HackerNews 编译，转载请注明出处： 苹果公司近日紧急发布安全更新，修复编号为CVE-2025-24201的零日漏洞。该漏洞存在于WebKit跨平台网页浏览器引擎中，影响Safari浏览器及多款运行于macOS、iOS、Linux和Windows系统的应用程序。 “此次更新是对iOS 17.2版本已防御攻击的补充修复。”苹果在周二发布的安全公告中表示，”我们确认该漏洞在iOS 17.2之前版本中，已被用于针对特定人群实施高度复杂的定向攻击。” 经证实，攻击者可通过特制恶意网页内容突破Web内容沙箱限制。目前苹果已通过强化检测机制修复了该越界写入漏洞，相关补丁包含在iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1更新中。 受影响的设备型号包括： – iPhone XS及后续机型 – iPad Pro全系（13英寸/12.9英寸第三代起/11英寸第一代起） – iPad Air第三代起 – iPad第七代起 – iPad mini第五代起 – 运行macOS Sequoia系统的Mac设备 – Apple Vision Pro 苹果暂未透露漏洞发现者信息，也未披露相关攻击行动的具体细节。虽然该漏洞目前主要用于定向攻击，但安全专家强烈建议用户立即更新系统以防范潜在攻击。 这是苹果本年度修复的第三个零日漏洞，此前分别于1月（CVE-2025-24085）和2月（CVE-2025-24200）修复两处漏洞。2024全年苹果共修复6个野外利用漏洞，而2023年漏洞修复量达20个，其中包含： – 11月：CVE-2023-42916、CVE-2023-42917 – 10月：CVE-2023-42824、CVE-2023-5217 – 9月：5个漏洞（CVE-2023-41061等） – 7月：CVE-2023-37450、CVE-2023-38606 – 6月：CVE-2023-32434等3个 – 5月：CVE-2023-32409等3个 – 4月：CVE-2023-28206等2个 – 2月：WebKit漏洞CVE-2023-23529   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一根据在野活跃利用的证据，将影响Advantive VeraCore和Ivanti Endpoint Manager（EPM）的五个安全漏洞添加到了已知被利用漏洞（KEV）目录中。 漏洞列表如下： – CVE-2024-57968：Advantive VeraCore中的无限制文件上传漏洞，允许远程未认证的攻击者通过upload.aspx上传文件到意外的文件夹。 – CVE-2025-25181：Advantive VeraCore中的SQL注入漏洞，允许远程攻击者执行任意SQL命令。 – CVE-2024-13159：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13160：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 – CVE-2024-13161：Ivanti EPM中的绝对路径遍历漏洞，允许远程未认证的攻击者泄露敏感信息。 VeraCore漏洞的利用被归因于可能是一个名为XE Group的越南威胁行为者，该组织已被观察到投放反向shell和web shell以维持对受感染系统的持久远程访问。 另一方面，目前没有公开报告说明三个Ivanti EPM漏洞在现实攻击中是如何被利用的。上个月，Horizon3.ai发布了一个概念验证（PoC）利用。这家网络安全公司将它们描述为“凭证强迫”漏洞，可能允许未认证的攻击者危及服务器。 鉴于活跃利用的情况，联邦民用执行分支（FCEB）机构必须在2025年3月31日之前应用必要的补丁。 这一发展正值威胁情报公司GreyNoise警告CVE-2024-4577的大规模利用，这是一个影响PHP-CGI的严重漏洞，攻击活动激增，针对日本、新加坡、印度尼西亚、英国、西班牙和印度。 “过去30天内针对CVE-2024-4577的IP中，超过43%来自德国和中国，”GreyNoise表示，并补充说，它“检测到2月份针对多个国家网络的协调性利用尝试激增，表明对易受攻击目标的额外自动化扫描。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国台湾地区公司摩莎（Moxa）发布了一项安全更新，以解决其PT交换机中的一个关键安全漏洞，该漏洞可能允许攻击者绕过认证。 该漏洞被追踪为CVE-2024-12297，CVSS v4评分为9.2（满分10.0）。 摩莎在上周发布的一份咨询报告中表示：“由于授权机制中的缺陷，多款摩莎PT交换机容易出现认证绕过漏洞。” “尽管有客户端和后端服务器验证，但攻击者可以利用其实现中的漏洞。