HackerNews 编译，转载请注明出处： Radykal开发的WordPress高级插件Fancy Product Designer在其当前最新版本中仍存在两个未修复的严重安全漏洞。 该插件销量超过2万次，允许WooCommerce网站的用户在产品设计（如服装、马克杯、手机壳）中进行颜色更换、文本转换或尺寸修改等自定义操作。 2024年3月17日，Patchstack的Rafie Muhammad在检查该插件时发现，该插件存在以下两个严重漏洞： CVE-2024-51919（CVSS评分：9.0）：由于文件上传功能“save_remote_file”和“fpd_admin_copy_file”实现不安全，未正确验证或限制文件类型，导致未经身份验证的任意文件上传漏洞。攻击者可通过提供远程URL上传恶意文件，实现远程代码执行（RCE）。 CVE-2024-51818（CVSS评分：9.3）：由于使用了不足的“strip_tags”函数，导致用户输入未得到适当净化，从而引发未经身份验证的SQL注入漏洞。用户提供的输入未经适当验证便直接整合到数据库查询中，可能导致数据库被攻破，数据被检索、修改或删除。 Patchstack在发现这些问题后一天便通知了供应商，但Radykal至今未作回应。 Patchstack于1月6日将这两个漏洞添加到其数据库中，并于今日发布博客文章，以警告用户并提高对此类风险的认识。 Muhammad表示，尽管Radykal发布了20个新版本，且最新版本6.4.3也于2个月前发布，但这两个严重的安全问题仍未得到修复。 Patchstack的文章为攻击者提供了足够的技术信息，以便他们创建漏洞利用工具并开始针对使用Radykal的Fancy Product Designer插件的网店发起攻击。 作为一般建议，管理员应通过创建包含安全文件扩展名的允许列表来防止任意文件上传。此外，Patchstack还建议，通过对用户查询输入进行安全转义和格式化来净化输入，从而防范SQL注入攻击。 BleepingComputer已联系Radykal，询问其是否计划近期发布安全更新，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

硬件制造商联发科、HPE 和戴尔周一发布公告，告知客户其产品中发现并修补的潜在严重漏洞。 半导体公司联发科宣布修补十几个漏洞，其中包括数十个芯片组的调制解调器组件中一个严重漏洞，该漏洞可能导致远程代码执行 (RCE)。 该问题被标记为 CVE-2024-20154，是一种越界写入漏洞，当设备连接到攻击者控制的恶意基站时，无需用户交互即可利用该漏洞。 联发科的建议还详细介绍了七个高严重性漏洞，这些漏洞可能会导致本地权限提升，如果攻击者靠近易受攻击的设备，则会导致 RCE。 Dell发布了针对其更新包 (DUP) 框架中高严重性缺陷的补丁，该漏洞编号为 CVE-2025-22395，并被描述为本地特权升级问题，该问题可能导致任意脚本的执行，从而导致拒绝服务 (DoS) 情况。DUP 框架版本 22.01.02 解决了此漏洞。 此外，该科技公司还发布了针对受 CVE-2024-52316 影响的多种产品的修复程序，CVE-2024-52316 是 2024 年 11 月披露的 Apache Tomcat 漏洞，可能导致身份验证绕过。 HPE 宣布修复其运行 Brocade Fabric OS (FOS) 的 SAN 交换机中使用的第三方组件中的多个缺陷，包括可能导致权限提升、远程命令执行、身份验证绕过、DoS 和任意文件创建或删除的高中严重性漏洞。 该公司的建议中提到了十个安全缺陷：两个于 2022 年公开披露，四个于 2023 年披露，四个于 2024 年发现。所有漏洞均已在 HPE B 系列产品的 FOS 固件 9.2.2、9.2.1a1 和 9.2.0c 版本中修复。 尽管没有任何供应商提及这些漏洞被利用进行攻击，但建议用户尽快应用这些补丁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/wYpP3IxCHbWsHTQuZPPFwQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： CISA已警告美国联邦机构，需针对Oracle WebLogic Server和Mitel MiCollab系统中正被积极利用的关键漏洞加强系统安全。 该网络安全机构已将Mitel MiCollab统一通信平台中NuPoint Unified Messaging（NPM）组件存在的关键路径遍历漏洞（CVE-2024-41713）添加到其“已知被利用漏洞目录”中。 