HackerNews 编译，转载请注明出处： 一份最新安全公告披露，Johnson Controls 旗下多款工业控制系统（ICS）产品存在一个严重的SQL注入漏洞。 该漏洞编号为CVE-2025-26385，其通用漏洞评分系统（CVSS v3）的严重性评分达到满分10.0，意味着对受影响基础设施构成最高级别的风险。 漏洞成因是命令注入中特殊元素的中和处理不当，远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后，可篡改、删除或窃取受影响系统中的敏感数据。 该漏洞影响Johnson Controls  6 款产品，这些产品在全球关键基础设施领域广泛部署。该公司产品部署于商业楼宇、关键制造、能源生产、政府运营及交通系统等多个关键行业。由于这家总部位于爱尔兰的公司在全球范围内业务众多，此次漏洞引发全球性关注。 美国网络安全和基础设施安全局（CISA）建议各组织采取以下防御措施以降低风险：控制系统网络必须与公网隔离，部署在防火墙后方，且与业务网络基础设施实现物理隔离 受影响产品范围 该漏洞影响以下应用产品： 确需远程访问的机构，应部署搭载最新安全补丁的虚拟专用网络（VPN），同时需明确 VPN 安全性依赖于接入设备的完整性。对于无法立即打补丁的老旧系统，网络分段与物理隔离是核心防护手段。 截至2026年1月27日该公告发布之日，CISA尚未监测到该漏洞在野利用的公开报告。但鉴于该漏洞的高危等级及产品的广泛部署，系统管理员及安全团队需立即重点关注。 这份编号为 ICSA-26-027-04 的公告，是Johnson Controls 初始安全公告 JCI-PSA-2026-02 的重新发布版本。观察到任何可疑活动的组织，应向CISA报告，以便进行事件关联分析和全局威胁追踪。 此次漏洞由Johnson Controls 主动报告给CISA，遵循了协调披露流程，为安全团队在潜在攻击发生前争取了应对时间。各机构在部署防护措施前，应优先开展影响分析与风险评估，避免造成业务运营中断。 消息来源:cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Iconics Suite SCADA 系统存在一项中危漏洞，攻击者可利用该漏洞在关键工业控制系统上触发拒绝服务状态。 该漏洞编号为 CVE-2025-0921，广泛部署于汽车、能源及制造业的监控与数据采集（SCADA）基础设施。 漏洞详情 CVE-2025-0921 源于三菱电机 Iconics Digital Solutions 的 GENESIS64 软件中，多个服务存在“以不必要权限执行”的安全缺陷。 该漏洞 CVSS 评分为 6.5 分，评级为中危。攻击者成功利用该漏洞后，可滥用特权文件系统操作提升权限、破坏核心系统二进制文件，最终导致系统完整性与可用性受损。 此漏洞由 Unit 42 的研究员 Asher Davila 和 Malav Vyas 在 2024 年初的一次全面安全评估中发现。这是在微软 Windows 平台的 Iconics Suite 10.97.2 及更早版本中发现的 6 项漏洞之一。此前研究人员已披露该 SCADA 平台存在的 5 项相关漏洞，CVE-2025-0921 是后续调查中发现的新增威胁。 根据三菱电机的安全公告，该漏洞影响 GENESIS64、MC Works64 的所有版本以及 GENESIS 11.00 版本。Iconics Suite 在全球超过 100 个国家拥有数十万安装实例，遍布政府设施、军事基地、水处理厂、公共事业及能源供应商等关键基础设施领域。 技术原理与利用途径 该漏洞存在于工业流程监控告警管理系统 AlarmWorX64 MMX 的 Pager Agent 组件中。 具备本地访问权限的攻击者，可通过篡改 C:\ProgramData\ICONICS 目录下 IcoSetup64.ini 文件中存储的 SMSLogFile 路径配置来利用该漏洞。攻击链流程包括：将日志文件存储路径创建为指向目标系统二进制文件的符号链接。当管理员发送测试消息或系统自动触发告警时，日志信息会沿符号链接覆盖核心驱动文件（如为 Windows 系统组件提供加密服务的 cng.sys）。 系统重启后，被破坏的驱动会导致启动失败，设备陷入无限修复循环，最终使工业控制（OT）工程工作站无法运行。 研究人员证实，该漏洞与 CVE-2024-7587 漏洞结合后利用难度会大幅降低；CVE-2024-7587 是此前披露的 GenBroker32 安装程序漏洞，会给 C:\ProgramData\ICONICS 目录赋予过高权限，允许任意本地用户修改核心配置文件。但即便单独利用该漏洞，若日志文件因配置不当、其他漏洞或社会工程学攻击具备可写权限，攻击者仍可成功触发漏洞。 三菱电机已为 GENESIS 11.01 及后续版本发布修复补丁，客户可从 Iconics 社区资源中心下载。针对 GENESIS64 用户，修复版本正在开发中，将于近期发布。厂商明确表示暂无 MC Works64 版本补丁发布计划，相关客户需在此期间落实漏洞缓解措施。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Moltbook 是 Octane AI 的 Matt Schlicht 于 2026 年 1 月末推出的新兴 AI 智能体社交网络，当前该平台因号称拥有 150 万 “用户” 引发热议，但其存在一项高危漏洞，导致注册主体的电子邮箱、登录令牌及 API 密钥遭泄露。 