Aggregator

A vulnerability was found in AncoraThemes Notarius Plugin up to 1.9 on WordPress. It has been classified as critical. This affects an unknown function. Performing a manipulation results in improper control of filename for include/require statement in php program ('php remote file inclusion'). This vulnerability is reported as CVE-2026-28124. The attack is possible to be carried out remotely. No exploit exists.

A vulnerability was found in AncoraThemes Midi Plugin up to 1.14 on WordPress. It has been declared as critical. This impacts an unknown function. Executing a manipulation can lead to improper control of filename for include/require statement in php program ('php remote file inclusion'). This vulnerability appears as CVE-2026-28125. The attack may be performed from remote. There is no available exploit.

A vulnerability described as problematic has been identified in sizam RH Frontend Publishing Pro Plugin up to 4.3.2 on WordPress. The impacted element is an unknown function. The manipulation results in cross site scripting. This vulnerability was named CVE-2026-28126. The attack may be performed from remote. There is no available exploit.

A vulnerability categorized as problematic has been discovered in e-plugins Lawyer Directory Plugin up to 1.3.2 on WordPress. The affected element is an unknown function. Executing a manipulation can lead to cross site scripting. This vulnerability appears as CVE-2026-28127. The attack may be performed from remote. There is no available exploit.

HackerNews 编译，转载请注明出处： 一套此前未公开、包含 23 个 iOS 漏洞利用代码的工具集 “Coruna”，已被多个威胁组织用于定向间谍活动和以牟利为目的的攻击。 Coruna 套件包含5 条完整 iOS 漏洞利用链，其中最复杂的利用非公开技术和防护绕过手段，支持 iOS 13.0 至 17.2.1（2023 年 12 月发布）。 谷歌威胁情报小组（GTIG）研究人员于 2025 年 2 月首次观察到与 Coruna 相关的活动，该活动归属于某监控软件厂商的客户。 当时，研究人员获取了其 JS 投递框架以及针对 CVE-2024-23222 的利用代码，该漏洞是可在 iOS 17.2.1 实现远程代码执行（RCE）的 WebKit 漏洞。苹果已于 2024 年 1 月 22 日在 iOS 17.3 修复该漏洞，此前该漏洞曾被用于 0day 攻击。 同年夏季再次发现同一混淆框架，被疑似俄罗斯网络间谍组织 UNC6353 用于水坑攻击，针对访问被攻陷乌克兰网站的 iPhone 用户，这些网站涉及电商、工业设备、零售工具与本地服务。 Coruna 套件投放时间线（来源：谷歌） Coruna 漏洞套件能力 GTIG 分析师在 2025 年底获取完整套件后发现，其包含 5 条完整利用链，共使用 23 个漏洞，包括： ·     WebKit 远程代码执行 ·     指针认证码（PAC）绕过 ·     沙箱逃逸 ·     内核提权 ·     页面保护层（PPL）绕过 “这些漏洞利用代码附带详尽文档，包括英文母语者编写的文档字符串与注释。