此安全漏洞使攻击者能够执行未经授权的管理操作，并访问用户和网络信息。“成功利用此漏洞可能会使攻击者获得未经授权的访问权限，从而对系统的保密性、完整性和可用性产生潜在影响。此漏洞无需身份验证即可被利用，”MiCollab解释道。 “如果漏洞被成功利用，攻击者可能无需身份验证即可访问配置信息，包括非敏感用户和网络信息，并在MiCollab服务器上执行未经授权的管理操作。” Oracle WebLogic Server存在的关键漏洞（CVE-2020-2883）四年前的2020年4月已被修复，但该漏洞仍使未经身份验证的攻击者能够远程控制未打补丁的服务器。 美国网络安全机构还警告了Mitel MiCollab存在的第二个路径遍历漏洞（CVE-2024-55550），该漏洞使拥有管理员权限的已验证攻击者能够读取易受攻击服务器上的任意文件。然而，由于成功利用该漏洞无法提升权限，且可访问的文件不包含敏感系统信息，因此其影响有限。 今日，CISA已将这三个漏洞全部添加到其“已知被利用漏洞目录”中，并将其标记为正在被积极利用。根据2021年11月发布的《强制性操作指令》（BOD）22-01的要求，联邦民用行政部门（FCEB）机构必须在1月28日前的三周内确保其网络安全。 CISA周二表示：“此类漏洞是恶意网络行为者的常见攻击途径，对联邦机构构成重大风险。” 虽然“已知被利用漏洞”（KEV）目录主要关注向美国联邦机构发出有关应尽快修补漏洞的警报，但建议所有组织优先缓解这些安全漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Illumina iSeq 100 DNA测序仪的固件存在安全漏洞。若该漏洞被成功利用，攻击者便可在易受攻击的设备上使其瘫痪或植入持久性恶意软件。 Eclypsium在向The Hacker News分享的一份报告中指出：“Illumina iSeq 100采用了非常过时的BIOS固件实现方式，使用了CSM（兼容性支持模式），且未启用安全启动或标准固件写保护。” “这将使系统上的攻击者能够覆盖系统固件，从而导致设备瘫痪或安装固件植入物，以实现攻击者的持续存在。” 尽管统一可扩展固件接口（UEFI）是基本输入输出系统（BIOS）的现代替代品，但这家固件安全公司表示，iSeq 100启动的是BIOS的旧版本（B480AM12 – 2018年4月12日），该版本存在已知漏洞。 值得注意的是，该设备还缺少指示硬件可以读取和写入固件位置的保护措施，从而允许攻击者修改设备固件。同时，安全启动也未启用，因此恶意更改固件的行为将不会被检测到。 DNA测序仪 Eclypsium指出，不建议新型高价值资产支持CSM，因为CSM主要用于无法升级且需要保持兼容性的旧设备。在负责任地披露漏洞后，Illumina已发布修复程序。 在假设的攻击场景中，攻击者可以瞄准未打补丁的Illumina设备，提升权限，并向固件写入任意代码。 这并不是Illumina的DNA基因测序仪首次披露严重漏洞。2023年4月，一个关键安全漏洞（CVE-2023-1968，CVSS评分：10.0）可能使攻击者能够窃听网络流量并远程传输任意命令。 “能够在iSeq 100上覆盖固件将使攻击者能够轻松禁用设备，在勒索软件攻击的背景下造成重大破坏。这不仅会使高价值设备停止服务，而且通过手动重新刷新固件来恢复设备也需要付出相当大的努力，”Eclypsium表示。 “在勒索软件或网络攻击的背景下，这可能会显著提高风险。测序仪对于检测遗传疾病、癌症、识别耐药细菌以及疫苗生产至关重要。因此，除了勒索软件行为者的传统财务动机外，这些设备还可能成为具有地缘政治动机的国家行为者的理想目标。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 工业网络与通信供应商Moxa警告称，其蜂窝路由器、安全路由器和网络安全设备的多种型号存在高危及严重漏洞。 这两个安全问题使得远程攻击者能够在易受攻击的设备上获得root权限并执行任意命令，进而可能导致任意代码执行。 Moxa路由器风险 Moxa设备被广泛应用于交通运输、公用事业、能源和电信等行业的工业自动化和控制系统环境中。周五，该供应商针对以下两个漏洞发布了紧急警告： CVE-2024-9138（严重程度8.6，高危）：硬编码凭据使认证用户能够提升权限至root CVE-2024-9140（严重程度9.3，严重）：由于不当输入限制被利用导致的操作系统命令注入漏洞，可导致任意代码执行 第二个漏洞尤为危险，因为它可被远程攻击者利用。 