HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Gemini MCP 工具存在一个高危零日漏洞，使用户在无需任何身份验证的情况下暴露于远程代码执行（RCE）攻击。 该漏洞追踪编号为 ZDI-26-021 / ZDI-CAN-27783，通用漏洞标识符为CVE-2026-0755，其 CVSS v3.1 最高评分为 9.8 分，反映了其易被利用且危害程度高的特性。 根据趋势科技零日计划（ZDI）的一份新公告，该漏洞影响了开源工具 gemini-mcp-tool，该工具用于实现 Gemini 模型与模型上下文协议（MCP）服务的集成。 漏洞概述 在公告中，涉事厂商及产品均标注为 Gemini MCP Tool / gemini-mcp-tool。该漏洞的核心成因是 execAsync 方法对用户输入数据处理不当。 该函数未对用户输入进行充分验证与净化，便直接将其传入系统调用。 远程攻击者可以利用此命令注入漏洞，在目标底层系统上执行任意代码，且代码执行权限与服务账户权限一致。 由于攻击媒介是基于网络的，且无需事先身份验证或用户交互，因此暴露于公网或共享环境的风险特别高。 该漏洞最初于 2025 年 7 月 25 日通过第三方平台报告给相关厂商。 ZDI 在 2025 年 11 月跟进漏洞修复进展，在未获得充分反馈的情况下，于 2025 年 12 月 14 日告知供应商其打算将此案例作为零日漏洞进行公告披露。 该漏洞的协同公开披露及安全公告更新工作于 2026 年 1 月 9 日完成。 截至公告发布时，厂商尚未推出官方补丁及修复更新。因此，该漏洞的缓解措施选项有限。 ZDI 建议严格限制对 Gemini MCP 工具的访问权限，确保其不直接暴露于互联网，且仅允许可信网络及可信用户进行交互。 管理员还需对运行 gemini-mcp-tool 的系统进行监控，重点排查可疑进程执行及异常对外连接情况，此类现象可能意味着漏洞已被成功利用。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了在 n8n 工作流自动化平台两个新的安全漏洞，其中一个为可导致远程代码执行的高危漏洞。 这两个由 JFrog 安全研究团队发现的漏洞详情如下： CVE-2026-1470（CVSS 评分：9.9）：一个 eval 注入漏洞。经过身份验证的用户可通过传入特制的 JavaScript 代码，绕过平台的表达式沙箱机制，从而在 n8n 主节点上实现完整的远程代码执行。 CVE-2026-0863（CVSS 评分：8.5）：一个 eval 注入漏洞。经过身份验证的用户可借此绕过 n8n 的 python-task-executor 沙箱限制，在底层操作系统上运行任意 Python 代码。 成功利用这些漏洞可使攻击者劫持整个 n8n 实例，即便该实例运行在 “内部” 执行模式下也不例外。n8n 在其文档中指出，在生产环境中使用内部模式可能带来安全风险，并建议用户切换至外部模式，以确保 n8n 与任务运行进程之间有适当的隔离。 “n8n 为自动化 AI 工作流而遍布企业全流程，因此它掌控着、基础设施的核心工具、功能和数据密钥，包括大语言模型（LLM）API、销售数据和内部身份与访问管理（IAM）系统等，”JFrog 在与 The Hacker News 分享的声明中表示。“一旦发生沙箱逃逸，就相当于为黑客提供了通往整个公司的有效‘万能钥匙’。” 为修复这些漏洞，建议用户升级至以下版本： CVE-2026-1470：请升级至 1.123.17、2.4.5 或 2.5.1 版本。 CVE-2026-0863：请升级至 1.123.14、2.3.5 或 2.4.2 版本。 此次披露距离 Cyera Research Labs 详细说明 n8n 中一个最高危漏洞（CVE-2026-21858，又名 Ni8mare）仅过去数周，该漏洞允许未经认证的远程攻击者完全控制易受攻击的实例。 “这些漏洞凸显了安全地沙箱化 JavaScript 和 Python 这类动态高级语言的难度之大，”研究员 Nathan Nehorai 表示。