HackerNews 编译，转载请注明出处： 苹果已修复一个被用于攻击谷歌Chrome用户的高危零日漏洞。该漏洞编号为CVE-2025-6558（CVSS评分8.8），苹果通过安全更新予以解决。 此漏洞源于谷歌Chrome 138.0.7204.157之前版本中ANGLE与GPU组件对不可信输入的验证不足，可能使远程攻击者通过特制HTML页面实现沙箱逃逸。 ANGLE（近乎原生图形层引擎）是谷歌开发的开源图形引擎，充当OpenGL ES与Direct3D、Vulkan、Metal等其他图形API之间的兼容层。 谷歌威胁分析小组（TAG）研究员Clément Lecigne和Vlad Stolyarov于2025年6月23日报告此漏洞。本周，美国网络安全和基础设施安全局（CISA）将其纳入已知被利用漏洞（KEV）目录。谷歌TAG团队专门调查国家背景黑客及商业间谍软件发动的攻击，此次漏洞极可能已被某威胁组织实际利用。 “谷歌确认针对CVE-2025-6558的漏洞利用程序已在野出现。”谷歌发布的警报声明称。 苹果在公告中说明：“此漏洞存在于开源代码中，苹果软件属于受影响项目。CVE编号由第三方机构分配。”并警告称“处理恶意构造的网络内容可能导致Safari意外崩溃”。 苹果已通过WebKit安全更新修复以下产品的漏洞： iOS 18.6与iPadOS 18.6：iPhone XS及后续机型；13英寸iPad Pro、12.9英寸iPad Pro（第三代及后续）、11英寸iPad Pro（第一代及后续）、iPad Air（第三代及后续）、iPad（第七代及后续）及iPad mini（第五代及后续） macOS Sequoia 15.6：所有运行macOS Sequoia的Mac设备 iPadOS 17.7.9：12.9英寸iPad Pro（第二代）、10.5英寸iPad Pro及iPad（第六代） visionOS 2.6：Apple Vision Pro watchOS 11.6：Apple Watch Series 6及后续机型 tvOS 18.6：Apple TV HD与Apple TV 4K（所有型号）       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了流行氛围编程平台Base44的一处关键安全漏洞（现已修复），该漏洞可能导致攻击者越权访问用户构建的私有应用程序。云安全公司Wiz向《黑客新闻》提供的报告中指出：“我们发现的漏洞利用方式异常简单——攻击者仅需向未公开的注册和邮件验证端口提交非机密的app_id值，就能为其平台上的私有应用创建已验证账户”。 该漏洞的最终影响是“绕过所有身份验证控制（包括单点登录防护），获取私有应用程序及其内部数据的完全访问权限”。经2025年7月9日负责任披露后，平台所有者Wix公司在24小时内发布了官方修复补丁。目前无证据表明该漏洞曾在真实环境中遭恶意利用。 氛围编程作为一种人工智能驱动的技术，旨在通过文本指令自动生成应用代码。随着AI工具在企业环境中的普及，最新研究揭示了传统安全范式可能“未能充分应对的新兴攻击面”。Wiz在Base44中发现的问题源于配置缺陷——两个身份验证相关端口未设任何限制，导致攻击者仅凭“app_id”参数即可注册私有应用： api/apps/{app_id}/auth/register：通过提交邮箱地址与密码注册新用户 api/apps/{app_id}/auth/verify-otp：通过一次性密码（OTP）验证用户 由于“app_id”值属于非敏感数据，会直接显示在应用URL及其manifest.json文件路径中，攻击者不仅能利用目标应用的app_id注册新账户，还可通过OTP验证邮箱地址，“从而获取本无权限访问的应用程序控制权”。安全研究员Gal Nagli解释：“确认邮箱后，我们直接通过应用页面的单点登录系统成功越权访问。这意味着Base44托管的私有应用程序均可被非授权获取”。 与此同时，安全研究证实当前最先进的大语言模型（LLM）和生成式AI工具存在被“越狱或遭受提示词注入攻击的风险”，导致其突破伦理防护机制产生恶意响应、合成虚假内容或出现幻觉现象。某些情况下，AI系统甚至“会在错误反论证前放弃正确答案，对多轮交互系统构成威胁”。