Moxa已发布固件更新以解决这些漏洞，并指出“强烈建议立即采取行动，以防止潜在利用并缓解这些风险。” 以下设备同时受到CVE-2024-9140和CVE-2024-9138的影响： EDR-8010系列（固件3.13.1及更早版本） EDR-G9004系列（固件3.13.1及更早版本） EDR-G9010系列（固件3.13.1及更早版本） EDF-G1002-BP系列（固件3.13.1及更早版本） NAT-102系列（固件1.0.5及更早版本） OnCell G4302-LTE4系列（固件3.13及更早版本） TN-4900系列（固件3.13及更早版本） 此外，EDR-810系列（固件5.12.37及更早版本）、EDR-G902系列（固件5.7.25及更早版本）以及TN-4900系列（固件3.13及更早版本）仅易受CVE-2024-9138的影响。 EDR-8010系列、EDR-G9004系列、EDR-G9010系列和EDF-G1002-BP系列的用户应升级至2024年12月31日发布的固件版本3.14以解决此问题。 建议通过Moxa公告中提供的每个设备型号的下载链接获取官方固件镜像。 建议OnCell G4302-LTE4系列和TN-4900系列的管理员联系Moxa支持以获取补丁指导。 对于NAT-102系列，目前尚无补丁可用，建议管理员采取缓解措施。 Moxa建议限制设备的网络暴露和SSH访问，并使用防火墙、入侵检测系统（IDS）或入侵防御系统（IPS）来监控和阻止利用尝试。 公告明确指出，MRC-1002系列、TN-5900系列和OnCell 3120-LTE-1系列设备不受这两个漏洞的影响。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对一个已修复、影响Windows轻量级目录访问协议（LDAP）的安全漏洞，现已发布了一个概念验证（PoC）攻击代码，该漏洞可能触发拒绝服务（DoS）状况。 该越界读取漏洞被追踪为CVE-2024-49113（CVSS评分：7.5）。微软已在2024年12月的“补丁星期二”更新中修复了该漏洞，同时修复的还包括CVE-2024-49112（CVSS评分：9.8），后者是该组件中的一个关键整数溢出漏洞，可能导致远程代码执行。 独立安全研究员Yuki Chen（@guhe120）发现并报告了这两个漏洞。 SafeBreach Labs设计的CVE-2024-49113概念验证攻击代码，代号为LDAPNightmare，旨在使任何未打补丁的Windows服务器崩溃，“除受害者域控制器的DNS服务器具有互联网连接外，无需任何前提条件”。 具体而言，该攻击涉及向受害服务器发送DCE/RPC请求，最终当发送一个“lm_referral”字段为非零值的特制CLDAP引用响应包时，会导致本地安全机构子系统服务（LSASS）崩溃并强制重启。 更糟糕的是，这家位于加利福尼亚州的网络安全公司发现，通过修改CLDAP数据包，还可以利用相同的攻击链实现远程代码执行（CVE-2024-49112）。 微软关于CVE-2024-49113的公告在技术细节上较为简略，但该公司已透露，CVE-2024-49112可通过从不受信任的网络发送RPC请求来利用，从而在LDAP服务的上下文中执行任意代码。 微软表示：“在针对LDAP服务器的域控制器进行攻击的情况下，为了成功，攻击者必须向目标发送特制的RPC调用，以触发对攻击者域的查找。在针对LDAP客户端应用程序进行攻击的情况下，为了成功，攻击者必须说服或诱骗受害者执行对攻击者域的域控制器查找，或连接到恶意的LDAP服务器。然而，未经身份验证的RPC调用将不会成功。” 此外，该公司指出，攻击者还可以使用到域控制器的RPC连接来触发针对攻击者域的域控制器查找操作。 为减轻这些漏洞带来的风险，组织必须应用微软发布的2024年12月补丁。在无法立即打补丁的情况下，建议“实施检测以监控可疑的CLDAP引用响应（具有特定的恶意值集）、可疑的DsrGetDcNameEx2调用和可疑的DNS SRV查询”。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ProjectDiscovery的Nuclei——一款广泛使用的开源漏洞扫描器，近日曝出一个高危安全漏洞。若该漏洞被成功利用，攻击者将能够绕过签名检查，并可能执行恶意代码。 该漏洞被追踪为CVE-2024-43405，其CVSS评分为7.4（满分为10.0），影响Nuclei 3.0.0版本之后的所有版本。 据漏洞描述，“该漏洞源于签名验证过程和YAML解析器在处理换行符时的差异，以及处理多个签名的方式。” “这使得攻击者能够在保持模板良性部分有效签名的同时，向模板中注入恶意内容。” Nuclei是一款旨在探测现代应用程序、基础设施、云平台和网络的漏洞扫描器。