Conta anônima no GitHub publica em massa 0-days não divulgados

 (github.com/bikini)
1 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Exploitarium é um repositório no GitHub que reúne proof-of-concepts públicos e artigos de pesquisa sobre vulnerabilidades em um só lugar; novos itens de pesquisa são adicionados como pastas autocontidas
  • O repositório inclui pastas de PoC relacionadas a vários projetos, como 7-Zip, AnyDesk, Docker, Firefox, FFmpeg, Ghidra, Gitea, ImageMagick, libssh2, Nmap, OpenVPN, PHP, RustDesk e VLC
  • Itens movidos de repositórios PoC independentes existentes preservaram o README original e os arquivos rastreados; com base em um fresh clone do GitHub em 23 de junho de 2026, foram verificados 12 repositórios e 96 itens rastreados, sem divergências
  • A verificação não foi um diff flexível de filesystem, mas uma comparação dos dados de Git tree; para passar, caminho relativo, tipo de objeto Git, tree mode, bit de execução e Git blob ID precisavam ser todos iguais
  • O material do repositório é declarado como pesquisa pública de vulnerabilidades de boa-fé e exige não usar para fins maliciosos em nenhuma circunstância

Objetivo do repositório Exploitarium

  • Exploitarium é um arquivo consolidado de proof-of-concepts públicos e writeups de pesquisa de vulnerabilidades
  • A maioria das pastas contém PoCs que anteriormente existiam como repositórios separados, preservando o README original e os arquivos rastreados
  • Novos itens de pesquisa são adicionados diretamente dentro deste repositório como pastas autocontidas
  • A descrição do repositório inclui a frase “New drops today ;) Biggest thing yet” e o contato no Discord @ashdfrkl

PoCs e itens de pesquisa incluídos

  • A tabela de Contents do repositório lista um total de 23 pastas
  • Itens trazidos de repositórios independentes existentes têm o commit hash indicado como Source
    • 7zip-rar5-motw-chain-poc
    • anydesk-printer-com-impersonation-poc
    • docker-cp-copyout-destination-escape
    • flowise-mcp-env-case-bypass-poc
    • ghidra-12.1.2-rce-ace-calc-poc
    • gitea-act-runner-container-options-poc
    • imagemagick-gs-delegate-hijack-poc
    • lunar-modrinth-chain-poc
    • mybb-limited-acp-to-admin
    • objdump-dlx-calc-poc
    • openvpn-connect-echo-script-ace-poc
    • vlc-vp9-reschange-crash-poc
  • Itens adicionados diretamente aparecem com data
    • c-ares-tcp-uaf-calc-poc: 24 de junho de 2026
    • firefox-smartwindow-private-url-exfil-poc: 24 de junho de 2026
    • floci-apigateway-vtl-rce-poc: 23 de junho de 2026
    • ffmpeg-rasc-dlta-calc-poc: 26 de junho de 2026
    • libssh2-cve-2026-55200-poc: 23 de junho de 2026
    • libssh2-publickey-list-calc-poc: 25 de junho de 2026
    • nghttp2-nghttpx-upgrade-queue-poison-poc: 26 de junho de 2026
    • nmap-ipv6-extlen-wrap-poc: 23 de junho de 2026
    • php857-streambucket-soap-rce-rpoc: 26 de junho de 2026
    • rustdesk-session-permission-pocs: 25 de junho de 2026
    • systeminformer-phsvc-trusted-host-lpe-poc: 24 de junho de 2026

Método de verificação da consolidação

  • O Consolidation Check se aplica a itens de repositórios independentes existentes listados por commit hash
  • A verificação foi realizada a partir de fresh clones do GitHub em 23 de junho de 2026, antes da remoção dos repositórios independentes existentes
  • O método de comparação consistiu em confrontar a tree de HEAD de cada repositório independente com a pasta correspondente dentro do Exploitarium usando dados de Git tree
  • Cada item rastreado precisava atender às seguintes condições
    • Mesmo caminho relativo
    • Mesmo tipo de objeto Git
    • Mesmo tree mode, incluindo o bit de execução
    • Mesmo Git blob ID
  • O mesmo Git blob ID significa que os bytes do arquivo rastreado são idênticos