“即便部署了多层验证、拒绝列表和基于抽象语法树（AST）的控制措施，攻击者仍可利用微妙的语言特性和运行时行为来突破安全设计的预设。” “在此案例中，一些已被弃用或鲜少使用的语法结构，结合解释器的变更与异常处理行为，便足以突破原本限制严格的沙箱，最终实现远程代码执行。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。 Fortinet 已开始已开始逐步推送针对某款正遭攻击的高危 FortiOS 漏洞的修复补丁。该漏洞编号为 CVE-2026-24858（CVSS 评分为 9.4），可允许攻击者通过单点登录（SSO）绕过身份认证。它影响 FortiOS、FortiManager 和 FortiAnalyzer，Fortinet ，Fortinet 正在调查其他产品是否受影响。 安全公告中写道：“FortiOS、FortiManager 及 FortiAnalyzer 中存在一项‘使用替代路径或通道进行身份验证绕过’的漏洞（CWE-288）。若相关设备启用了 FortiCloud SSO 认证，则拥有 FortiCloud 账户及已注册设备的攻击者，可能借此登录到其他账户下的已注册设备。”“请注意，FortiCloud SSO 登录功能在出厂默认设置中处于关闭状态。然而，当管理员通过设备图形界面（GUI）将其注册至 FortiCare 时，若未在注册页面手动关闭‘允许使用 FortiCloud SSO 进行管理登录’选项，则该功能将会在注册完成后自动启用。” Fortinet 强调，FortiCloud SSO 登录功能默认禁用。仅当管理员通过 GUI 将设备注册至 FortiCare，或在注册时明确启用 FortiCloud SSO 管理登录选项后，该功能才会激活。 这家网络安全厂商证实，已有两个恶意 FortiCloud 账户利用该漏洞发起攻击，相关账户已于 2026 年 1 月 22 日被封禁。为遏制漏洞滥用，FortiCloud SSO 服务在 1 月 26 日被临时禁用，并于 1 月 27 日重新启用。目前，该服务会阻止运行易受攻击版本的设备登录，用户必须将设备升级至受支持的版本，方可继续使用 FortiCloud SSO 认证。 该公司仍在调查其他产品（如 FortiWeb 和 FortiSwitch Manager）是否受此漏洞影响。 Fortinet 提供了临时应对方案：由于 FortiCloud SSO 现已禁止来自运行漏洞版本的设备登录，因此客户端并非必须禁用 SSO。但作为额外防护，管理员仍可通过 GUI 或CLI，在 FortiOS、FortiProxy、FortiManager 和 FortiAnalyzer 上手动禁用 FortiCloud SSO，直至系统完成全面修补。 上周，Fortinet 确认已修复的设备也遭到了绕过 FortiCloud SSO 的攻击。他们通过自动化手段修改防火墙设置、添加用户、启用 VPN 并窃取配置文件，其攻击模式与 2025 年 12 月利用严重 FortiCloud SSO 漏洞的攻击模式相似。 Arctic Wolf 研究人员报告称，自 2026 年 1 月 15 日起观测到一个新的自动化攻击集群，该集群专门针对 FortiGate 设备。攻击者创建通用账户以维持访问权限、启用 VPN 访问并窃取防火墙配置。此活动与 2025 年 12 月那起涉及管理员 SSO 登录和配置窃取的攻击活动类似。Arctic Wolf 已部署相应检测机制，并持续监控这一持续演变的威胁。 2025年12月，Fortinet 披露了两个严重的 SSO 认证绕过漏洞，编号为 CVE-2025-59718 和 CVE-2025-59719，其本质是加密签名验证不当问题。 Arctic Wolf 警告称，在补丁发布数日后，攻击者就已开始利用 Fortinet 产品中的这两个严重漏洞。 Arctic Wolf 研究人员检测到，攻击者在 2025 年 12 月 12 日便开始利用这些严重的 Fortinet 认证绕过漏洞，此时距补丁发布仅三天。