近期已记录的攻击案例包括： Gemini CLI因上下文文件验证缺失、提示注入及误导性用户体验形成“毒性组合”，致使检查恶意代码时静默执行危险指令。 利用托管于Gmail的特制邮件诱骗Claude重写内容，突破限制实现代码执行。 通过回声室效应与渐强策略越狱xAI的Grok 4模型，在无显性恶意输入下诱导有害响应（该模型在99%无加固提示场景中泄漏受限数据并遵循攻击指令）。 操控OpenAI ChatGPT通过竞猜游戏泄露有效Windows产品密钥。 Nagli强调：“AI开发领域正以空前速度演进，将安全性植入平台基础架构（而非事后补救）对释放技术潜力与保护企业数据至关重要。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Darktrace在2025年4月的事件响应中发现，攻击者利用SAP NetWeaver高危漏洞CVE-2025-31324，对美国某化工企业部署Linux后门病毒Auto-Color。调查显示该恶意软件已升级新型规避技术。 此次攻击始于4月25日，活跃利用发生在27日，攻击者向目标设备植入ELF可执行文件。Auto-Color最初由Palo Alto Networks Unit 42团队于2025年2月记录，其具备高隐蔽性且难以根除。该后门根据运行权限动态调整行为模式，通过劫持”ld.so.preload”实现共享库注入式持久化驻留。 Auto-Color具备任意命令执行、文件篡改、反向shell远程控制、流量代理转发及动态配置更新能力，其根模块可隐藏恶意活动痕迹。Unit 42此前未能确定该病毒针对北美和亚洲政府及高校的初始感染途径。 Darktrace最新研究证实，攻击者通过NetWeaver漏洞实现未授权上传恶意二进制文件并执行远程代码。SAP已于2025年4月发布补丁，但ReliaQuest、Onapsis等机构监测到漏洞修复数日后即出现大规模利用尝试。 除初始攻击途径外，Darktrace还发现Auto-Color新增规避机制：当无法连接硬编码C2服务器时，恶意程序将抑制多数恶意行为。在沙箱或隔离环境中，该特性使病毒呈现良性特征。”若C2服务器不可达，Auto-Color会暂停完整恶意功能加载，使分析人员误判其无害性，”Darktrace解释称，”该机制有效阻碍逆向工程人员揭露其载荷、凭证窃取及持久化技术”。此特性在原Unit 42披露的权限感知逻辑、无害文件名伪装、libc函数劫持、伪造日志目录等技术基础上再次升级。 鉴于Auto-Color正积极利用该漏洞，管理员需立即应用SAP客户公告中的安全更新或缓解措施。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的攻击活动，该活动利用Apache HTTP Server的已知安全漏洞传播名为Linuxsys的加密货币挖矿程序。 该漏洞编号为CVE-2021-41773（CVSS评分：7.5），是Apache HTTP Server 2.4.49版本中的一个高危路径遍历漏洞，可能导致远程代码执行。 “攻击者利用被攻陷的合法网站分发恶意软件，实现隐蔽投递并规避检测。”网络安全公司VulnCheck在分享给The Hacker News的报告中表示。 本月观察到的感染流程（源自印度尼西亚IP地址 103.193.177[.]152）旨在使用curl或wget从“repositorylinux[.]org”下载下一阶段有效载荷。该载荷是一个Shell脚本，负责从五个不同的合法网站下载Linuxsys加密货币挖矿程序，这表明攻击活动的幕后黑手可能已成功攻陷第三方基础设施以促进恶意软件分发。 “这种方法很巧妙，因为受害者连接的是拥有有效SSL证书的合法主机，降低了检测的可能性，”VulnCheck指出，“此外，这为下载站点（‘repositorylinux[.]org’）提供了一层隔离，因为恶意软件本身并不托管在那里。” 这些被攻陷的网站还托管着另一个名为“cron.sh”的Shell脚本，该脚本确保挖矿程序在系统重启时自动启动。该网络安全公司表示，还在被攻陷的网站上发现了两个Windows可执行文件，表明攻击者可能也在针对微软的桌面操作系统。 