HackerNews 编译，转载请注明出处：

运营全球最大比特币ATM网络之一的Bitcoin Depot披露，上月系统遭入侵后，攻击者从其加密钱包窃取价值366.5万美元的比特币。

...

HackerNews 编译，转载请注明出处：

广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。

...

HackerNews 编译，转载请注明出处：

洛杉矶警察局周二宣布，黑客入侵了洛杉矶市律师办公室数字存储系统，该系统包含敏感警务文件。

...

HackerNews 编译，转载请注明出处：

Horizon3.ai报告，Apache ActiveMQ Classic中潜伏13年的远程代码执行（RCE）漏洞可与旧漏洞链接以绕过认证。

Apache ActiveMQ是开源消息和集成模式服务器，作为处理消息队列的中间件代理，广泛应用于众多行业。ActiveMQ Classic是该代理的原始版本。

新发现的漏洞编号CVE-2026-34197，允许攻击者通过Jolokia API调用管理操作，诱使代理检索远程配置文件并执行操作系统命令。

据Horizon3.ai称，该安全缺陷是CVE-2022-41678的绕过方案——该漏洞允许攻击者通过调用特定JDK MBean将Web shell写入磁盘。修复方案添加了一个标志，允许通过Jolokia调用每个ActiveMQ MBean的所有操作。代码执行问题出现在运行时设置代理间桥接的操作中。

然而，该漏洞的利用还需针对ActiveMQ的VM传输功能——该功能设计用于在应用程序内嵌入代理，导致客户端和代理在同一JVM内直接通信。

如果VM传输URI引用不存在的代理，ActiveMQ会创建一个，并接受指示其加载可能包含攻击者提供URL的配置参数。

通过链接这两种机制，攻击者可诱使代理检索并运行Spring XML配置文件，"实例化所有bean定义，导致远程代码执行"，Horizon3.ai表示。

该网络安全公司还指出，在某些部署中，可通过利用CVE-2024-32114实现无需认证的RCE——该漏洞将Jolokia API暴露给未经认证的用户。

"CVE-2024-32114是ActiveMQ 6.x中的独立漏洞，/api/*路径（包括Jolokia端点）被无意中从Web控制台的安全约束中移除。这意味着在ActiveMQ 6.0.0至6.1.1版本中，Jolokia完全无需认证，"Horizon3.ai解释。

新发现的安全缺陷已在ActiveMQ Classic 5.19.4和6.2.3版本中修复，建议用户尽快更新部署。

...

HackerNews 编译，转载请注明出处：

最新OpenSSL更新修复了七处漏洞，其中包括一个可导致敏感数据泄露的缺陷。

...

HackerNews 编译，转载请注明出处：

马萨诸塞州布罗克顿的Signature Healthcare医院在遭受网络攻击导致严重中断后，被迫分流救护车。

...

HackerNews 编译，转载请注明出处：

人工智能公司Anthropic宣布推出名为"Project Glasswing"的网络安全新计划，将使用其前沿模型Claude Mythos的预览版发现和修复安全漏洞。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

Noma Security最新研究显示，Grafana AI组件处理信息的方式存在漏洞，可能允许攻击者绕过应用防护并泄露企业信息。

...

HackerNews 编译，转载请注明出处：

Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。

...