最先进的利用代码使用了非公开漏洞利用技术与防护绕过手段。”GTIG 研究人员表示。 部分利用代码复用了三角行动（Operation Triangulation） 中首次发现的漏洞，该行动于 2023 年 6 月由卡巴斯基曝光。该公司后续发现，这些利用代码滥用了苹果设备中未公开的硬件特性。 据 GTIG 研究人员介绍，Coruna 会对设备与系统版本进行指纹识别，然后选择对应的利用链执行。如果设备开启了锁定模式（Lockdown Mode） 反间谍保护或隐私浏览，该框架会停止运行。 适用于 iOS 15.8.5 的 Coruna 利用链（来源：谷歌） 投放 PlasmaGrid 恶意程序 GTIG 分析发现，Coruna 利用链成功后投放的最终载荷之一是名为 PlasmaLoader 的加载器，研究人员将其追踪为 PlasmaGrid，该恶意程序会注入到 iOS 根守护进程 powerd 中。 但该恶意程序并不具备典型间谍软件的功能。它会从 C2 服务器下载额外模块，针对 MetaMask、Phantom、Exodus、BitKeep、Uniswap 等加密货币钱包应用。 威胁组织使用虚假金融与加密货币相关网站投递漏洞套件，诱导访客使用 iOS 设备访问页面。 目标数据包括钱包助记词（BIP39）、“备份助记词”“银行账户” 等敏感字符串，以及存储在苹果备忘录中的数据。 窃取的数据会使用 AES 加密后外传，发送到硬编码的 C2 地址。为提高抗关停能力，该后门还包含以字符串 “lazarus” 为种子的域名生成算法（DGA），生成 .xyz 域名。 GTIG 无法确定 Coruna 如何从服务于监控厂商的间谍活动，流向针对加密货币用户的牟利型恶意活动。 GTIG 在报告中指出：“扩散途径尚不明确，但表明存在活跃的‘二手’0day 漏洞交易市场。” 监控厂商对 Coruna 这类漏洞套件实施严格权限管控，用于为政府客户提供高度定向行动的产品中。苹果一贯表示，此类安全漏洞仅被用于针对高价值目标的有限攻击。 移动安全公司 iVerify 表示，Coruna 是迄今为止最典型的案例之一，证明 “高级间谍软件级能力” 从商业监控厂商流向国家级攻击者，并最终落入大规模犯罪活动手中。 这印证了 iVerify 长期以来的观点：移动威胁格局正在快速演变，“曾经仅用于针对国家元首的工具，现在正被用于攻击普通 iPhone 用户。” 谷歌已将分析 Coruna 时识别的所有网站与域名加入安全浏览名单，并建议 iOS 用户升级到最新版本。若无法更新，建议开启锁定模式（Lockdown Mode）。 除了 Coruna 漏洞套件包含的漏洞及其代号外，GTIG 报告还提供了后门与相关模块的失陷指标（IOC），以及攻击基础设施信息。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了网络犯罪论坛 LeakBase，该论坛是网络犯罪分子买卖黑客工具和被盗数据的主要平台。 此次查封行动是由欧洲刑警组织协调的国际联合行动 “Leak 行动” 的一部分，共有 14 个国家的执法机构参与。 3 月 3 日至 4 日，FBI 与执法人员查封了 LeakBase 的两个域名、张贴查封公告，并在收集更多证据后向该论坛成员发出警告。 美方及澳大利亚、比利时、波兰、葡萄牙、罗马尼亚、西班牙、英国等国警方执行了搜查令、实施逮捕并进行问询。 LeakBase 域名（leakbase [.] la）现已显示公告：“本网站已由美国联邦调查局（FBI）在国际执法行动中查封。” 查封公告同时指出，该论坛数据库及所有内容（包括 IP 日志和私信）将作为证据用于后续调查。 公告称：“论坛所有内容，包括用户账号、帖子、积分信息、私信和 IP 日志均已固定并保存，用于取证。任何试图访问、修改或干扰本网站的行为都可能构成额外刑事犯罪。本次行动得益于国际执法部门及私营部门的协作，合作伙伴如下。” LeakBase 查封公告（来源：BleepingComputer） 该域名的 DNS 服务器已切换为 ns1.fbi.seized.gov 和 ns2.fbi.seized.gov，为 FBI 查封域名时使用的官方服务器。 欧洲刑警组织表示：“3 月 3 日，执法部门在多国司法管辖区开展协同行动，包括逮捕、入户搜查和上门约谈。全球共开展约 100 次执法行动，针对平台 37 名最活跃用户采取措施。” “3 月 4 日，当局进入技术关停阶段，查封论坛域名并替换为执法公告页面。行动现已进入预防阶段，旨在震慑后续犯罪活动，并警示参与网络犯罪的后果。” LeakBase 自 2021 年运营，由 ARES 威胁组织支持创立；在 Breached 黑客论坛关闭后，其用户量逐步增长至 14.2 万以上。 该论坛免费注册，提供数据库访问、数据泄露交易、漏洞利用工具及各类黑产服务，并支持担保交易。此外，论坛还设有编程、黑客技巧、社会工程学、密码学和操作安全（OPSEC）教程板块。 本次行动前，美方已先后在 2022 年打掉 RaidForums、2023 年打掉 BreachForums 两大同类网络犯罪平台，并在 2025 年对 BreachForums 创始人完成定罪判刑。