值得注意的是，此前传播Linuxsys挖矿程序的攻击曾利用过OSGeo GeoServer GeoTools中的一个严重安全漏洞（CVE-2024-36401，CVSS评分：9.8），Fortinet FortiGuard Labs在2024年9月记录了这一情况。 有趣的是，漏洞被利用后下载的Shell脚本是从“repositorylinux[.]com”获取的，其源代码中的注释使用的是印度尼西亚巽他语。该脚本早在2021年12月就已在野外被发现。 近年来被利用来传播此挖矿程序的其他漏洞还包括： CVE-2023-22527：Atlassian Confluence Data Center 和 Confluence Server 中的模板注入漏洞 CVE-2023-34960：Chamilo学习管理系统(LMS)中的命令注入漏洞 CVE-2023-38646：Metabase中的命令注入漏洞 CVE-2024-0012 和 CVE-2024-9474：Palo Alto Networks防火墙中的认证绕过和权限提升漏洞 “所有这些都表明攻击者正在进行一项长期活动，采用一致的技术手段，例如n-day（已知漏洞）利用、在已攻陷主机上托管内容以及在受害者机器上进行挖矿，”VulnCheck表示，“他们的部分成功源于精心的目标选择。他们似乎避开了低交互蜜罐，需要高交互环境才能观察到其活动。结合使用被攻陷主机进行恶意软件分发，这种方法在很大程度上帮助攻击者避免了审查。” Exchange服务器遭GhostContainer后门攻击 与此同时，卡巴斯基披露了一场针对亚洲政府实体的攻击活动细节。攻击者很可能利用了微软Exchange Server中一个N-day安全漏洞来部署一个名为GhostContainer的定制后门。怀疑攻击可能利用了Exchange Server中一个现已修复的远程代码执行漏洞（CVE-2020-0688，CVSS评分：8.8）。 这个“复杂的多功能后门”可以“通过下载额外模块动态扩展任意功能”，该俄罗斯公司表示，并补充说“该后门使攻击者能够完全控制Exchange服务器，允许他们执行一系列恶意活动。” 该恶意软件能够解析可执行shellcode的指令、下载文件、读取或删除文件、运行任意命令以及加载额外的.NET字节码。它还包含一个网络代理和隧道模块。 怀疑该活动可能是针对亚洲高科技公司等高价值组织的高级持续性威胁（APT）活动的一部分。 关于攻击者身份的信息不多，但他们被评估为技术高度娴熟，原因在于其对微软Exchange Server的深入理解以及将公开代码转化为高级间谍工具的能力。 “GhostContainer后门不会连接任何[命令与控制]基础设施，”卡巴斯基表示，“相反，攻击者从外部连接到被攻陷的服务器，他们的控制命令隐藏在正常的Exchange Web请求中。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美货运列车尾部安装的制动监测装置存在严重安全隐患。安全研究员尼尔·史密斯12年前发现并报告了该漏洞，但近期才被公开披露。这种被称为列车尾部装置（EoT）和车头装置（HoT）的系统，通过无线电信号在列车两端传输制动数据。然而其通信协议既无身份认证也无加密保护，仅采用BCH校验码进行错误检测。 这意味着攻击者仅需价值不足500美元的无线电设备，即可远程发送纯文本指令操控列车制动。美国网络安全和基础设施安全局（CISA）最新警告指出：成功利用此漏洞（编号CVE-2025-1727，CVSS评分8.1）可导致列车急停造成运营中断，甚至触发制动失灵。 史密斯在社交媒体解释道：“攻击者能从极远距离接管列车制动控制器，诱发脱轨事故或瘫痪全国铁路系统”。尽管该漏洞尚未被列入已知遭利用漏洞目录，但专家警告突发的制动操作可能引发乘客受伤、运输中断乃至列车脱轨等灾难性后果。 美国铁路协会（AAR）已启动协议更换计划，拟采用支持加密和低延迟的IEEE 802.16t直连对等协议替代旧系统。但史密斯透露：全面更换约7.5万台设备需5-7年时间，成本高达100亿美元。 攻击者无需接近列车即可实施攻击。无线电信号有效距离达数英里（部分列车全长近5公里），攻击者通过增强信号功率甚至可在240公里外进行操作。史密斯尖锐指出：“这套射频链路安全水平停留在1980年代，仅依赖非法频段使用限制作为防护”。 