该漏洞可能使暴力破解攻击得以进行，以猜测有效凭证，或者利用MD5冲突攻击伪造认证哈希，从而可能危及设备的安全。” 成功利用这一漏洞，可能会导致认证绕过，允许攻击者获得未经授权的访问权限，进入敏感配置或中断服务。 受影响的版本包括： – PT-508系列（固件版本3.8及更早版本） – PT-510系列（固件版本3.8及更早版本） – PT-7528系列（固件版本5.0及更早版本） – PT-7728系列（固件版本3.9及更早版本） – PT-7828系列（固件版本4.0及更早版本） – PT-G503系列（固件版本5.3及更早版本） – PT-G510系列（固件版本6.5及更早版本） – PT-G7728系列（固件版本6.5及更早版本） – PT-G7828系列（固件版本6.5及更早版本） 该漏洞的补丁可通过联系摩莎技术支持团队获得。该公司感谢莫斯科Rosatom自动化控制系统（RASU）的Artem Turyshev报告了这一漏洞。 除了应用最新修复程序外，使用受影响产品的公司还被建议使用防火墙或访问控制列表（ACL）限制网络访问，强制执行网络分段，尽量减少直接暴露于互联网，对访问关键系统实施多因素认证（MFA），启用事件日志记录，并监控网络流量和设备行为以发现异常活动。 值得注意的是，摩莎在2025年1月中旬已经解决了以太网交换机EDS-508A系列（固件版本3.11及更早版本）中的同一漏洞。 这一修复措施是在两个月前摩莎推出其蜂窝路由器、安全路由器和网络安全设备的补丁（CVE-2024-9138和CVE-2024-9140）之后不久，这些补丁可防止权限提升和命令执行。 上个月，摩莎还解决了影响各种交换机的多个高严重性漏洞（CVE-2024-7695、CVE-2024-9404和CVE-2024-9137），可能导致拒绝服务（DoS）攻击或命令执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Cato CTRL 团队的新发现，未修复的 TP-Link Archer 路由器已成为一个新的僵尸网络活动的目标，该活动被称为 Ballista。 “该僵尸网络利用 TP-Link Archer 路由器中的远程代码执行（RCE）漏洞（CVE-2023-1389），通过互联网自动传播自身。” 安全研究员 Ofek Vardi 和 Matan Mittelman 在与 The Hacker News 共享的技术报告中表示。 CVE-2023-1389 是影响 TP-Link Archer AX-21 路由器的高严重性安全漏洞，可能导致命令注入，从而为远程代码执行铺平道路。 最早利用该漏洞的证据可以追溯到 2023 年 4 月，当时未知的威胁行为者利用它来投放 Mirai 僵尸网络恶意软件。从那以后，它还被用来传播 Condi 和 AndroxGh0st 等其他恶意软件家族。 Cato CTRL 表示，他们于 2025 年 1 月 10 日检测到了 Ballista 活动，最近一次利用尝试记录在 2 月 17 日。 攻击序列涉及使用恶意软件投放器，一个名为 “dropbpb.sh” 的 shell 脚本，设计用于在目标系统上获取并执行适用于各种系统架构（如 mips、mipsel、armv5l、armv7l 和 x86_64）的主要二进制文件。 一旦执行，恶意软件会在 82 端口建立加密的命令和控制（C2）通道，以控制设备。 “这允许运行 shell 命令以进行进一步的远程代码执行和拒绝服务（DoS）攻击。” 研究人员表示，“此外，恶意软件还会尝试读取本地系统上的敏感文件。” Ballista 僵尸网络 支持的一些命令包括： flooder，触发洪水攻击 exploiter，利用 CVE-2023-1389 漏洞 start，与 exploiter 一起使用的可选参数，用于启动模块 close，停止触发功能的模块 shell，在本地系统上运行 Linux shell 命令 killall，用于终止服务 此外，它能够在执行开始时终止之前的实例并擦除自身存在。它还设计用于通过尝试利用该漏洞传播到其他路由器。 使用 C2 IP 地址位置（2.237.57[.]70）和恶意软件二进制文件中存在意大利语字符串，表明涉及未知的意大利威胁行为者，网络安全公司表示。 尽管如此，似乎该恶意软件正在积极开发中，因为该 IP 地址已不再有效，并且存在一个新的投放器变体，使用 TOR 网络域而不是硬编码的 IP 地址。 在攻击面管理平台 Censys 上的搜索显示，超过 6000 台设备被 Ballista 感染。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。 