近日，应用安全公司 Aisle 在开源电子病历平台 OpenEMR 中发现了数十个漏洞，其中包括一些可被利用来窃取敏感患者信息的严重问题。

OpenEMR 在全球范围内被超 10 万名医疗服务提供者使用，存储着超 2 亿患者的数据。Aisle 对其进行了分析，...

消息来源：bleepingcomputer.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

“快速页面 / 文章重定向”（Quick Page/Post Redirect）插件安装量超 7 万，5 年前被植入后门，可向用户网站注入任意代码。

该恶意软件由 WordPress 托管服务提供商 Anchor 的创始人奥斯汀・金德（Austin Ginder）发现。...

一个源自巴西的网络犯罪团伙在沉寂三年多后卷土重来，策划了一场针对 Minecraft 玩家的活动，使用名为 LofyStealer（又名 GrabBot）的新型窃取器。 巴西网络安全公司 ZenoX 在一份技术报告中表示：“该恶意软件伪装成一个名为‘Slinky’的 Minecraft 外挂。它使用官方游戏图标诱导用户自愿执行，利用了游戏场景中年轻用户的信任。”...

疑似俄罗斯通过 Signal 发起的钓鱼攻击 targeting 德国官员，利用信任获取账户访问权限及敏感政治通信内容。 新一轮针对欧洲政治领导层的网络行动再次凸显：现代间谍活动越来越依赖欺骗手段，而非技术漏洞。德国当局最近的调查指出，这是一场通过 Signal 消息平台开展的大规模钓鱼活动，且有强烈迹象表明俄罗斯参与其中。 据多方报道 [1, 2, 3]，该活动瞄准了包括德国政客、部长、军事人员、外交官和记者在内的高调人物。德国检察官已就此展开调查，认为这可能是一次协调一致的间谍行动，初步证据指向国家支持的攻击者。...

研究人员警告称，VECT 2.0 勒索软件在处理加密非ces（nonces）时存在一个问题，导致其永久销毁大文件而非对其进行加密。 VECT 已在最新的 BreachForums 迭代版本之一上进行宣传，邀请注册用户成为合作伙伴，并通过私信向感兴趣的用户分发访问密钥。 在某个时间点，VECT 运营者宣布与 TeamPCP 威胁组织建立合作关系。该组织负责近期影响 Trivy、LiteLLM 和 Telnyx 的供应链攻击，以及对欧盟委员会的攻击。...

Vimeo 近日披露，在数据分析异常检测公司 Anodot 近期遭遇泄露事件后，部分 Vimeo 客户和用户的数据被未经授权访问。 该视频平台表示，威胁行为者获取了部分客户的电子邮件地址，但大部分暴露的信息包括技术数据、视频标题和元数据。 Vimeo 在声明中指出：“我们已确认，由于 Anodot 泄露事件，未经授权的演员访问了某些 Vimeo 用户和客户数据。我们的初步调查结果表明，被访问的数据库主要包含技术数据、视频标题和元数据，在某些情况下还包括客户电子邮件地址。”...

黑客正在通过一个被追踪为 CVE-2026-42208 的严重漏洞，攻击存储在开源大语言模型网关 LiteLLM 中的敏感信息。 该漏洞是一个 SQL 注入问题，发生在 LiteLLM 的代理 API 密钥验证步骤中。攻击者无需身份认证即可利用它——只需向任意 LLM API 路由发送一个精心构造的 Authorization 请求头即可。 这使得攻击者能够读取并修改代理数据库中的数据。根据维护者发布的安全公告，威胁行为者可利用该漏洞“未经授权访问代理及其管理的凭据”。...

网络安全研究人员披露了一个影响 GitHub.com 和 GitHub Enterprise Server 的严重安全漏洞细节。该漏洞允许经过身份验证的用户通过单个 git push 命令获得远程代码执行权限。 该缺陷被追踪为 CVE-2026-3854（CVSS 评分：8.7），属于命令注入问题。拥有仓库推送权限的攻击者可借此在实例上实现远程代码执行。...

HackerNews 编译，转载请注明出处：

在线交易平台罗宾汉（Robinhood）的账户创建流程被威胁行为者利用，他们将网络钓鱼信息注入合法邮件，诱使用户相信其账户出现可疑活动。

从昨晚开始，罗宾汉的客户陆续收到主题为 “您最近登录罗宾汉” 的邮件，...