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客于周二在一个网络犯罪论坛上宣布了此次入侵。根据其声明，他们曾试图向 LexisNexis 勒索但未成功。 LexisNexis 法律与专业解决方案部门代表在向媒体发布的声明中表示，尽管攻击者确实获取了部分服务器的访问权限，但受影响系统主要存储 2020 年之前的旧版及废弃数据。 该公司已确认，客户姓名、用户 ID、商务联系方式、客户调查受访者 IP 地址以及支持工单等信息已遭泄露。 公司表示：“LexisNexis 法律与专业解决方案部门已对一起安全事件展开调查，根据目前的调查与检测，我们认为事件已得到控制。没有证据表明我们的产品和服务遭到入侵或受到影响。” 黑客称，他们利用了 React2Shell 漏洞以及安全配置不当的 AWS 实例，访问并窃取了超过 2GB 的数据。据称此次网络攻击发生于上周。 威胁组织声称获取了数百万条数据记录，包括企业账户数据、员工凭证、软件开发密钥，以及 40 万人的个人信息，其中包括 100 余名使用 .gov 邮箱地址的人员。泄露的个人信息包括姓名、电话号码、电子邮箱地址和职务。 这并非 LexisNexis 近年来首次遭遇数据泄露。LexisNexis 风险解决方案部门去年证实，2024 年一起第三方入侵事件导致超过 36 万人的信息被盗。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科修复了两个高危 Secure FMC 漏洞，攻击者可利用其获取受管理防火墙的 root 权限。 思科修复了其 Secure Firewall Management Center（FMC）中的两个最高危漏洞，可导致攻击者获取 root 权限。思科 Secure FMC 是用于思科防火墙的集中管理平台。 管理员可通过统一 Web 或 SSH 界面配置、监控和控制多台防火墙。通过 FMC，管理员可统一管理入侵防御（IPS）、应用控制、URL 过滤、高级恶意软件防护、日志、报表及整体网络安全态势。 第一个漏洞编号为 CVE-2026-20079（CVSS 评分 10.0），属于认证绕过漏洞。 该漏洞位于思科 Secure FMC 的 Web 界面，允许未认证远程攻击者绕过认证，发送构造的 HTTP 请求执行脚本，进而获取底层操作系统 root 权限。 安全公告称：“思科 Secure FMC 软件 Web 界面存在漏洞，可允许未认证远程攻击者绕过认证，在受影响设备上执行脚本，获取底层操作系统 root 权限。”“该漏洞源于启动时创建的不当系统进程。攻击者可向受影响设备发送构造的 HTTP 请求利用该漏洞。成功利用可使攻击者执行多种脚本与命令，获取设备 root 权限。” 第二个漏洞编号为 CVE-2026-20131（CVSS 评分 10.0），属于远程代码执行漏洞。 该漏洞位于思科 Secure FMC Web 界面，允许未认证远程攻击者利用不安全的 Java 反序列化，发送构造的序列化对象，以 root 身份执行任意代码。 公告称：“思科 Secure FMC 基于 Web 的管理界面存在漏洞，可允许未认证远程攻击者以 root 身份在受影响设备上执行任意 Java 代码。”“该漏洞源于对用户提供的 Java 字节流进行不安全反序列化。攻击者可向受影响设备的 Web 管理界面发送构造的 Java 序列化对象进行利用。成功利用可使攻击者在设备上执行任意代码，并将权限提升至 root。” CVE-2026-20131 同时影响思科 Security Cloud Control（SCC）防火墙管理组件。 思科 PSIRT 表示，目前未发现这两个漏洞的公开 PoC 或在野利用。 该网络设备巨头表示，这些漏洞无可用缓解方案，必须打补丁。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。 LastPass 向用户发出警告，新型钓鱼攻击使用伪造安全警报，声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名，试图诱骗收件人泄露主密码，导致账户被盗。 LastPass TIME 团队已向客户发出警报，该活跃钓鱼攻击约始于 2026 年 3 月 1 日。攻击者使用多个邮箱地址、多种邮件标题发送邮件，伪装成关于账户未授权访问的内部转发消息，以此欺骗用户。 LastPass 警告，攻击者会伪造邮件对话记录，制造有人试图导出密码库、恢复账户或注册新设备的假象。 攻击者通过伪造显示名冒充 LastPass，同时隐藏真实的、无关的发件人邮箱地址。邮件诱导用户点击链接，跳转到 verify-lastpass [.] com 伪造 SSO 页面，窃取凭证。 LastPass 发布的警报称：“攻击者利用多数邮件客户端（尤其是移动端）仅显示发件人名称、不展开就隐藏真实地址的特点。邮件要求目标用户通过链接执行操作（如报告可疑行为、断开并锁定密码库、吊销设备等）；这些链接会将用户导向 https [:]//verify-lastpass [.] com 伪造 SSO 登录页面，用于窃取用户凭证。” LastPass 提醒用户，官方绝不会索要主密码，并正与合作伙伴关停钓鱼网站。