类似攻击早有先例：2023年波兰黑客通过伪造无线电停车信号，迫使20列火车停运并造成碰撞脱轨事故，肇事设备仅为廉价无线电发射器 比利时鲁汶大学教授马蒂·范霍夫透露，供应商最初以“理论风险”为由淡化该漏洞，且研究者难以获得测试系统进行伦理验证。至今该漏洞仍未修复，史密斯耗时12年才推动漏洞信息公之于众。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现麦当劳AI招聘平台McHire存在漏洞，导致全美超6400万份求职申请的聊天数据面临泄露风险。该漏洞由伊恩·卡罗尔（Ian Carroll）与萨姆·柯里（Sam Curry）发现，其利用平台测试账户的弱凭证（用户名密码均为“123456”）进入系统。 McHire平台由Paradox.ai开发，约90%的麦当劳加盟商使用其AI聊天机器人Olivia处理求职申请。应聘者需提交姓名、邮箱、电话、住址及可工作时间，并完成性格测试。 研究人员登录后通过测试餐厅提交申请，观察到HTTP请求发送至/api/lead/cem-xhr接口，其中lead_id参数值为64185742。通过增减该参数值，他们成功越权访问其他求职者的完整聊天记录、会话令牌及个人数据。此漏洞属于不安全的直接对象引用（IDOR）——当应用程序未验证用户权限即暴露内部对象标识符（如记录编号）时，攻击者可任意访问数据。 卡罗尔在漏洞报告中指出：“初步安全审查仅数小时就发现两处严重缺陷：餐厅业主管理界面接受默认凭证123456:123456，且内部API的IDOR漏洞允许访问任意联系人和聊天数据。二者结合使任何McHire账户持有者能窃取6400万申请人的隐私信息。” 该问题于6月30日报告至Paradox.ai与麦当劳。麦当劳一小时内确认报告，随即禁用默认管理凭证。麦当劳向媒体声明：“对第三方供应商Paradox.ai存在如此不可接受的漏洞深感失望。获悉后立即要求其修复，问题在报告当日即获解决。”Paradox.ai部署补丁修复IDOR漏洞，并承诺全面审查系统防止类似问题重现。该公司补充说明，即使申请人未提交个人信息，仅点击聊天按钮的交互行为也会被记录。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响OpenSynergy旗下BlueSDK蓝牙协议栈、被统称为PerfektBlue的四个漏洞，可被利用来实现远程代码执行（RCE），并可能允许攻击者访问梅赛德斯-奔驰（Mercedes-Benz AG）、大众（Volkswagen）和斯柯达（Skoda）等多家汽车厂商车辆的关键部件。 OpenSynergy于去年（2024年）6月确认了这些漏洞，并在9月向客户发布了补丁，但许多汽车制造商尚未推送修复固件更新。至少有一家大型整车厂（OEM）直到最近才知晓这些安全风险。 这些安全问题可被串联组合成一种被研究人员称为PerfektBlue攻击的漏洞利用链，攻击者可通过无线方式（OTA）发起攻击，该攻击“最多只需用户点击一次”。 尽管OpenSynergy的BlueSDK在汽车行业被广泛使用，但来自其他行业的供应商也在使用它。 PerfektBlue攻击 专注于汽车安全的公司PCA Cyber Security的渗透测试团队发现了这些PerfektBlue漏洞，并于2024年5月报告给了OpenSynergy。该团队是Pwn2Own Automotive黑客大赛的常客，自去年以来已在汽车系统中发现了超过50个漏洞。 据他们称，PerfektBlue攻击影响了“汽车及其他行业中数百万台设备”。 由于无法获取源代码，发现BlueSDK中的漏洞是通过分析该软件产品的编译版二进制文件实现的。 这些漏洞严重性从低危到高危不等（如下所列），可通过信息娱乐系统（IVI）访问汽车内部。 CVE-2024-45434（高危） – 蓝牙配置文件中用于媒体设备远程控制的AVRCP服务存在释放后重用（UAF）漏洞 CVE-2024-45431（低危） – 对L2CAP（逻辑链路控制和适配协议）通道的远程通道标识符（CID）验证不当 CVE-2024-45433（中危） – 射频通信（RFCOMM）协议中的函数终止不正确 CVE-2024-45432（中危） – RFCOMM协议中使用了错误参数的函数调用 研究人员没有分享利用PerfektBlue漏洞的完整技术细节，但表示已与受影响设备配对的攻击者可利用它们“操控系统、提升权限并向目标产品的其他组件横向移动”。 