其扫描引擎利用YAML文件（即模板）发送特定请求，以确定是否存在漏洞。 此外，它还能够使用代码协议在主机操作系统上执行外部代码，从而为研究人员在安全测试工作流程中提供更多灵活性。 发现CVE-2024-43405的云安全公司Wiz表示，该漏洞源于模板签名验证过程，该过程用于确保官方模板存储库中提供的模板的完整性。 成功利用该漏洞将绕过这一关键验证步骤，使攻击者能够创建能够执行任意代码并访问主机敏感数据的恶意模板。 Wiz研究员Guy Goldenberg在周五的分析中表示：“由于目前签名验证是验证Nuclei模板的唯一方法，因此它可能成为潜在的单一故障点。” 问题的核心在于使用正则表达式（regex）进行签名验证，以及由于同时使用regex和YAML解析器而产生的解析冲突，从而为攻击者打开了引入“\r”字符的大门，该字符可以绕过基于regex的签名验证，并被YAML解析器解释为换行符。 换言之，这些解析不一致性可以被串联起来，创建一个使用“\r”的Nuclei模板，该模板包含第二个“# digest:”行，以绕过签名验证过程，但被YAML解释器解析和执行。 Goldenberg解释道：“Go的基于regex的签名验证将‘\r’视为同一行的一部分，而YAML解析器则将其解释为换行符。这种不匹配允许攻击者注入绕过验证但由YAML解析器执行的内容。” “验证逻辑仅验证第一个‘# digest:’行。在验证过程中会忽略额外的‘# digest:’行，但它们仍保留在要由YAML解析和执行的内容中。” 此外，验证过程包括一个从模板内容中排除签名行的步骤，但仅验证第一行，从而使后续行未经验证但可执行。 在负责任披露后，ProjectDiscovery于2024年9月4日通过3.3.2版本解决了该问题。目前，Nuclei的版本为3.3.7。 Goldenberg说：“攻击者可以制作包含操纵过的‘# digest’行或精心放置的‘\r’换行符的恶意模板，以绕过Nuclei的签名验证。” “当组织在没有适当验证或隔离的情况下运行不受信任的或社区贡献的模板时，就会出现针对此漏洞的攻击向量。攻击者可以利用此功能注入恶意模板，导致任意命令执行、数据泄露或系统妥协。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

上周，在混沌通信大会（CCC）上出现的一个新发现动摇了 Windows 可信赖的 BitLocker 加密技术的基础。安全研究员托马斯-兰伯茨（Thomas Lambertz）在其题为 “Windows BitLocker：没有螺丝刀也能拧紧 ”的演讲中暴露了一个明显的漏洞，该漏洞允许攻击者绕过 BitLocker 加密并访问敏感数据，即使是在据称已针对该漏洞打了补丁的系统上也是如此。 这个被称为 “bitpixie”（CVE-2023-21563）的漏洞最初于 2022 年 11 月被微软解决。然而，Lambertz 演示了攻击者如何利用过时的 Windows 引导加载器通过安全启动来提取加密密钥。这种攻击只需要对设备进行瞬间物理访问和网络连接，无需使用螺丝刀或硬件黑客。 其根本原因在于 UEFI 中的证书存储空间有限，而 UEFI 是启动过程中的一个关键组件。新的安全启动证书预计在 2026 年前无法获得。作为临时措施，Lambertz 建议用户为 BitLocker 设置自定义 PIN 或通过 BIOS 禁用网络访问。不过，即使是基本的联网 USB 设备也有可能为攻击提供便利。 虽然普通用户可能不是主要攻击目标，但对企业、政府和其他高安全环境的影响却很大。只需短暂的物理访问就能完全解密设备，这引起了人们对数据保护的严重关注。 对于那些希望进一步探讨这一话题的人，CCC 媒体中心网站上有兰伯特 56 分钟演讲的完整录音。它深入探讨了错综复杂的技术问题，并解释了为什么解决这一漏洞会带来如此艰巨的挑战。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303246 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 有关Dynamics 365和Power Apps Web API中三个已修复安全漏洞的详情已公布，这些漏洞存在数据泄露风险。 这些漏洞由墨尔本网络安全公司Stratus Security发现，并于2024年5月得到修复。其中两个漏洞位于Power Platform的OData Web API Filter中，第三个则涉及FetchXML API。 