攻击涉及在 FortiGate 设备上进行恶意 SSO 登录，主要目标是来自多家托管服务提供商的管理员账户。获取访问权限后，攻击者随即通过 GUI 导出设备配置文件。这些文件中包含哈希加密后的凭证信息，攻击者可尝试离线破解，从而增加了系统被进一步入侵的风险。 近期的入侵事件显示，恶意 SSO 登录源自少数几家托管服务提供商，且常针对 cloud-init@mail.io 账户。在成功通过 SSO 访问后，攻击者会迅速通过 GUI 导出防火墙配置，并创建用于维持访问权限的次级管理员账户。这些操作均在数秒内完成，表明攻击高度自动化。 Fortinet 证实，即便已针对 CVE-2025-59718 和 CVE-2025-59719 完成修补的设备，也未能幸免。该公司在观察到已完全更新的设备仍遭登录利用后，发现了一条新的攻击路径。修复工作正在进行中，安全公告即将发布，所有基于 SAML 的 SSO 实现均可能受影响。 该公司发布的公告中写道：“近期，少量客户报告其设备出现了异常登录活动，这与先前的问题极为相似。然而，在过去24小时内，我们确认了多起攻击案例，其目标设备在受攻击时均已升级至最新版本，这表明存在新的攻击路径。” “Fortinet 产品安全团队已识别该问题，公司正在制定修复方案。待修复范围与具体时间表确定后，将发布正式安全公告。需要强调的是，尽管目前仅观测到 FortiCloud SSO 遭利用的案例，但此问题影响所有 SAML SSO 部署场景。”       消息来源:securityaffairs ： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已对官方扩展应用市场中一款新的恶意Microsoft Visual Studio Code（VS Code）扩展发出警示，该扩展针对Moltbot（原名Clawdbot），自称是免费的人工智能编码助手，却会在受感染主机上暗中植入恶意载荷。 该扩展名为“ClawdBot Agent – AI Coding Assistant”（标识符为“clawdbot.clawdbot-agent”），现已被微软下架。它由用户“clawdbot”于2026年1月27日发布。 Moltbot近期大受欢迎，截至本文撰写时，其在GitHub平台的标星量已超过8.5万。这一开源项目由奥地利开发者Peter Steinberger创建，支持用户在自有设备本地运行基于大语言模型（LLM）驱动的个人人工智能助手，并可通过WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams和WebChat等主流通信平台与其交互。 关键点在于，Moltbot本身并未提供官方的VS Code扩展，这意味着此次活动的幕后黑手利用该工具日益增长的热度，诱骗毫无戒心的开发者安装恶意扩展。 该恶意扩展被设计为在每次启动集成开发环境（IDE）时自动执行，它会暗中从外部服务器（“clawdbot.getintwopc[.]site”）获取名为“config.json”的文件，进而执行一个名为“Code.exe”的二进制程序，该程序会部署ConnectWise ScreenConnect 等合规远程桌面程序。 随后，该应用会连接至URL“meeting.bulletmailer[.]net:8041”，使攻击者获得对受感染主机的持续性远程访问权限。 “攻击者搭建了自己的ScreenConnect中继服务器，生成了预配置的客户端安装程序，并通过VS Code扩展进行分发，”Aikido研究员Charlie Eriksen表示。“受害者安装该扩展后，会获得一个功能完整的ScreenConnect客户端，并立即主动连接至攻击者的基础设施。” 此外，该扩展还包含一个后备机制：从“config.json”文件中列出的DLL获取数据，并通过侧载方式从Dropbox获取相同有效载荷。这个用Rust编写的DLL（“DWrite.dll”）确保即使命令与控制（C2）基础设施无法访问，ScreenConnect客户端仍能成功部署。 