建议用户保持警惕，并将可疑的仿 LastPass 邮件上报至 [email protected]，共同保护社区安全。 公告中提供了失陷指标（IoC），包括恶意 URL 及相关 IP 地址。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FreeScout 客服平台存在一个最高危漏洞，允许黑客在无需用户交互、无需身份认证的情况下实现远程代码执行（RCE）。 该漏洞编号为 CVE-2026-28289，可绕过此前针对另一个 RCE 漏洞（CVE-2026-27636）的修复，后者仅能被拥有上传权限的认证用户利用。 应用安全厂商 OX Security 的研究人员表示，攻击者只需向 FreeScout 中配置的任意邮箱发送一封精心构造的邮件，即可利用该新漏洞。 官方此前的修复方案试图通过修改带受限后缀或以点开头的文件名，来阻止危险文件上传。 OX 研究团队发现，可在文件名前插入零宽空格（Unicode U+200B） 绕过新加入的校验机制，因为该字符不会被视为可见内容。 后续处理会自动移除该字符，使文件最终以点文件（dotfile）形式保存，从而完全绕过最新安全检查，再次触发 CVE-2026-27636 的利用条件。 攻击利用链（来源：OX Research） 研究人员称，更严重的是，只需向 FreeScout 配置的邮箱发送带恶意附件的邮件，即可触发 CVE-2026-28289。 系统会将附件保存到 /storage/attachment/ 目录，攻击者可通过 Web 界面访问上传的恶意载荷，无需认证、无需点击即可在服务器上执行命令，属于零点击漏洞。 厂商在安全公告中表示：“FreeScout 1.8.206 存在补丁绕过漏洞，任何拥有文件上传权限的认证用户，可通过在文件名前加零宽空格上传恶意 .htaccess 文件绕过安全检查，实现服务器 RCE。” FreeScout 是一款开源客服与共享邮箱平台，用于企业管理客服邮件与工单，是可自托管的 Zendesk / Help Scout 替代方案。 该项目在 GitHub 有 4100 Star、620+ Fork；OX 研究称 Shodan 扫描发现 1100 个公开暴露实例，说明其使用范围广泛。 CVE-2026-28289 影响 1.8.206 及以下所有版本，已于四天前发布的 1.8.207 版本中修复。 FreeScout 团队警告，成功利用 CVE-2026-28289 可导致服务器完全被控、数据泄露、内网横向移动、业务中断，建议立即更新补丁。 OX Research 同时建议，即使升级到 1.8.207，也应在 FreeScout 服务器的 Apache 配置中禁用 AllowOverride All。 截至发稿，暂未观察到 CVE-2026-28289 在野利用，但鉴于漏洞性质，短期内出现恶意攻击的风险极高。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，在美以针对伊朗发动代号为 Epic Fury 和 Roaring Lion 的联合军事行动后，报复性黑客行动主义活动激增。 Radware 在周二的报告中表示：“中东地区的黑客行动主义威胁呈现高度不均衡态势，Keymous+ 和 DieNet 两个组织发起了 2 月 28 日至 3 月 2 日期间近 70% 的攻击活动。” 首例分布式拒绝服务（DDoS）攻击由 Hider Nex（又名 Tunisian Maskers Cyber Force）于 2026 年 2 月 28 日发起。 据 Orange Cyberdefense 披露的信息，Hider Nex 是一个支持巴勒斯坦事业的突尼斯秘密黑客行动主义组织。该组织采用攻击 + 泄密策略，将 DDoS 攻击与数据泄露相结合，泄露敏感信息以推进其地缘政治议程。该组织于 2025 年年中出现。 统计显示，共出现 149 起黑客行动主义 DDoS 攻击宣称，针对 16 个国家 110 家不同机构。攻击由 12 个不同组织实施，其中 Keymous+、DieNet 和 NoName057 (16) 占全部活动的 74.6%。 在这些攻击中，绝大多数（107 起）集中在中东地区，重点针对公共基础设施和国家级目标。欧洲成为同期全球 22.8% 攻击活动的目标。全球近 47.8% 的受攻击机构属于政府部门，其次是金融（11.9%）和电信（6.7%）行业。 Radware 表示：“该地区数字战线与实体战线同步扩大，黑客组织同时针对中东更多国家发起攻击，规模前所未有。”“区域内攻击高度集中在三个国家：科威特、以色列和约旦，分别占攻击宣称总量的 28%、27.1% 和 21.5%。” 根据 Flashpoint、Palo Alto Networks Unit 42 和 Radware 的数据，除上述三个组织外，参与破坏性行动的还包括 NOS、CEA、Sylhet Gang、313 Team、Handala Hack、APT Iran、Cyber Islamic Resistance、Dark Storm Team、FAD Team、Evil Markhors 和 PalachPro。 