该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务和科技组织。 “虽然这个恶意软件样本与其他僵尸网络有相似之处，但它仍然与广泛使用的 Mirai 和 Mozi 僵尸网络不同。” 研究人员表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024 年，通过谷歌的漏洞赏金计划（VRP），660 名安全研究员因报告安全漏洞共获得了近 1200 万美元的赏金。 谷歌在去年对 VRP 的奖励结构进行了改革，将单笔最高奖励提升至 151515 美元，而移动 VRP 为顶级应用的关键漏洞提供高达 300000 美元的奖励（对于特别高质量的报告，最高奖励可达 450000 美元）。 去年 7 月，云 VRP 将顶级奖励金额最高上调了五倍，而 Chrome 安全漏洞的赏金如今也已超过 250000 美元。 去年，谷歌还将 MiraclePtr 绕过漏洞的赏金从 100115 美元提高到 250128 美元，翻了一倍多。此外，2023 年 10 月推出的 kvmCTF 新漏洞赏金计划，旨在提升基于内核的虚拟机（KVM）管理程序的安全性，为完整的虚拟机逃逸漏洞提供 250000 美元的赏金。 谷歌表示，自 2010 年首个漏洞赏金计划启动以来，已累计发放 6500 万美元的漏洞赏金，而去年的最高单笔奖励超过 110000 美元。 2024 年，谷歌向 137 名 Chrome VRP 研究员发放了 340 万美元，以奖励他们报告的 137 个有效 Chrome 安全漏洞。 去年，谷歌还向通过 Android 和谷歌设备安全奖励计划以及谷歌移动漏洞赏金计划报告安全漏洞的研究员支付了 330 多万美元。 “2025 年，我们将庆祝谷歌 VRP 15 周年。15 年来，我们始终致力于与安全社区的合作、创新和透明度，未来也将继续如此。” 谷歌表示，“我们的目标仍然是领先于新兴威胁，适应技术发展，并持续增强谷歌产品和服务的安全性。” 2023 年，谷歌向 632 名研究员支付了 1000 万美元，以奖励他们发现并负责任地报告其产品和服务中的安全漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Akamai 研究人员发现，Edimax IC-7100 IP 摄像头存在一个关键的命令注入漏洞（CVE-2025-1316），目前正被僵尸网络恶意软件积极利用以攻陷设备。研究人员确认，这一漏洞正在被用于仍在进行中的攻击。该漏洞源于对传入请求的不当中和，允许攻击者通过发送特制请求来执行远程代码。 Akamai 研究员 Kyle Lefton 表示，他们将在下周提供有关该漏洞及其相关僵尸网络的更多技术细节。 在发现该漏洞后，Akamai 向美国网络安全与基础设施安全局（CISA）报告了这一情况，CISA 随后尝试联系台湾厂商 Edimax。 “无论是 Akamai SIRT 还是 CISA 都多次尝试联系厂商（Edimax）。CISA 未能从他们那里得到回应，”Lefton 告诉 BleepingComputer.com。 “我亲自联系了他们并得到了回复，但他们只是说所涉及的设备 IC-7100 已经停产，因此不会收到进一步的更新。由于 Edimax 无法向我们提供更多资讯，这个 CVE 可能影响更广泛的设备范围，而且不太可能发布补丁。” Edimax IC-7100 是一款用于家庭、小型办公大楼、商业设施和工业场所远程监控的 IP 安全摄像头。该产品已不再广泛零售，于 2011 年 10 月发布，Edimax 将其列为“遗留产品”，这意味着它不再生产，很可能也不再获得支持。然而，全球范围内仍有许多这样的设备在使用。 Edimax 漏洞被追踪为 CVE-2025-1316，是一个严重程度为关键的（CVSS v4.0 评分 9.3）操作系统命令注入漏洞，由传入请求的不当处理引起。远程攻击者可以通过向设备发送特制请求来利用此漏洞，从而获得远程代码执行的能力。在此情况下，当前的利用是由僵尸网络恶意软件执行的，旨在攻陷设备。 僵尸网络通常利用这些设备发起分布式拒绝服务（DDoS）攻击、代理恶意流量或作为跳板攻击同一网络中的其他设备。鉴于 CVE-2025-1316 的利用活动正在进行中，受影响的设备应立即下线或更换为获得积极支持的产品。 CISA 建议用户尽量减少受影响设备的网络暴露，将其置于防火墙之后，并将其与关键业务网络隔离。此外，美国机构建议在需要时使用最新的虚拟专用网络（VPN）产品进行安全远程访问。 常见的受感染 IoT 设备迹象包括性能下降、过度发热、设备设置意外更改以及出现异常网络流量。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic 近日发布了安全更新，以解决影响 Kibana（一款用于 Elasticsearch 的数据可视化仪表板软件）的一个严重安全漏洞，该漏洞可能导致任意代码执行。 