这并非该扩展内置的唯一恶意载荷投递备份机制。该伪造的Moltbot扩展还嵌入了硬编码URL，用于获取可执行文件及待侧加载的DLL。第二种替代方法则是通过批处理脚本从另一个域名（“darkgptprivate[.]com”）获取恶意载荷。   Moltbot的安全隐患 此次披露的背景是，安全研究员、Dvuln 公司创始人Jamieson O’Reilly发现网络上存在数百个未认证的 Moltbot 实例，导致配置数据、应用程序编程接口（API）密钥、开放授权（OAuth）凭证及私人聊天记录泄露给未授权主体。 “真正的问题在于Clawdbot代理拥有高度自主权，”O’Reilly解释道。“它们能以用户身份在Telegram、Slack、Discord、Signal和WhatsApp上发送消息，并能执行工具和运行命令。” 这进而可能导致攻击者冒充用户联系其通讯录好友、在持续对话中插入恶意消息、篡改代理回复内容，并在用户不知情下窃取敏感数据。更严重的是，攻击者可能通过MoltHub（原ClawdHub）分发植入后门的 Moltbot “技能组件”，从而发起供应链攻击并窃取敏感数据。 安全公司Intruder在同类分析中指出，已观察到大量配置不当案例，导致凭证泄露、提示注入漏洞以及跨多家云服务商的实例遭入侵。 “核心问题在于架构设计：Clawdbot将部署便捷性置于默认安全配置之上，”Intruder安全工程师Benjamin Marr在声明中表示。“非技术用户可快速部署实例并集成敏感服务，全程无需通过任何安全验证或障碍。系统未强制要求防火墙设置、未进行凭证验证，也未对不可信插件实施沙箱隔离。” 建议使用默认配置运行Clawdbot的用户尽快审计配置、撤销所有已集成的服务连接、检查已暴露的凭证、实施网络控制措施，并持续监控系统是否出现异常迹象。       消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 音频流媒体平台SoundCloud系统遭黑客入侵，超过2980万用户账户的个人信息与联系方式被盗。这家成立于2007年、以艺术家为核心的平台，目前为全球4000多万艺术家提供超过4亿首曲目访问服务。 公司于12月15日确认数据泄露事件，此前用户普遍反映无法访问SoundCloud，且通过VPN连接时出现403″禁止访问”错误。SoundCloud当时向科技媒体BleepingComputer表示，在检测到涉及辅助服务控制面板的未授权活动后已启动事件响应程序。 “我们获悉某自称威胁行为者的组织访问了公司持有的部分有限数据，”SoundCloud声明称，”已完成受影响数据的调查，确认未涉及财务数据或密码等敏感信息。泄露数据仅包含电子邮件地址及SoundCloud公开个人资料中已显示的信息。” 尽管SoundCloud未披露事件具体细节，BleepingComputer获悉此次泄露影响平台20%用户（约2800万账户，基于公开用户数据计算）。SoundCloud随后发布的安全公告证实了该媒体信源的信息准确性。 调查发现，勒索组织ShinyHunters是本次攻击的幕后黑手，该组织曾试图勒索SoundCloud。公司1月15日更新确认了该情况，称威胁行为者”提出勒索要求，并通过邮件洪水攻击骚扰用户、员工及合作伙伴”。 虽然SoundCloud尚未公布具体受影响用户数量，但数据泄露通知服务”Have I Been Pwned”周一披露了事件全貌：约2980万账户的电子邮箱、地理位置、姓名、用户名及个人资料统计数据在此次事件中被窃取。 该通知服务说明称：”2025年12月，SoundCloud宣布发现平台存在未授权活动。攻击者借此将约20%用户的公开资料数据与电子邮箱地址进行匹配。受影响数据包含3000万个独立邮箱地址、姓名、用户名、头像、关注者统计信息，部分案例还涉及用户所在国家。攻击者随后试图勒索SoundCloud，并于次月公开泄露数据。” BleepingComputer今日再次就12月事件联系SoundCloud询问细节，尚未获得即时回复。