hulud pogodio je više od 320 npm paketa
Nova Mini Shai Hulud supply chain kampanja zahvatila je više od 320 npm paketa, zajedno s GitHub Actions komponentama i jednom VS Code ekstenzijom. Kompromitacija se širila kroz povjerenje u maintainere i downstream ovisnosti, čime se utjecaj proširio na developerska i CI okruženja.
Izvor: SecurityWeek
GitHub je potvrdio proboj u 3.800 repozitorija preko zlonamjerne VS Code ekstenzije
GitHub je objavio da je približno 3.800 internih repozitorija bilo dostupno nakon kompromitacije uređaja jednog zaposlenika preko trojanizirane VS Code ekstenzije. Slučaj pokazuje da developerski alati i dalje predstavljaju izravan put do internih okruženja visoke vrijednosti.
Izvor: BleepingComputer
OpenAI je potvrdio interni utjecaj TanStack supply chain napada
OpenAI je objavio da su dva uređaja zaposlenika bila pogođena širom TanStack i Mini Shai Hulud kampanjom. Tvrtka je navela da nema dokaza o utjecaju na korisničke podatke, produkcijske sustave, intelektualno vlasništvo ili objavljeni softver, ali je ipak preventivno rotirala certifikate.
Izvor: OpenAI
Checkmarx Jenkins AST plugin kompromitiran je u supply chain napadu
Checkmarx je upozorio da je zlonamjerna verzija njegova Jenkins AST plugina objavljena na Jenkins Marketplaceu. Problem je važan zato što se plugin koristi izravno u build i scanning procesima, pa kompromitacija pogađa vjerodajnice i CI workflowe.
Izvor: SecurityWeek
DAEMON Tools Lite supply chain napad potvrdio je sam vendor
DAEMON Tools potvrdio je neovlašteno zadiranje u svoju build infrastrukturu nakon što su kompromitirani instaleri distribuirani sa službene stranice. Potpisani instalacijski paketi pouzdanog proizvođača pretvoreni su u kanal za isporuku malwarea, što ovaj slučaj čini jasnim supply chain incidentom.
Izvor: DAEMON Tools
JDownloader stranica hakirana je za distribuciju Python RAT instalera
Službena JDownloader stranica bila je kompromitirana i korisnike je preusmjeravala na zlonamjerne Windows i Linux instalere, pri čemu je Windows varijanta isporučivala Python RAT. Još jednom se pokazalo da su download portali visoko vrijedna meta za zamjenu legitimnih instalera zlonamjernima.
Izvor: BleepingComputer
Instructure je postigao dogovor nakon incidenta s krađom Canvas podataka
Instructure je objavio da je postigao dogovor s akterom iza incidenta kako bi spriječio objavu ukradenih podataka. Slučaj je i dalje vrlo važan zbog opsega pogođenih škola i sveučilišta te osjetljivosti izloženih obrazovnih podataka.
Izvor: The Hacker News
Drupal kritičan SQL injection propust sada je meta stvarnih napada
Drupal je upozorio da napadači pokušavaju iskorištavati CVE-2026-9082, vrlo kritičan SQL injection problem koji pogađa PostgreSQL implementacije. Projekt je već ranije upozorio da bi eksploatacija mogla početi unutar sati ili dana, a ti pokušaji sada su potvrđeni.
Izvor: BleepingComputer
Kritičan Ollama propust može izložiti 300.000 AI implementacija krađi tajni
Istraživači su upozorili da kritična neautentificirana ranjivost u Ollami može otkriti promptove, poruke, API ključeve, tokene i druge osjetljive podatke iz približno 300.000 implementacija. Budući da se Ollama široko koristi kao self hosted inference engine, problem ima izravnu važnost za stvarna enterprise AI okruženja.
Izvor: SecurityWeek
Palo Alto Networks potvrdio je aktivnu eksploataciju CVE-2026-0300 u PAN-OS Captive Portal komponenti. Propust omogućuje neautentificirano udaljeno izvršavanje koda s root ovlastima na izloženim firewallima, što ga čini jednim od najhitnijih perimetarskih rizika u ovom ciklusu.
Izvor: Palo Alto Networks
Cisco SD-WAN propust za zaobilaženje autentifikacije aktivno se iskorištava
Cisco Talos izvijestio je o tekućoj eksploataciji CVE-2026-20182 u Catalyst SD-WAN kontrolerima. Uspješan napad omogućuje udaljenom napadaču zaobilaženje prijave i dobivanje administratorskih ovlasti, a propust je već dodan u CISA KEV katalog.
Izvor: Cisco Talos
Kritična cPanel ranjivost iskorištava se protiv državnih i MSP okruženja
Napadači su vrlo brzo nakon objave počeli iskorištavati CVE-2026-41940 u cPanel i WHM sustavima. Aktivnost je zahvatila državna, vojna, hosting i managed service provider okruženja, što pokazuje koliko je brzo authentication bypass propust pretvoren u stvarne operacije.
