🔵 عنوان مقاله
Critical Vulnerability in Salesforce AgentForce Exposed (2 minute read)
🟢 خلاصه مقاله:
** محققان Noma Security یک آسیبپذیری بحرانی با امتیاز CVSS 9.4 در AgentForce متعلق به Salesforce شناسایی کردند که امکان افشای داده از طریق indirect prompt injection را فراهم میکرد. مهاجم میتوانست دستورهای مخفی را در Web-to-Lead قرار دهد تا بهعنوان داده مشتری ذخیره شود و هنگام پرسوجوی بعدی کاربر از AgentForce، این دستورها اجرا شده و به افشای اطلاعات منجر شوند. Salesforce با اعمال Trusted URLs و ایمنسازی مجدد یک دامنه منقضیشده این مشکل را برطرف کرد. این مورد نشان میدهد ورودیهای غیرقابلاعتماد در جریانهای کاری مبتنی بر هوش مصنوعی میتوانند خطرناک باشند و نیاز به کنترلهای فنی و آگاهی کاربران وجود دارد.
#Salesforce #AgentForce #PromptInjection #AIsecurity #DataExfiltration #CVSS #WebSecurity #NomaSecurity
🟣لینک مقاله:
https://www.infosecurity-magazine.com/news/critical-flaw-salesforce-agentforce/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Critical Vulnerability in Salesforce AgentForce Exposed (2 minute read)
🟢 خلاصه مقاله:
** محققان Noma Security یک آسیبپذیری بحرانی با امتیاز CVSS 9.4 در AgentForce متعلق به Salesforce شناسایی کردند که امکان افشای داده از طریق indirect prompt injection را فراهم میکرد. مهاجم میتوانست دستورهای مخفی را در Web-to-Lead قرار دهد تا بهعنوان داده مشتری ذخیره شود و هنگام پرسوجوی بعدی کاربر از AgentForce، این دستورها اجرا شده و به افشای اطلاعات منجر شوند. Salesforce با اعمال Trusted URLs و ایمنسازی مجدد یک دامنه منقضیشده این مشکل را برطرف کرد. این مورد نشان میدهد ورودیهای غیرقابلاعتماد در جریانهای کاری مبتنی بر هوش مصنوعی میتوانند خطرناک باشند و نیاز به کنترلهای فنی و آگاهی کاربران وجود دارد.
#Salesforce #AgentForce #PromptInjection #AIsecurity #DataExfiltration #CVSS #WebSecurity #NomaSecurity
🟣لینک مقاله:
https://www.infosecurity-magazine.com/news/critical-flaw-salesforce-agentforce/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Infosecurity Magazine
Critical Vulnerability in Salesforce AgentForce Exposed
Critical flaw ForcedLeak in Salesforce's AgentForce allows CRM data theft via prompt injection
❤1
🔵 عنوان مقاله
Redis Warns of Critical Flaw Impacting Thousands of Instances (2 minute read)
🟢 خلاصه مقاله:
Redis یک آسیبپذیری بحرانی با امتیاز CVSS 10.0 را وصله کرده که میتواند به اجرای کد از راه دور (RCE) منجر شود. ریشه مشکل یک نقص ۱۳ ساله از نوع use-after-free است که توسط مهاجمِ دارای دسترسی معتبر و از طریق یک اسکریپت Lua ویژه قابل سوءاستفاده است. Redis توصیه میکند فوراً وصلهها اعمال شوند و برای کاهش ریسک، احراز هویت فعال شود، Lua scripting و فرمانهای غیرضروری غیرفعال شوند و دسترسی شبکهای محدود گردد. همچنین پایش فعالیتهای مشکوک Lua، استفاده از ACLهای سختگیرانه و چرخش گذرواژهها در صورت ظن به نفوذ پیشنهاد میشود.
#Redis #Security #Vulnerability #RCE #Lua #CVSS #PatchManagement #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Redis Warns of Critical Flaw Impacting Thousands of Instances (2 minute read)
🟢 خلاصه مقاله:
Redis یک آسیبپذیری بحرانی با امتیاز CVSS 10.0 را وصله کرده که میتواند به اجرای کد از راه دور (RCE) منجر شود. ریشه مشکل یک نقص ۱۳ ساله از نوع use-after-free است که توسط مهاجمِ دارای دسترسی معتبر و از طریق یک اسکریپت Lua ویژه قابل سوءاستفاده است. Redis توصیه میکند فوراً وصلهها اعمال شوند و برای کاهش ریسک، احراز هویت فعال شود، Lua scripting و فرمانهای غیرضروری غیرفعال شوند و دسترسی شبکهای محدود گردد. همچنین پایش فعالیتهای مشکوک Lua، استفاده از ACLهای سختگیرانه و چرخش گذرواژهها در صورت ظن به نفوذ پیشنهاد میشود.
#Redis #Security #Vulnerability #RCE #Lua #CVSS #PatchManagement #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Redis warns of critical flaw impacting thousands of instances
The Redis security team has released patches for a maximum severity vulnerability that could allow attackers to gain remote code execution on thousands of vulnerable instances.