PCA Cyber Security在大众ID.4（ICAS3系统）、梅赛德斯-奔驰（NTG6）和斯柯达Superb（MIB3）的信息娱乐主机上演示了PerfektBlue攻击，并在TCP/IP协议栈之上获得了反向shell（该协议允许网络设备间通信，例如汽车内的组件）。 研究人员称，通过在车载信息娱乐系统（IVI）上实现远程代码执行（RCE），黑客可以跟踪GPS坐标、窃听车内对话、访问手机通讯录，并可能横向渗透到车辆中更关键的子系统中。 风险与影响范围 OpenSynergy的BlueSDK在汽车行业被广泛使用，但由于定制化和重新打包流程，以及汽车嵌入式软件组件缺乏透明度，很难确定哪些厂商依赖它。 PerfektBlue主要是一种“一键式RCE”攻击，因为大多数情况下需要诱使用户允许与攻击者设备配对。然而，一些汽车制造商将信息娱乐系统配置为无需任何确认即可配对。 PCA Cyber Security透露，他们已告知大众、梅赛德斯-奔驰和斯柯达这些漏洞，并给予其足够时间应用补丁，但研究人员未收到这些厂商关于解决问题的回复。 媒体已联系这三家汽车制造商，询问其是否已推送OpenSynergy的修复程序。梅赛德斯-奔驰尚未立即提供声明，大众则表示在获悉问题后立即开始调查影响并研究解决方法。 大众发言人表示：“调查显示，在某些条件下，有可能通过蓝牙未经授权连接到车辆的信息娱乐系统。” 只有在多个条件同时满足的情况下才可能利用这些漏洞： 攻击者距离车辆最多5至7米范围内； 车辆点火开关必须打开； 信息娱乐系统必须处于配对模式，即车辆用户必须正在主动配对蓝牙设备； 车辆用户必须在屏幕上主动批准攻击者的外部蓝牙访问。 大众代表强调，即使这些条件满足且攻击者连接到了蓝牙接口，“他们必须保持在距离车辆最多5至7米的范围内”才能维持访问。 该厂商强调，在成功利用的情况下，黑客无法干扰关键车辆功能，如转向、驾驶辅助、引擎或刹车，因为它们“位于不同的控制单元上，这些单元通过自身的安全功能防止外部干扰”。 PCA Cyber Security表示，上个月他们在汽车行业确认了第四家受PerfektBlue影响的整车厂（OEM），该厂商称OpenSynergy未曾告知其这些问题。 研究人员称：“我们决定不披露这家OEM的身份，因为他们没有足够的时间做出反应。” “我们计划在2025年11月，以会议演讲的形式披露关于这家受影响OEM的详细信息以及PerfektBlue的全部技术细节。” 媒体也已联系OpenSynergy，询问PerfektBlue对其客户的影响范围以及受影响客户数量，但在发布时尚未收到回复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球数百万台Linux系统（包括运行关键服务的系统）现存在一个易于利用的新型sudo漏洞，可能允许未经授权的用户在Ubuntu、Fedora等服务器上以root权限执行命令。 sudo是Linux系统中允许用户以root或超级用户身份运行命令的实用程序。Stratascale网络安全研究单元（CRU）团队发现了两个影响sudo的关键漏洞。 安全研究人员警告称，任何用户都能快速获取无限制的系统访问权限。攻击者可利用此漏洞以root身份执行任意命令，完全接管系统。 该漏洞首次出现在2023年6月发布的1.9.14版本中，已在2025年6月30日发布的最新sudo版本1.9.17p1中修复。漏洞利用已在Ubuntu和Fedora服务器上验证成功，但可能影响更多系统。 报告指出：“这些漏洞可能导致受影响系统的权限提升至root级别。” 研究人员敦促管理员尽快安装最新sudo软件包，因为目前没有其他解决方案。 “默认sudo配置存在漏洞，”Stratascale网络安全研究单元的Rich Mirch解释道。 研究人员已公开概念验证代码，其他团队也成功复现了该漏洞。 漏洞涉及sudo的chroot功能 关键漏洞存在于sudo中较少使用的chroot选项中。该选项用于修改特定进程的根工作目录，限制其对文件系统的访问。 