当前网络攻击范围如下： ·     亲俄黑客组织 Cardinal 和 Russian Legion 宣称攻破以色列军事网络，包括铁穹导弹防御系统。 ·     监测到活跃的 SMS 钓鱼活动，攻击者使用假冒以色列本土前线司令部 RedAlert 应用的恶意副本，投放移动监控与数据窃取恶意软件。CloudSEK 表示：“攻击者以战时紧急更新为幌子，诱导受害者侧载恶意 APK，在可用的警报界面下隐藏侵入式监控引擎，针对高度警惕的人群实施监控。” ·     伊朗伊斯兰革命卫队（IRGC）针对中东能源与数字基础设施发起攻击，目标包括沙特阿美和阿联酋的一座 AWS 数据中心。Flashpoint 称，其意图是 “制造最大程度的全球经济冲击，以对冲军事层面的损失”。 ·     Cotton Sandstorm（又名 Haywire Kitten）启用旧网络身份 Altoufan Team，宣称入侵巴林多家网站。Check Point 表示：“这反映出该攻击者行动的应激性，冲突期间其极有可能进一步参与中东地区的入侵活动。” ·     Nozomi Networks 数据显示，伊朗国家背景黑客组织 UNC1549（又名 GalaxyGato、Nimbus Manticore、Subtle Snail）是 2025 年下半年第四活跃的攻击组织，其攻击重点为国防、航空航天、电信及地区政府机构，以推进伊朗地缘政治目标。 ·     伊朗主流加密货币交易所仍在运行，但已宣布调整运营，暂停或批量处理提现，并发布风险提示，建议用户为可能的网络中断做好准备。 ·     TRM Labs 全球政策主管 Ari Redbord 表示：“伊朗目前的情况并非明显的大规模资本外逃，而是市场在网络受限与监管干预下应对波动的表现。”“多年来，伊朗一直存在影子经济，其中一部分通过加密货币规避制裁，包括利用复杂的离岸基础设施。目前在战争、断网和市场波动的压力下，这套基础设施及政权利用它的能力正接受实时压力测试。” ·     Sophos 表示 “观察到黑客行动主义活动激增，但风险并未升级”，攻击主要来自亲伊朗组织，包括 Handala Hack 和 APT Iran，攻击形式包括 DDoS、网站篡改以及针对以色列基础设施的未经证实的入侵宣称。 ·     英国国家网络安全中心（NCSC）向机构发出伊朗网络攻击风险升高警报，敦促其加强安全态势，应对 DDoS、钓鱼活动和对 ICS 的攻击。 Halcyon 勒索软件研究中心高级副总裁、前 FBI 网络部副主任 Cynthia Kaiser 在 LinkedIn 发文称，伊朗素有利用网络行动报复 “所谓政治冒犯” 的先例，她补充称，此类活动越来越多地结合勒索软件。 Kaiser 补充：“伊朗长期以来对针对美国、以色列及其他盟国的民间网络行动持默许或至少是放任态度。”“原因在于，掌握网络犯罪分子能为政府提供更多行动选择。伊朗在考虑如何回应美以军事行动时，若认为这些网络组织能产生有效报复效果，很可能会启用他们。” 网络安全公司 SentinelOne 也以高可信度评估认为，以色列、美国及盟国机构很可能面临直接或间接攻击，重点行业包括政府、关键基础设施、国防、金融服务、教育和媒体。 Nozomi Networks 表示：“伊朗威胁组织历来愿意将间谍活动、破坏行动和心理战结合，以实现战略目标。”“在局势不稳定时期，此类行动往往会加剧，目标超出直接冲突区域，涵盖关键基础设施、能源网络、政府机构和私营企业。” 为应对实体冲突带来的网络风险，建议机构启用持续监控，以匹配升级的威胁活动，更新威胁情报特征、缩小外部攻击面、对联网资产开展全面暴露面检查，验证 IT 与 OT 网络的正确隔离，确保 IoT 设备有效隔离。 CrowdStrike 对抗敌对行动主管 Adam Meyers 向 The Hacker News 表示：“在以往冲突中，伊朗网络组织会将行动与更广泛战略目标对齐，加大对能源、关键基础设施、金融、电信、医疗等目标的施压与曝光度。” “伊朗对手的攻击技术持续进化，已从传统入侵扩展到云和身份为中心的行动，这使其能够在混合企业环境中快速行动，规模与影响进一步提升。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability labeled as critical has been found in ThemeREX Verse Plugin up to 1.7.0 on WordPress. This affects an unknown part. Such manipulation leads to improper control of filename for include/require statement in php program ('php remote file inclusion'). This vulnerability is uniquely identified as CVE-2026-28128. The attack can be launched remotely. No exploit exists.