研究人员披露，该平台因数据库配置不当导致暴露，未授权人员可访问智能体档案，进而实现批量数据窃取。 该漏洞同时伴随账户创建无速率限制的问题，据悉单个 OpenClaw 智能体（@openclaw）就注册了 50 万个虚假 AI 用户，直接戳破了媒体所称的自然增长论调。 平台运行机制 Moltbook 支持基于 OpenClaw 构建的 AI 智能体发布内容、评论，还可创建如 m/emergence 这类 “子社群”，催生了围绕 AI 涌现、报复性信息泄露、Solana 代币刷信誉等话题的智能体论战 平台已涌现超 2.8 万条帖子及 23.3 万条评论，并有 100 万沉默验证者对内容进行查看。但智能体数量存在造假：因无注册限制，大量机器人批量注册，营造出平台爆火的假象。 关联不安全开源数据库的暴露端点，无需身份验证，仅通过 GET /api/agents/{id} 这类简单查询指令，即可泄露智能体数据。 攻击者可以通过枚举 ID 快速获取成千上万条记录。 安全风险与专家警告 此次不安全的直接对象引用（IDOR）及数据库暴露漏洞，构成了 “致命三重威胁”：智能体可访问私密数据、平台存在不可信输入风险（提示注入）、支持外部通信，可能引发凭证窃取、文件删除等破坏性操作。 Andrej Karpathy 称该平台是 “充斥垃圾信息的规模里程碑”，但更是 “计算机安全噩梦”，Bill Ackman 则评价其 “令人恐慌”。子社群中的提示注入攻击可操控机器人泄露宿主数据，且 OpenClaw 无沙箱隔离的执行机制会加剧这一风险。 目前尚无修复补丁确认；Moltbook (@moltbook) 对漏洞披露无回应。安全专家强烈建议用户及智能体所有者：立即撤销所有相关API密钥、将智能体置于沙箱环境中运行，并全面审计数据暴露情况。对于企业而言，不受管控的此类机器人活动更带来了严峻的“影子IT”风险。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SolarWinds 发布了安全更新，修复其 Web Help Desk 产品中存在的多个安全漏洞，其中包含四项可导致身份验证绕过及远程代码执行（RCE）的高危漏洞。 相关漏洞详情列表如下： · CVE-2025-40536（CVSS 评分：8.1）：安全控制绕过漏洞。未经认证的攻击者可借此访问某些受限制的功能。 · CVE-2025-40537（CVSS 评分：7.5）：硬编码凭证漏洞。攻击者可利用预设的“client”用户账户访问管理功能。 · CVE-2025-40551（CVSS 评分：9.8）：不可信数据反序列化漏洞。可导致远程代码执行，使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40552（CVSS 评分：9.8）：认证绕过漏洞。未经认证的攻击者可利用此漏洞执行特定操作与方法。 · CVE-2025-40553（CVSS 评分：9.8）：不可信数据反序列化漏洞。可导致远程代码执行，使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40554（CVSS 评分：9.8）：认证绕过漏洞。攻击者可利用此漏洞调用 Web Help Desk 内部的特定操作。 前三个漏洞由 Horizon3.ai 的 Jimi Sebree 发现并上报，后三个漏洞则由 watchTowr 的 Piotr Bazydlo 发现，相关贡献均已获官方确认。所有漏洞均已在其 Web Help Desk 2026.1 (WHD 2026.1) 版本中得到修复。 “CVE-2025-40551 和 CVE-2025-40553 均为高危不可信数据反序列化漏洞，” Rapid7 表示。“远程未授权攻击者可通过这两个漏洞在目标系统上实现远程代码执行，还能执行任意操作系统命令等恶意载荷。” “反序列化导致的远程代码执行是攻击者常用的高可靠攻击途径，且这两个漏洞均支持未授权利用，因此危害程度极大。” 该网络安全公司补充道，尽管 CVE-2025-40552 和 CVE-2025-40554 被归类为身份认证绕过漏洞，但同样可能被用以实现 RCE，从而产生与其他两个反序列化 RCE 漏洞同等的破坏性影响。 近年来，SolarWinds 已多次发布补丁修复 Web Help Desk 软件中的漏洞，包括 CVE-2024-28986、CVE-2024-28987、CVE-2024-28988 及 CVE-2025-26399。值得注意的是，CVE-2025-26399 修复的是 CVE-2024-28988 的补丁绕过漏洞，而 CVE-2024-28988 本身也是 CVE-2024-28986 的补丁绕过漏洞。 2024 年末，美国网络安全和基础设施安全局（CISA）已将 CVE-2024-28986 和 CVE-2024-28987 列入其“已知被利用漏洞”（KEV）目录，并指出已有确凿证据表明这些漏洞正遭在野利用。 Horizon3.ai 的 Sebree 在分析 CVE-2025-40551 的文章中描述称，该漏洞是又一个源于 AjaxProxy 功能的反序列化漏洞。 