首个漏洞源于OData Web API Filter缺乏访问控制，使得攻击者可访问包含敏感信息的联系人表，如全名、电话号码、地址、财务数据及密码哈希。 攻击者可利用此漏洞进行布尔搜索，通过逐个猜测哈希字符来提取完整哈希，直至找到正确值。 “例如，我们先发送startswith(adx_identity_passwordhash, ‘a’)，再发送startswith(adx_identity_passwordhash, ‘aa’)，接着是startswith(adx_identity_passwordhash, ‘ab’)，依此类推，直至返回以’ab’开头的结果，”Stratus Security指出。 “继续此过程，直至查询返回以’ab’开头的有效结果。当无更多字符返回有效结果时，即表示我们已获取完整值。” 至于微软Dynamics 365和Power Apps Web API的第二个漏洞，则在于利用同一API中的orderby子句从必要数据库表列（如联系人的主要电子邮件地址EMailAddress1）获取数据。 此外，Stratus Security还发现，FetchXML API可与联系人表结合使用，通过orderby查询访问受限列。“使用FetchXML API时，攻击者可针对任意列构建orderby查询，完全绕过现有访问控制，”该公司表示，“与先前漏洞不同，此方法无需orderby以降序排列，为攻击增添了灵活性。” 因此，利用这些漏洞的攻击者可编制密码哈希和电子邮件列表，进而破解密码或出售数据。 “Dynamics 365和Power Apps API中的漏洞再次提醒我们：网络安全需持续警惕，尤其是像微软这样掌握大量数据的大公司，”Stratus Security强调。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

E安全消息，网络应用框架Apache MINA发现一个严重漏洞。漏洞被追踪为CVE-2024-52046，CVSS得分10，可能允许攻击者在系统上执行任意代码。 Apache MINA框架用于构建高性能和可扩展的网络应用，以其事件驱动异步API而闻名。该API简化了TCP/IP和UDP/IP等传输上的网络编程，被广泛应用于各种应用。 然而，其ObjectSerializationDecoder组件的一个缺陷为恶意行为者打开了大门。这个解码器利用Java的本地反序列化来处理序列化数据，被发现缺乏关键的安全检查。 问题的根源在于易受攻击版本的MINA处理对象反序列化的方式。没有适当的防护措施，攻击者可以发送特别制作的恶意序列化数据，当ObjectSerializationDecoder处理这些数据时，可能会导致远程代码执行（RCE）。这意味着攻击者可能完全控制受影响的系统。 CVE-2024-52046漏洞影响了一系列Apache MINA版本，具体包括： Apache MINA 2.0.0至2.0.26 Apache MINA 2.1.0至2.1.9 Apache MINA 2.2.0至2.2.3 需要注意的是，并非所有使用MINA的应用程序都会自动受到影响。 当应用程序使用IoBuffer#getObject()方法时，风险就会出现，这可能在ProtocolCodecFilter实例使用ObjectSerializationCodecFactory类被添加到过滤器链时被调用。如果你的应用程序依赖这些特定类和方法，你可能已经暴露了风险，必须立即采取行动。 Apache MINA团队通过发布以下修补版本迅速解决了这一关键漏洞： Apache MINA 2.0.27 Apache MINA 2.1.10 Apache MINA 2.2.4 仅仅升级是不够的。更新的版本引入了一个重要的安全增强功能：开发人员必须明确定义ObjectSerializationDecoder被允许反序列化的类。 通过三个新方法实现： accept(ClassNameMatcher classNameMatcher) accept(Pattern pattern) accept(String… patterns) 默认情况下，解码器现在将拒绝所有类，遵循“拒绝所有”的原则，除非明确允许。这增加了一个重要的控制层，防止了不受信任和潜在恶意对象的反序列化。 Apache MINA团队已表示，FtpServer、SSHd和Vysper子项目不受此漏洞影响。   转自E安全，原文链接：https://mp.weixin.qq.com/s/OC8JgmYZ1uWYTVFhKJyJcQ 封面来源于网络，如有侵权请联系删除