Resultado da verificação e escopo preservado

  • A verificação foi realizada em 12 repositórios e 96 itens rastreados, com 0 divergências
  • O repositório preserva o conteúdo desses PoCs
  • Os metadados dos repositórios separados permanecem no histórico dos repositórios originais
    • stars
    • issues
    • pull requests
    • releases
    • histórico Git separado
  • Os itens adicionados diretamente são rastreados pelo commit history deste repositório

Restrições de uso

  • O repositório declara que o material não deve ser usado de forma maliciosa em nenhuma situação
  • Afirma que o objetivo do material é a pesquisa pública de vulnerabilidades de boa-fé e fazer com que mais pessoas se interessem por essa área da cibersegurança
  • A frase “Cybercrime is cringe” reforça a proibição de uso indevido

Leituras relacionadas

1 comentários

 
GN⁺ 4 시간 전
Opiniões do Hacker News

  • Dei uma olhada no caso do Ghidra usando eu mesmo, e não achei muito impressionante: https://github.com/bikini/exploitarium/blob/main/ghidra-12.1...
    O primeiro exige conseguir sobrescrever um binário no diretório de ferramentas do Swift. Se você sobrescreve um binário que o Ghidra executa, é óbvio que isso vira execução de código
    No segundo, não conheço bem o TraceRMI, então é difícil julgar, mas vale notar que “RMI” significa chamada remota de método (Remote Method Invocation)
    O terceiro dificilmente pode ser considerado uma vulnerabilidade; ele só mostra que é possível chegar ao código nativo do parser de 7zip. Pode haver bugs no parser de 7zip, mas, sem isso, não há muito significado

    • Dei uma passada no caso do nmap e ele parece ter potencial para ser de alta severidade. Na prática pode não ser nada demais, mas como fica perto do código do parser, parece bem possível criar um fluxo de salto
      Seria irônico conseguir uma reverse shell de alguém que está fazendo um scan com nmap. Se eu tivesse tokens infinitos, pediria ao Claude para escrever o exploit e investigaria o histórico para ver quem tornou isso possível
      Fazendo uma suposição grosseira de que execução arbitrária de código (ACE) seja possível, se um observador usa nmap, isso seria algo como alterar um rastreamento observado com alguns pacotes IPv6 ou conseguir acesso ao PC de um pesquisador que usa nmap; ou seja, mais próximo de um bug que uma agência de inteligência cobiçaria
    • Seria bem engraçado se tudo isso fossem CVEs já conhecidos, mas com o próximo Shai-Hulud escondido no meio, esperando que entusiastas de segurança baixem tudo às pressas e sejam infectados
    • O caso do Ghidra é bem fraco, mas verifiquei os que me interessavam, c-ares, libssh2 e ffmpeg, e parece que todos ainda funcionam mesmo nos commits upstream mais recentes, o que é estranho
    • Ver comentários como “se você sobrescreve um binário que o Ghidra executa, há execução de código” e “RMI é chamada remota de método” me lembrou de alguém enviando um relatório de vulnerabilidade claramente feito por vibe coding, alegando ter encontrado uma forma de executar SQL arbitrário
      O projeto-alvo era um servidor SQL: https://github.com/tursodatabase/turso/pull/4322
    • O caso do Gitea é um pouco interessante, mas parece difícil de explorar de verdade. Só parece plausível se o Gitea ou outro sistema não isolar corretamente o trabalho em uma VM dedicada
      O GitHub Actions provavelmente teria comportamento parecido, e parece que não consideram explorável porque assumem que o usuário já tem privilégios de root local sem isolamento por namespace