虽然本意是将用户限制在其主目录内，但漏洞允许用户突破限制并提升权限。利用此漏洞不需要为用户定义任何sudo规则。 研究人员表示：“因此，如果安装了易受攻击的版本，任何本地非特权用户都可能将权限提升至root。” 要利用此漏洞，攻击者需要在用户指定的根目录下创建文件，并欺骗sudo加载任意共享库。该文件定义了系统如何解析用户账户、组、主机名、服务等。 sudo维护者已确认该问题，并在1.9.17p1版本中弃用了chroot选项。 他们在公告中表示：“攻击者可利用sudo的chroot选项以root身份运行任意命令，即使他们未被列入sudoers文件。” Mirch的脚本演示了非特权攻击者如何创建临时目录、添加授予root权限的函数文件、编译恶意共享库，然后通过chroot选项欺骗sudo以提升的权限执行它。这样，攻击者就能完全控制系统。 由于chroot选项会降低环境安全性，建议管理员避免使用该功能。 数百万系统可能受此漏洞影响。德国媒体heise.de甚至发现，德国某大型云托管提供商新安装的Ubuntu虚拟机仍然存在漏洞，尽管补丁已经发布。 消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司已发布安全更新，修复其统一通信管理器（Unified Communications Manager，简称Unified CM）和统一通信管理器会话管理版（Unified CM SME）中的一个最高严重级别安全漏洞。该漏洞可能允许攻击者以root用户身份登录受影响的设备，从而获得权限提升。 该漏洞编号为CVE-2025-20309，CVSS评分为10.0。 思科在周三发布的公告中表示：“此漏洞源于为开发阶段预留的root账户静态用户凭证。攻击者可能利用该账户登录受影响系统。成功利用漏洞后，攻击者能够以root用户身份登录系统并执行任意命令。” 此类硬编码凭证通常源自开发阶段的测试或临时修复，但绝不应出现在生产环境中。对于处理企业语音通话和通信的Unified CM等工具而言，root权限可能使攻击者进一步渗透网络、窃听通话或篡改用户登录方式。 这家网络设备巨头表示，目前尚未发现该漏洞在野外被利用的证据，且漏洞是在内部安全测试期间发现的。 CVE-2025-20309影响Unified CM和Unified CM SME的15.0.1.13010-1至15.0.1.13017-1版本，与设备配置无关。 此次漏洞修复距思科修复身份服务引擎（ISE）和ISE被动身份连接器中的两个安全漏洞（CVE-2025-20281和CVE-2025-20282）仅数日。后两个漏洞可能允许未经身份验证的攻击者以root用户身份执行任意命令。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全机构CISA上周发布警告称，德国工业网络设备厂商Microsens的NMP Web+产品存在两个严重漏洞和一个高危漏洞，可能被黑客利用实施远程攻击。 Microsens为工业企业和组织提供交换机、转换器、楼宇控制器等自动化解决方案，其NMP Web+平台用于集中管理工业交换机及网络设备配置。漏洞详情如下： CVE-2025-49151（严重）：未授权攻击者可伪造JSON Web Token（JWT）绕过身份验证； CVE-2025-49153（严重）：攻击者能覆盖服务器文件并执行任意代码； 高危漏洞：JWT令牌未设置过期时间，导致长期有效。 Claroty Team82研究员Noam Moshe（漏洞发现者）向SecurityWeek表示，攻击者可链式利用这些漏洞： 通过伪造JWT获取系统访问权限； 利用文件覆盖漏洞完全控制操作系统。 “这实现了‘从零到英雄’的跳跃——无需任何凭证即可接管系统。”Moshe强调，尽管攻击需访问目标NMP Web+的Web服务器，但大量实例暴露在互联网，存在被扫描攻击的风险。 CISA确认尚未发现野外利用案例，Microsens已发布补丁（Windows/Linux版本3.3.0）。受影响产品在全球范围部署，尤其涉及关键制造业领域。建议用户立即更新至修复版本，并限制管理界面的互联网暴露。   消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文