Izvor: The Hacker News
DigiCert je opozvao lažno izdane certifikate nakon proboja internog portala
DigiCert je opozvao certifikate do kojih su napadači došli nakon kompromitacije support sustava i prodora u interni portal povezan s obradom certifikata. Incident je posebno važan jer uključuje EV code signing certifikate i izravno pogađa povjerenje u procese izdavanja i potpisivanja softvera.
Izvor: SecurityWeek
Copy Fail Linux root propust prešao je u stvarnu eksploataciju
CVE-2026-31431, poznat kao Copy Fail, prešao je iz objave u potvrđenu eksploataciju i dodan je u CISA KEV katalog. Propust pogađa glavne Linux distribucije i lokalnom napadaču može omogućiti podizanje ovlasti do root razine.
Izvor: SecurityWeek
NGINX CVE-2026-42945 već se iskorištava u stvarnim napadima
Napadači ciljaju CVE-2026-42945, heap buffer overflow u NGINX rewrite modulu, samo nekoliko dana nakon javne objave. Propust može rušiti worker procese, a u nekim konfiguracijama može omogućiti i udaljeno izvršavanje koda na internetom izloženim sustavima.
Izvor: The Hacker News
Mini Shai Hulud pogodio je više od 320 npm paketa
Nova Mini Shai Hulud supply chain kampanja zahvatila je više od 320 npm paketa, zajedno s GitHub Actions komponentama i jednom VS Code ekstenzijom. Kompromitacija se širila kroz povjerenje u maintainere i downstream ovisnosti, čime se utjecaj proširio na developerska i CI okruženja.
Izvor: SecurityWeek
GitHub je potvrdio proboj u 3.800 repozitorija preko zlonamjerne VS Code ekstenzije
GitHub je objavio da je približno 3.800 internih repozitorija bilo dostupno nakon kompromitacije uređaja jednog zaposlenika preko trojanizirane VS Code ekstenzije. Slučaj pokazuje da developerski alati i dalje predstavljaju izravan put do internih okruženja visoke vrijednosti.
Izvor: BleepingComputer
OpenAI je potvrdio interni utjecaj TanStack supply chain napada
OpenAI je objavio da su dva uređaja zaposlenika bila pogođena širom TanStack i Mini Shai Hulud kampanjom. Tvrtka je navela da nema dokaza o utjecaju na korisničke podatke, produkcijske sustave, intelektualno vlasništvo ili objavljeni softver, ali je ipak preventivno rotirala certifikate.
Izvor: OpenAI
Checkmarx Jenkins AST plugin kompromitiran je u supply chain napadu
Checkmarx je upozorio da je zlonamjerna verzija njegova Jenkins AST plugina objavljena na Jenkins Marketplaceu. Problem je važan zato što se plugin koristi izravno u build i scanning procesima, pa kompromitacija pogađa vjerodajnice i CI workflowe.
Izvor: SecurityWeek
DAEMON Tools Lite supply chain napad potvrdio je sam vendor
DAEMON Tools potvrdio je neovlašteno zadiranje u svoju build infrastrukturu nakon što su kompromitirani instaleri distribuirani sa službene stranice. Potpisani instalacijski paketi pouzdanog proizvođača pretvoreni su u kanal za isporuku malwarea, što ovaj slučaj čini jasnim supply chain incidentom.
Izvor: DAEMON Tools
JDownloader stranica hakirana je za distribuciju Python RAT instalera
Službena JDownloader stranica bila je kompromitirana i korisnike je preusmjeravala na zlonamjerne Windows i Linux instalere, pri čemu je Windows varijanta isporučivala Python RAT. Još jednom se pokazalo da su download portali visoko vrijedna meta za zamjenu legitimnih instalera zlonamjernima.
Izvor: BleepingComputer
Instructure je postigao dogovor nakon incidenta s krađom Canvas podataka
Instructure je objavio da je postigao dogovor s akterom iza incidenta kako bi spriječio objavu ukradenih podataka. Slučaj je i dalje vrlo važan zbog opsega pogođenih škola i sveučilišta te osjetljivosti izloženih obrazovnih podataka.
Izvor: The Hacker News
Drupal kritičan SQL injection propust sada je meta stvarnih napada
Drupal je upozorio da napadači pokušavaju iskorištavati CVE-2026-9082, vrlo kritičan SQL injection problem koji pogađa PostgreSQL implementacije. Projekt je već ranije upozorio da bi eksploatacija mogla početi unutar sati ili dana, a ti pokušaji sada su potvrđeni.
Izvor: BleepingComputer
Kritičan Ollama propust može izložiti 300.000 AI implementacija krađi tajni
Istraživači su upozorili da kritična neautentificirana ranjivost u Ollami može otkriti promptove, poruke, API ključeve, tokene i druge osjetljive podatke iz približno 300.000 implementacija. Budući da se Ollama široko koristi kao self hosted inference engine, problem ima izravnu važnost za stvarna enterprise AI okruženja.
Izvor: SecurityWeek