  • Analisei alguns com bastante cuidado e não achei tão interessantes. O caso do Docker é apenas um bug estranho, não uma vulnerabilidade, e muito menos algo que dê para chamar de “0-day”
    O caso do nghttpx no nghttp2 é mais interessante e talvez pudesse ser usado para phishing, mas a fila de requisições é não determinística, então acertar uma vítima específica é praticamente impossível
    O caso do VLC é simplesmente um crash/bug óbvio. O VLC já costuma travar bastante com codecs estranhos, então não é novidade
    Não sei se estou deixando passar alguma coisa

    • Se o VLC travasse no meu computador, e se eu tivesse motivo para agradecer a Deus todos os dias por não usar VLC, eu puxaria o cabo da tomada imediatamente e pensaria seriamente em quais condições seriam seguras para ligá-lo de novo

  • Parece que precisamos de uma nova categoria, tipo 0-days-vibes-vulns. Neste admirável mundo novo das vulnerabilidades, seria bom ter um rótulo que identifique e trate em dashes, permitindo que fósseis antigos como eu continuem só dando atenção a vulnerabilidades artesanais, feitas cuidadosamente à mão
    Algo como um selo de ovos de galinhas criadas soltas

    • Essa é a parte que mais me incomoda no mundo de hoje. Todo em dash agora é tratado como sinal de IA. Antigamente, entre o nosso povo, era um grande sinal de respeito
    • Aquilo nem sequer é um em dash, e só isso já gerou uma thread enorme
    • “E, por favor, não use M dash ao escrever”… o prompt continua se arrastando por uma hora falando de resultados ruins

  • A IA sempre tem a tendência de relatar tudo como issue. Porque o “número” de descobertas passa a ser visto como medida de inteligência
    Em revisão de código, ela também relata muitos não-problemas do mesmo jeito. A saída do Mythos pode ter sido inflada da mesma forma, e talvez o que tenha assustado as pessoas tenha sido a quantidade de issues reportadas, não a severidade

    • Sou desenvolvedor open source e, nas últimas 2 semanas, recebi três alertas de “CWE”. Todos estavam tecnicamente corretos, mas eram coisas bem triviais, como “se este arquivo de log de debug for um link simbólico, é possível sobrescrever um arquivo” e “se o usuário conseguir colocar códigos de tela OSC na saída do Git, pode escrever dados arbitrários na tela”
      Esses modelos de IA estão fazendo tudo soar como exploit. Não sei se isso é bom para o ecossistema
      Agora olho tudo que chega com mais desconfiança. Fico pensando se é um exploit real ou se estão acumulando conquistas para dizer “abrimos 39 CWEs na semana passada; contrate nossa empresa de ‘segurança’ para auditar seu código”
    • Isso é diferente do que ouvi de pessoas que trabalharam diretamente com o Mythos. Pelo que ouvi, as vulnerabilidades geradas eram, em geral, reais e significativas

  • Tudo isso é realmente 0-day? Boa parte parece vir de CVEs já públicos ou de código já corrigido upstream
    Hoje em dia, o termo “0-day” perdeu quase todo o significado, e parece que muita gente o usa para se referir a qualquer exploit

    • O repositório afirma o seguinte
      “É um arquivo único de PoCs de exploits públicos e textos de pesquisa de vulnerabilidades. No momento em que eu posto, nada foi reportado. Você pode reportar diretamente e ficar com o crédito quando sair um CVE, lulz. Não abuse. Faço isso para atrair mais gente para a área, e sempre achei que essa era a forma mais eficiente”
      Isso é mais ou menos próximo da definição de zero-day. Se o conteúdo do repositório corresponde a essa afirmação é uma questão completamente separada
    • Numa situação dessas, até RCE perdeu o sentido. A parte “remota”, quando normalmente tem algum significado, costuma querer dizer algo como uma sessão SSH como root