值得关注的是，ShinyHunters上周还宣称对Okta、微软及谷歌单点登录账户的语音钓鱼攻击浪潮负责，此类攻击可能导致企业SaaS平台被入侵进而窃取数据用于勒索。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯家庭、企业及车辆警报安防系统提供商Delta公司近日遭受网络攻击，导致运营瘫痪、服务大面积中断，引发客户投诉潮。该公司周一发布声明称，遭遇”大规模、协同且组织严密”的网络攻击，攻击源来自某未指明的”敌对国家”，部分服务出现临时中断，但尚无证据表明客户个人信息泄露。 Delta营销总监瓦列里·乌什科夫在视频声明中表示：”我们的系统架构未能抵御来自境外的高度协同攻击。”他同时指出，由于公司持续面临后续攻击威胁，数据备份恢复工作进展缓慢。技术团队正全力修复系统，预计将尽快全面恢复运营。 截至周二，Delta官网及电话线路仍处于离线状态，公司被迫通过社交媒体平台VKontakte与数万名客户保持沟通。此次事件对用户造成切实影响：俄语Telegram新闻频道Baza报道称，事件发生后用户立即投诉车辆警报系统无法关闭或完全锁死车辆；《生意人报》报道则指出，尽管Delta声称多数服务运行正常，用户仍反映出现远程车辆启动系统故障、车门意外锁闭、行驶中引擎熄火等广泛问题。 此外，用户还报告住宅和商业建筑的警报系统自动切换至紧急模式且无法解除。尽管Delta坚称客户数据未泄露，某个自称攻击方运营的匿名Telegram频道发布了据称包含被盗数据的文件压缩包。相关材料的真实性及攻击者身份均未获独立核实。 值得注意的是，同一日俄罗斯航空业也遭遇大规模IT系统中断，多家航空公司及机场的订票值机系统瘫痪。多家航司报告称，在多个航空IT系统检测到问题后，售票、值机、改签及退款服务均出现临时中断。俄罗斯官方表示此次中断由航空业通用系统运营商Sirena-Travel的内部技术故障引起，未归因为网络攻击。该公司此前曾多次遭黑客攻击，包括2023年其Leonardo航班预订系统被入侵事件。 消息来源: therecord.media： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司LayerX披露，有威胁行为者创建了16款专门窃取用户ChatGPT会话数据的浏览器扩展程序，并成功上架了Chrome和Edge官方商店。该攻击者利用用户对AI增效工具日益增长的需求，向Chrome应用商店投放15款扩展，向微软Edge扩展商店投放1款。 据LayerX报告，这些伪装成ChatGPT增强工具和效率工具的扩展程序累计下载量已超900次，截至1月26日仍在官方商店流通。其攻击机制并非利用ChatGPT漏洞，而是通过向chatgpt.com注入内容脚本并在主JavaScript环境中执行，从而截获用户会话认证令牌并发送至远程服务器。 具体运作流程显示，脚本会监控网页应用发起的出站请求，识别并提取授权头部信息，再由第二层内容脚本将数据外传到远程服务器。”这种方式使扩展程序运营者能够使用受害者活跃会话登录ChatGPT服务，获取全部历史对话记录和连接器信息，”LayerX指出。 安全公司分析发现，攻击者利用主JavaScript环境中的内容脚本直接与页面原生运行时交互，而非依赖浏览器的内容脚本环境。被分析的扩展程序还会窃取扩展元数据、使用遥测数据、事件数据以及后端颁发的访问令牌。”这些数据使攻击者能进一步扩展令牌权限，实现用户身份持久识别、行为画像分析及对第三方服务的长期访问，”LayerX表示。 根据共享代码库、发布者特征以及相似的图标、品牌标识和描述，安全研究人员判断这16款扩展均出自同一威胁行为者之手。LayerX强调：”通过主环境执行与认证令牌截获的组合攻击，运营者在符合标准网络行为规范的前提下实现了对用户账户的持久访问。此类技术利用传统终端或网络安全工具极难检测。” 消息来源: securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Koi警告称，JavaScript生态系统主流包管理器（包括NPM、PNPM、VLT和Bun）存在的六项安全漏洞可能被利用来绕过供应链攻击防护机制。