该漏洞被追踪为 CVE-2025-25012，其 CVSS 评分为 9.9（满分 10.0），被描述为一种原型污染的情况。 公司周三发布的一份咨询报告中表示：“Kibana 中的原型污染可通过精心制作的文件上传和特定的 HTTP 请求来实现任意代码执行。” 原型污染漏洞是一种安全缺陷，允许攻击者操纵应用程序的 JavaScript 对象和属性，可能导致未经授权的数据访问、特权升级、拒绝服务或远程代码执行。 该漏洞影响 Kibana 8.15.0 到 8.17.3 之间的所有版本，已在 8.17.3 版本中得到解决。 网络安全 具体而言，在 Kibana 8.15.0 及以上版本中，只有具有 Viewer 角色的用户才会受到该漏洞的影响。在 Kibana 8.17.1 和 8.17.2 版本中，只有具有以下所有权限的用户才会受到该漏洞的影响 – – fleet-all – integrations-all – actions:execute-advanced-connectors 建议用户尽快采取措施，应用最新的修复程序，以防止潜在威胁。如果无法立即更新，建议用户在 Kibana 的配置（“kibana.yml”）中将 Integration Assistant 功能标记设置为 false（“xpack.integration_assistant.enabled: false”）。 2024 年 8 月，Elastic 解决了 Kibana 中另一个严重的原型污染漏洞（CVE-2024-37287，CVSS 评分：9.9），该漏洞也可能导致代码执行。一个月后，它又解决了两个严重的反序列化漏洞（CVE-2024-37288，CVSS 评分：9.9 和 CVE-2024-37285，CVSS 评分：9.1），这些漏洞也可能允许任意代码执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress 插件中的一处关键性安全漏洞（编号为 CVE – 2025 – 0912），使全球超 10 万个网站面临未授权的远程代码执行（RCE）攻击风险。 该漏洞在 GiveWP 捐款插件中被发现，其严重程度达到 CVSS 评分体系中的最高值 ——9.8 分（关键级）。漏洞产生的根源在于插件处理捐款表单时，对用户输入的数据未进行妥善处理。 攻击者可利用此漏洞，通过反序列化不可信输入，在插件代码库中注入恶意 PHP 对象，并借助面向属性编程（POP）链实现对服务器的全面入侵。 漏洞存在于插件处理捐款表单中 card_address 参数的方式当中。在 3.19.4 及更早版本中，该插件未能对通过此字段传递的序列化数据进行有效验证或清理，从而导致 PHP 对象注入（CWE – 502）。 在处理捐款时，give_process_donation_form（）函数会反序列化用户输入，却未进行充分检查，这就让攻击者得以精心制作攻击载荷，进而实例化任意 PHP 对象。 实现远程代码执行的关键因素是插件代码库中存在可利用的 POP 链。这些链允许攻击者将诸如析构函数或唤醒函数之类的小工具方法串联起来，从而将对象注入升级为系统命令执行，正如 Wordfence 报告所指出的那样。 此漏洞能够绕过 WordPress 的安全nonce机制，且无需身份验证，任何外部攻击者都能利用。一旦成功利用，攻击者便能够： 删除任意文件（包括 wp-config.php） 提取数据库凭证信息 通过网页后门安装后门程序 鉴于 GiveWP 为非营利组织、宗教团体和政治活动等提供捐款系统支持，被入侵的网站面临金融欺诈、捐赠者数据被盗以及声誉受损等风险。攻击者可能会篡改网站、拦截捐款或部署加密货币挖矿程序。该插件与 PayPal 和 Stripe 等支付网关的集成也引发了对交易系统二次入侵的担忧。 安全分析公司 Defiant 的分析师警告称，尽管已发布 3.20.0 版本来修复此问题（通过实施严格输入验证和移除不安全的反序列化操作），但仍有超过 30% 的受影响网站尚未修补。 网站管理员必须采取以下行动： 立即更新至 GiveWP 3.20.0 或更高版本 审查服务器日志，查找对 /wp-json/givewp/v3/donations 的可疑 POST 请求 部署 Web 应用程序防火墙（WAF）规则，阻止 card_address 参数中的序列化数据 监测未经授权的文件更改或新管理员用户情况 对于暂时无法立即修补的网站，临时缓解措施包括禁用捐款小部件，或限制表单提交，仅允许通过 reCAPTCHA 验证的用户提交。 目前虽尚未发现活跃的利用行为，但该漏洞的简单性和高影响性使其成为勒索软件组织的主要攻击目标。 WordPress 安全团队敦促使用 GiveWP 的组织订阅漏洞披露信息源，并实施诸如 MalCare 实时漏洞利用预防之类的原子级安全措施。 