  • À medida que a IA ficar sofisticada o bastante para encontrar coisas desse tipo, esse tipo de material deve jorrar por um tempo. Acho que vai diminuir naturalmente quando as vulnerabilidades reais forem corrigidas
    Claro que sempre vai sobrar alguma coisa, mas espero que o nível baixe e que os exploits encontrados fiquem cada vez mais complexos. Agora é um período de transição

    • Acho que a expressão “a IA ficou inteligente o suficiente para encontrar” gera mal-entendido. Não é que ela esteja “ficando inteligente”, e sim que está sendo mais ajustada para usos específicos, com datasets melhor selecionados, harnesses melhores, prompts melhores, rotulagem melhor dos resultados e documentação acumulada de falhas e sucessos
      Espero que o resultado melhore de modo geral, mas esse tipo de expressão antropomórfica faz parecer que a própria IA de alguma forma muda ou evolui
      Na prática, quem está tornando isso melhor ativamente são a academia fazendo pesquisa básica, a indústria comercializando, e pesquisadores de segurança empacotando ferramentas e processos como serviços. Não existe um “isso” independente
    • Parece que já estamos bem no meio dessa fase, mas, em vez de diminuir, os “relatos” ficaram mais barulhentos e ambíguos, tornando mais difícil avaliar o nível real de ameaça ou os vetores de ataque
    • Toda atualização de software cria ou reintroduz vulnerabilidades desse tipo
    • Sinceramente, a complexidade de execução também está se tornando uma barreira cada vez menor com o passar do tempo

  • Parece que alguém está rodando um grande modelo de linguagem e publicando os resultados. Dá essa impressão porque há uma mistura bem ampla, desde coisas ridículas como “se você trocar o binário do sistema, execução arbitrária de código!” até coisas que podem ser reais
    É o tipo de resultado que costuma aparecer quando se joga num LLM um prompt como “encontre exploits e escreva um PoC”
    Se treinarem com os relatórios do Metasploit dos últimos 15 anos, parece que ele conseguiria encontrar os mesmos bugs que as pessoas voltaram a colocar em código novo
    [1] https://en.wikipedia.org/wiki/Metasploit

  • Há um texto dizendo para, em hipótese alguma, usar de forma maliciosa os materiais deste repositório. Dizem que é pesquisa de vulnerabilidades publicada de boa-fé, com o objetivo de fazer mais pessoas se interessarem por explorar essa área de cibersegurança
    Isso me lembra aquela mensagem antes de alguma receita do The Anarchist Cookbook: “isto é realmente perigoso, então nunca faça. O modo de fazer é este”

    • Nos livros antigos não faltava a palavra “…maliciosamente”?

  • Como vulnerabilidades de segurança, não são tão impressionantes assim. Eu diria que a maioria é melhor descrita simplesmente como bugs simples

    • Discordo. execução de código no FFmpeg é realmente terrível
    • Toda vulnerabilidade, no fim das contas, é apenas um bug

  • Parece uma mistura de cópias reescritas de CVEs existentes com outras novas de baixa severidade. Chamo de baixa severidade porque parece que o usuário já precisa fazer algo inerentemente arriscado
    Minha opinião de dois centavos depois de uma olhada rápida
    Ainda assim, são descobertas interessantes. Acho que algumas podem ficar mais graves se forem encadeadas
    Por exemplo, no caso do ovpn, talvez dê para registrar o app de VPN como aplicativo padrão para abrir arquivos no Windows, ou como handler de protocolo para locais de URL como openvpn://, e então combinar isso com um iframe e engenharia social bem elaborada. É só uma ideia que me veio à cabeça

    • É aí que fica confuso. Algumas parecem ruído de baixo nível, mas outras são realmente críticas
      Os casos de Floci, libssh2, c-ares, FFmpeg, PHP todos parecem reais
      Já o caso do Ghidra, nem tanto. Fico pensando se isso não era uma pasta de pesquisa pela metade que simplesmente foi publicada do jeito que estava