这些被统称为”PackageGate”的安全缺陷，可能导致攻击者隐藏在依赖包中的恶意代码被执行。 继Shai-Hulud和PhantomRaven等重大NPM供应链攻击事件后，各组织和开发者普遍采用两大防护机制：一是设置标志位阻止安装包时自动执行预装/安装/后装脚本；二是记录依赖树中每个包的版本及完整性哈希值，后续安装时进行哈希校验。 Koi指出，影响四大包管理器的六项PackageGate漏洞可绕过这些防护措施，实现完全远程代码执行（RCE），但各管理器的攻击手法存在差异： • NPM中可通过包含恶意.npmrc文件的Git依赖实现RCE • PNPM默认禁用的脚本防护仅适用于构建阶段，不适用于Git依赖处理 • VLT的压缩包解压操作存在路径遍历漏洞，可导致系统任意文件写入 • Bun的脚本执行白名单仅验证包名而非来源，攻击者可伪装合法包实现RCE 此外，Koi发现PNPM和VLT仅存储压缩包依赖的URL而缺乏完整性哈希验证，导致初始安装通过安全检查的压缩包可能在后续安装中被篡改注入恶意代码。”攻击者一旦将恶意包植入依赖树（即使嵌套多层），即可根据时间、IP地址等信号定向投递恶意负载，”Koi强调。 安全公司已向四家包管理器提交漏洞报告。PNPM、VLT和Bun均在数周内修复漏洞，其中PNPM漏洞编号为CVE-2025-69263和CVE-2025-69264。但NPM方面将该报告标记为”信息性说明”，认为相关功能按设计运行。Koi指出该安全风险真实存在，已观测到威胁行为体讨论利用恶意.npmrc文件的概念验证代码。 针对安全媒体询问，NPM母公司GitHub回应称，通过Git安装依赖包时信任整个代码库是预期设计。”我们正积极处理新报告的问题，NPM持续扫描注册表中的恶意软件。保障NPM生态系统安全需要集体努力，我们强烈建议项目采用可信发布、精细化访问令牌及强制双因素认证来加固软件供应链。GitHub持续投入加强NPM安全，近期已实施认证和令牌管理改进措施。” 消息来源: securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全非营利组织Shadowserver近日报告称，超过6000台SmarterMail服务器暴露在互联网上，极易遭受编号为CVE-2026-23760的关键身份验证绕过漏洞攻击。网络安全公司watchTowr于1月8日披露该漏洞，SmarterTools公司于1月15日发布补丁，但未分配CVE编号。 安全公告指出：”SmarterTools SmarterMail 9511版本之前的密码重置API存在身份验证绕过漏洞。强制重置密码端点允许匿名请求，且在重置系统管理员账户时未能验证现有密码或重置令牌。未经验证的攻击者只需提供目标管理员用户名和新密码即可重置账户，导致SmarterMail实例完全被管理员权限接管。” watchTowr研究人员发布了仅需管理员用户名的概念验证攻击代码。攻击者可利用此漏洞劫持管理员账户，在目标服务器实现远程代码执行，最终完全控制存在漏洞的服务器。 Shadowserver根据版本检测发现，全球超过6000台SmarterMail服务器可能易受攻击。研究人员还监测到实际攻击中已出现漏洞利用尝试。 该组织在社交媒体平台X上表示：”我们已将SmarterMail CVE-2026-23760远程代码执行漏洞纳入日常漏洞扫描。根据版本检测，全球约6000个IP地址可能受影响，并已观测到实际攻击中的漏洞利用尝试。” 数据显示，大部分存在漏洞的服务器位于美国（约4100台），其次是马来西亚（449台）、印度（188台）、加拿大（166台）和英国（146台）。 本周，美国网络安全与基础设施安全局（CISA）已将CVE-2026-23760列入其已知被利用漏洞目录，要求联邦民事行政部门机构在2026年2月16日前完成漏洞修复工作。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文