Una falla di autorizzazione in un plugin email per WordPress evidenzia un modello familiare ma pericoloso: quando una route di diagnostica dimentica di controllare i permessi, può diventare una scorciatoia verso i segreti di configurazione.
Una falla di divulgazione in Gravity SMTP ha trasformato un helper per la posta in una possibile fonte di chiavi API, token e impronte del sito, mostrando come piccoli errori di autorizzazione possano causare un'esposizione sproporzionata.
Un componente SMTP molto diffuso esponeva dati dell'ambiente tramite un endpoint non autenticato, e la corsa a ispezionarlo mostra quanto rapidamente le funzionalità di “supporto” possano diventare strumenti di ricognizione.
Una vulnerabilità di gravità massima in Cisco Secure Workload mostra come un’API backend possa diventare la vera superficie d’attacco, anche quando la console web sembra funzionare correttamente.
Una falla critica nelle API REST amministrative mostra come un singolo errore di autenticazione possa mettere i controlli con i massimi privilegi di una piattaforma di sicurezza alla portata di un attaccante remoto.
Una CVE critica nella piattaforma di sicurezza dei workload di Cisco mostra come un controllo di autenticazione mancante sulle API interne possa trasformare un’interfaccia di gestione in un rischio di takeover ad alta posta in gioco.
Un advisory ICS di CISA su PowerSYSTEM Center mostra come l'accesso con privilegi bassi e una gestione approssimativa delle linee possano diventare problemi di alto impatto nei software di gestione industriale.