Nord Nord Sec #56

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Ich hoffe euch gefällt die Mischung, die Ich euch in den Virtuellen Briefkasten werfe.

Es gibt eine kleine Änderung: Videos sind ab sofort immer mit dem 📺️ Emoji gekennzeichnet - danke an Daniel für den Vorschlag, Videos zu kennzeichnen.

Artikel

Exploits, Hacks und Schwachstellen

⚡️The Month of AI Bugs 2025 Wenn ihr das lest, sind die ersten Posts sicher schon online gegangen - Johann Rehberger wird im August mehr als 20 Posts zu verschiedenen Schwachstellen in AI Systemen veröffentlichen. Ich bin gespannt 🧠 

Hier habt ihr bisher mein Highlight Cursor IDE: Data Exfiltration Via Mermaid 

⚡️ 400.000 Wordpress-Seiten durch Plugin Post SMTP verwundbar Laut dem Research von Patchstack kann die Schwachstelle unter anderem zum lesen von Email-Logs genutzt werden kann. Diese enthalten auch den Body der Emails. Angreifende können so die Passwort-Reset Mails für Accounts mitlesen und Accounts übernehmen.

Die Entwickler des Plugins haben einen Patch veröffentlicht - wenn ihr das Plugin einsetzt und mindestens Version 3.3 einsetzt, seid ihr auf der sicheren Seite 👍️ 

⚡️Cursor Flaw Allowing Attackers to Run Commands via Prompt Injection Sicherheitsforscher von Aim Labs haben eine Schwachstelle im beliebten KI-Editor Cursor aufgedeckt (CVE-2025-54135), mit der es Angreifenden möglich war, Remote Code Execution zu erlangen.

Dazu musste Cursor Zugriff auf einen MCP Server haben, der nicht Vertrauenswürdige Daten von aussen bezieht. Wenn diese Daten von Angreifenden stammen, ist eine Erfolgreiche Prompt Injection nicht weit.

⚡️Flaw in Vibe Coding Platform Base44 Exposed Private Enterprise Applications Die Sicherheitsforscher von Wiz haben eine kritische Schwachstelle in der Vibe Coding Plattfrom Base44 entdeckt.

Es war den Forschern möglich, bei verschiedene API Endpoints die Authentifizierung zu umgehen und so konnten Sie Nutzer zu privaten Applikationen hinzufügen - solange ihnen die app_id bekannt war. Diese ID ist ein fixer Wert und über die Application-URI und das manifest.json File herauszufinden.

Konzepte, Reports und Ideen

🧠 Building a Personal AI Infrastructure Daniel Miessler teilt hier sein persönliches Setup aus Agents, Tools, MCP Servern und alles aussen herum.

Dabei nimmt er die Lesenden mit in seine Gedanken und Konzepte, was man alles mit AI machen kann. Dabei gibt er auch Beispiele für weitere Workflows, die man implementieren könnte.

📕 Why is this Finding on my Pentest Report Joe Sullivan hat im Blog von Trusted Sec eine Lanze für Erwartungsmanagement und Klares Scoping bei Penetrationstests gebrochen. Warum? Um sicher zu stellen, dass das Ergebnis des Pentests und die darauf enthaltenen Findings auch relevant sind. Ausserdem liefert er Argumente gegen das entfernen der “üblichen Verdächtigen” Findings: TLS Schwachstellen, HTTP Flags und Co

Muss man da mehr dazu sagen? Wenn ihr die anderen Argumente lesen wollt - reinkucken!

🥅 Smart People Don’t Chase Goals; They Create Limits Joan Westenberg hat hier einen tollen Essay veröffentlicht, der den Unterschied zwischen Zielen (Goals) und Regeln (Constraints) anschaulich erklärt. Dabei wird der Leser eingeladen zu reflektieren, was für Sie oder Ihn wichtiger ist.

🚀 Scaling Netflix’s threat detection pipelines without streaming Technischer Deep Dive aus der Threat Detection Ecke. Zach Wilson geht in diesem Artikel darauf ein, was das “Psych Pattern” ist, das sie entwickelt haben, wie es funktioniert hat - und wo nicht. Faszinierend das zu lesen - allein der Datendurchsatz, der hier mit Spark, Kafka und Airflow erreicht wurde ist crazy.

Tech, Gesellschaft, Kultur

☺️ What are They Carrying? Wir alle kennen diese Situationen im Leben: Jemand verhält sich wider unsere Erwartungen, und im Kopfkino spielen sich Bilder ab. Da ist schnell von Moral, Respekt und generellem ignorieren von Bedürfnissen anderer Menschen die Rede.

In diesem kleinen Essay geht es genau darum - und darum, die Perspektive der anderen einzunehmen.

🧠 Every Reason Why I Hate AI and You Should Too Marcus Hutchins aka Malware Tech legt dar, warum er Anti-LLM-AI ist und warum das auch kein Problem ist. Er behält die aktuellen Entwicklungen im AI-Hype-Train im Blick und wenn ein bahnbrechender Durchbruch kommt, wird er sie in seinen Stack integrieren. Solange das nicht der Fall ist, bleibt er an der Seitenlinie.

Durchaus eine valide Sichtweise und Ansatz - immerhin kann niemand immer bei allem an vorderster Front sein. Slow & Steady 👍️ 

📺️ You NEED to try this Linux Setup! typecraft kuckt sich Omarchy an und ist begeistert. DHH’s Beitrag zur Linux-Community scheint extrem gut anzukommen. Hat das jemand von euch schon getestet? Hyprland und Arch verspricht jedenfalls extrem gute Performance… 🤔 

🧨 AWS deleted my 10-year account and all data without warning Schockierender Bericht eines Entwicklers, dessen AWS Account aus Versehen genuked wurde. So richtig.

Macht euch Gedanken um eure Backups, wo ihr sie aufsetzt und bei welchem Provider.

Bug Bounty Tips, Security Tools und Techniken

📜 GMSGadget Eine Sammlung von JavaScript Gadgets zur Umgehung von XSS Mitigationen wie CSPs und HTML Sanitizern.

📺️ Tool & Resources I am Using to Learn Client-Side Hacking g0lden führt uns durch sein Setup um Client-Side Hacking zu lernen. o

💉 invariantlabs-ai/mcp-injection-experiments Praktisches Anschauungsmaterial zu MCP-Injections von Invariant Labs.

🧠 Onboarding your AI peer programmer: Setting up GitHub Copilot coding agent for success Ausführlicher Onboarding-Guide von Christopher Harrison von Github, wie ein Initiales Setup und Erfolgreiche Nutzung vom Agent-Mode in Copilot funktioniert. kl

Das Zitat der Woche stammt dieses mal aus einem Youtube-Video, das mir durch den allmächtigen Algorithmus in den Feed gespült wurde.

Cyberpunk 2077 - wir sind auf den Weg in die Dystopie.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️