A vulnerability marked as critical has been reported in axiomthemes Little Birdies Plugin up to 1.3.16 on WordPress. This vulnerability affects unknown code. Performing a manipulation results in improper control of filename for include/require statement in php program ('php remote file inclusion'). This vulnerability was named CVE-2026-28129. The attack may be initiated remotely. There is no available exploit.

A vulnerability, which was classified as critical, has been found in Crocoblock JetEngine Plugin up to 3.7.2 on WordPress. The impacted element is an unknown function. This manipulation causes code injection. This vulnerability is tracked as CVE-2026-28134. The attack is possible to be carried out remotely. No exploit exists.

A vulnerability was found in WP Chill Filr Plugin up to 1.2.12 on WordPress and classified as critical. Affected is an unknown function. Executing a manipulation can lead to unrestricted upload. This vulnerability is registered as CVE-2026-28133. It is possible to launch the attack remotely. No exploit is available.

A vulnerability was found in AndonDesign UDesign Plugin up to 4.14.0 on WordPress. It has been rated as problematic. Impacted is an unknown function. Performing a manipulation results in cross site scripting. This vulnerability is reported as CVE-2026-28130. The attack is possible to be carried out remotely. No exploit exists.

A vulnerability classified as critical has been found in Salesforce Login with Salesforce Plugin up to 1.0.2 on WordPress. Impacted is an unknown function. The manipulation leads to improper authentication. This vulnerability is referenced as CVE-2026-2418. Remote exploitation of the attack is possible. No exploit is available.

A vulnerability was found in WP Royal Royal Elementor Addons Plugin up to 1.7.1049 on WordPress. It has been classified as critical. Affected by this vulnerability is an unknown functionality. The manipulation leads to inclusion of functionality from untrusted control sphere. This vulnerability is documented as CVE-2026-28135. The attack can be initiated remotely. There is not any exploit available.

A vulnerability was found in QuanticaLabs MediCenter Plugin up to 14.9 on WordPress. It has been classified as problematic. This vulnerability affects unknown code. This manipulation causes cross site scripting. This vulnerability is registered as CVE-2026-28137. Remote exploitation of the attack is possible. No exploit is available.

M365Pwned Red Team tooling for Microsoft 365 exploitation via Microsoft Graph API. Two WinForms GUI tools for enumerating,

The post M365Pwned: Red Team tooling for Microsoft 365 exploitation via Microsoft Graph API appeared first on Penetration Testing Tools.