鉴于全球超过 43% 的网站基于 WordPress 构建，此漏洞凸显了在非营利组织网络基础设施中，对第三方插件进行严格审核以及实施自动化补丁管理的迫切必要性。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Broadcom 发布了安全更新，以解决 VMware ESXi、Workstation 和 Fusion 产品中的三个被积极利用的安全漏洞，这些漏洞可能导致代码执行和信息泄露。 漏洞详情 CVE-2025-22224（CVSS 评分：9.3）：这是一个 TOCTOU（Time-of-Check Time-of-Use）漏洞，导致越界写入。具有虚拟机本地管理权限的恶意行为者可利用此漏洞在主机上以虚拟机的 VMX 进程身份执行代码。 CVE-2025-22225（CVSS 评分：8.2）：这是一个任意写入漏洞。具有 VMX 进程权限的恶意行为者可利用此漏洞实现沙盒逃逸。 CVE-2025-22226（CVSS 评分：7.1）：这是一个信息泄露漏洞，源于 HGFS 中的越界读取。具有虚拟机管理权限的恶意行为者可利用此漏洞泄露 vmx 进程的内存内容。 受影响版本及修复情况 VMware ESXi 8.0：修复版本为 ESXi80U3d-24585383 和 ESXi80U2d-24585300。 VMware ESXi 7.0：修复版本为 ESXi70U3s-24585291。 VMware Workstation 17.x：修复版本为 17.6.3。 VMware Fusion 13.x：修复版本为 13.6.3。 VMware Cloud Foundation 5.x：异步修复至 ESXi80U3d-24585383。 VMware Cloud Foundation 4.x：异步修复至 ESXi70U3s-24585291。 VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x：修复版本为 ESXi 7.0U3s、ESXi 8.0U2d 和 ESXi 8.0U3d。 VMware Telco Cloud Infrastructure 3.x, 2.x：修复版本为 ESXi 7.0U3s。 Broadcom 在一份 FAQ 中承认，有信息表明这些漏洞在野外已被利用，但未详细说明攻击的性质或利用这些漏洞的威胁行为者的身份。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 Better Auth 库中发现了一个关键的安全漏洞，Better Auth 是一个流行的 TypeScript 身份验证框架。该漏洞可能允许攻击者绕过安全措施并潜在地接管用户账户。 该漏洞存在于 trustedOrigins 保护功能中，该功能旨在将重定向限制为受信任的网站。然而，发现了一种绕过方法，允许攻击者利用此功能将用户重定向到恶意网站。 根据安全公告：“发现了一种绕过 trustedOrigins 安全功能的方法。这适用于通配符或绝对 URL 的 trustedOrigins 配置，使受害者的网站面临开放重定向漏洞，攻击者可以通过更改 ‘callbackURL’ 参数值为攻击者拥有的网站来窃取受害者的重置密码令牌。” 攻击者可以通过开放重定向利用此漏洞，攻击者制作恶意链接并将其发送给受害者。当受害者点击链接时，他们将被重定向到攻击者控制的网站，可能允许攻击者窃取受害者的重置密码令牌并接管其账户。 该漏洞源于处理 trustedOrigins 的中间件中对回调 URL 的验证不当。攻击者可以制作恶意负载，例如： https://demo.better-auth.com/api/auth/reset-password/x?callbackURL=/ /example.com 这利用了 URL 解析的方式，允许攻击者将受害者重定向到外部域名。一旦受害者点击链接，他们的密码重置令牌将被发送到攻击者的网站，导致账户完全被攻陷。 另一种利用方法涉及库中 trustedOrigins 处理中使用的弱正则表达式模式：[^/\\]*?\.example\.com[/\\]*? 攻击者可以使用如下负载：http:attacker.com?.example.com/ 由于 : 和 ? 是 URL 中的特殊字符，浏览器将 http: 解释为 URL 方案的一部分，而不是纯文本，导致意外重定向到攻击者的网站。 Better Auth 项目已发布 1.1.21 版本来解决此漏洞。强烈建议所有 Better Auth 库的用户尽快更新到最新版本，以保护自己免受潜在攻击。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文