一个严重漏洞影响了除最新版本之外的所有 cPanel 及 WebHost Manager（WHM）控制面板版本，该漏洞可被利用来在无需认证的情况下访问控制面板。

此安全问题目前编号为 CVE - 2026 - 41940，严重程度评分达 9.8。官方已发布紧急更新，...

消息来源：thehackernews.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

Forescout 的研究显示，数百万远程访问的 RDP 和 VNC 服务器暴露在互联网上，其中数百台可能提供对工业控制系统（ICS）和其他运营技术（OT）的访问。

RDP（远程桌面协议）和 VNC（虚拟网络计算）广泛用于远程访问，但若无安全网关，不应将它们直接暴露在开放的互联网中。...

近日，应用安全公司 Aisle 在开源电子病历平台 OpenEMR 中发现了数十个漏洞，其中包括一些可被利用来窃取敏感患者信息的严重问题。

OpenEMR 在全球范围内被超 10 万名医疗服务提供者使用，存储着超 2 亿患者的数据。Aisle 对其进行了分析，...

消息来源：bleepingcomputer.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

“快速页面 / 文章重定向”（Quick Page/Post Redirect）插件安装量超 7 万，5 年前被植入后门，可向用户网站注入任意代码。

该恶意软件由 WordPress 托管服务提供商 Anchor 的创始人奥斯汀・金德（Austin Ginder）发现。...

一个源自巴西的网络犯罪团伙在沉寂三年多后卷土重来，策划了一场针对 Minecraft 玩家的活动，使用名为 LofyStealer（又名 GrabBot）的新型窃取器。 巴西网络安全公司 ZenoX 在一份技术报告中表示：“该恶意软件伪装成一个名为‘Slinky’的 Minecraft 外挂。它使用官方游戏图标诱导用户自愿执行，利用了游戏场景中年轻用户的信任。”...

疑似俄罗斯通过 Signal 发起的钓鱼攻击 targeting 德国官员，利用信任获取账户访问权限及敏感政治通信内容。 新一轮针对欧洲政治领导层的网络行动再次凸显：现代间谍活动越来越依赖欺骗手段，而非技术漏洞。德国当局最近的调查指出，这是一场通过 Signal 消息平台开展的大规模钓鱼活动，且有强烈迹象表明俄罗斯参与其中。 据多方报道 [1, 2, 3]，该活动瞄准了包括德国政客、部长、军事人员、外交官和记者在内的高调人物。德国检察官已就此展开调查，认为这可能是一次协调一致的间谍行动，初步证据指向国家支持的攻击者。...

研究人员警告称，VECT 2.0 勒索软件在处理加密非ces（nonces）时存在一个问题，导致其永久销毁大文件而非对其进行加密。 VECT 已在最新的 BreachForums 迭代版本之一上进行宣传，邀请注册用户成为合作伙伴，并通过私信向感兴趣的用户分发访问密钥。 在某个时间点，VECT 运营者宣布与 TeamPCP 威胁组织建立合作关系。该组织负责近期影响 Trivy、LiteLLM 和 Telnyx 的供应链攻击，以及对欧盟委员会的攻击。...

Vimeo 近日披露，在数据分析异常检测公司 Anodot 近期遭遇泄露事件后，部分 Vimeo 客户和用户的数据被未经授权访问。 该视频平台表示，威胁行为者获取了部分客户的电子邮件地址，但大部分暴露的信息包括技术数据、视频标题和元数据。 Vimeo 在声明中指出：“我们已确认，由于 Anodot 泄露事件，未经授权的演员访问了某些 Vimeo 用户和客户数据。我们的初步调查结果表明，被访问的数据库主要包含技术数据、视频标题和元数据，在某些情况下还包括客户电子邮件地址。”...