攻击者若要实现远程代码执行，需执行以下一系列操作： · 建立有效会话并提取关键值。 · 创建一个 LoginPref 组件。 · 设置该 LoginPref 组件的状态，以获取文件上传功能的访问权限。 · 利用 JSONRPC 桥接，在后台构造恶意的 Java 对象。 · 触发这些恶意 Java 对象。 鉴于 Web Help Desk 过往漏洞曾被恶意利用，相关用户需尽快将此服务台与 IT 服务管理平台升级至最新版本。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  流行的 vm2 Node.js 库中被披露存在一个高危沙箱逃逸漏洞，若被成功利用，可导致攻击者在宿主操作系统上执行任意代码。 该漏洞编号为 CVE-2026-22709，在通用漏洞评分系统（CVSS）中获得了 9.8 分（满分 10.0）的严重评级。 “在 vm2 3.10.0 版本中，攻击者可绕过对 Promise.prototype.then 和 Promise.prototype.catch 回调函数的净化处理，” vm2 维护者 Patrik Simek 称。”这将允许攻击者逃离沙箱限制并执行任意代码。” vm2 是一个用于在安全沙箱环境中运行不可信代码的 Node.js 库，其原理是通过拦截和代理 JavaScript 对象，来阻止沙箱内的代码访问主机环境。 新发现的漏洞根源于该库对 Promise 处理器的净化机制存在缺陷，从而产生了一个逃逸路径，使得代码能在沙箱外部执行。 “关键在于，JavaScript 中的异步函数返回的是 globalPromise 对象，而非 localPromise 对象。而 globalPromise.prototype.then 和 globalPromise.prototype.catch 并未像 localPromise 的相关方法那样得到妥善净化，”Endor Labs 的研究员 Peyton Kennedy 和 Cris Staicu 解释道。 尽管 CVE-2026-22709 已在 vm2 的 3.10.2 版本中修复，但这仅是近年来困扰该库的连绵不断的沙箱逃逸漏洞中的最新一例。此前已包括 CVE-2022-36067、CVE-2023-29017、CVE-2023-29199、CVE-2023-30547、CVE-2023-32314、CVE-2023-37466 及 CVE-2023-37903 等多个漏洞。 2023年7月 CVE-2023-37903 的发现，曾促使 Simek 宣布该项目将终止维护。但相关表述现已从其 GitHub 仓库的最新 README 文件中删除。截至 2025 年 10 月，其安全页面也已更新，声明 vm2 3.x 版本正在积极维护中。 然而，vm2 的维护者亦承认，未来很可能还会出现新的绕过方法，因此强烈建议用户确保及时更新库版本，并考虑采用其他能提供更强隔离保证的可靠替代方案，例如 isolated-vm。 “与依赖原有存在缺陷的 vm 模型不同，vm2 的后续项目 isolated-vm 基于 V8 引擎的原生 Isolate 接口，提供了更为稳固的隔离基础。但即便如此，vm2 的维护者仍强调隔离至关重要，并实际建议采用 Docker 容器并在组件间实施逻辑隔离，” Semgrep 表示。 鉴于该漏洞危害严重，建议用户立即升级至最新版本 (3.10.3)，此版本亦修复了其他沙箱逃逸问题。 消息来源: thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Gemini MCP 工具存在一个高危零日漏洞，使用户在无需任何身份验证的情况下暴露于远程代码执行（RCE）攻击。 该漏洞追踪编号为 ZDI-26-021 / ZDI-CAN-27783，通用漏洞标识符为CVE-2026-0755，其 CVSS v3.1 最高评分为 9.8 分，反映了其易被利用且危害程度高的特性。 根据趋势科技零日计划（ZDI）的一份新公告，该漏洞影响了开源工具 gemini-mcp-tool，该工具用于实现 Gemini 模型与模型上下文协议（MCP）服务的集成。 漏洞概述 在公告中，涉事厂商及产品均标注为 Gemini MCP Tool / gemini-mcp-tool。该漏洞的核心成因是 execAsync 方法对用户输入数据处理不当。 该函数未对用户输入进行充分验证与净化，便直接将其传入系统调用。 远程攻击者可以利用此命令注入漏洞，在目标底层系统上执行任意代码，且代码执行权限与服务账户权限一致。 由于攻击媒介是基于网络的，且无需事先身份验证或用户交互，因此暴露于公网或共享环境的风险特别高。 该漏洞最初于 2025 年 7 月 25 日通过第三方平台报告给相关厂商。 ZDI 在 2025 年 11 月跟进漏洞修复进展，在未获得充分反馈的情况下，于 2025 年 12 月 14 日告知供应商其打算将此案例作为零日漏洞进行公告披露。 该漏洞的协同公开披露及安全公告更新工作于 2026 年 1 月 9 日完成。 截至公告发布时，厂商尚未推出官方补丁及修复更新。因此，该漏洞的缓解措施选项有限。 ZDI 建议严格限制对 Gemini MCP 工具的访问权限，确保其不直接暴露于互联网，且仅允许可信网络及可信用户进行交互。 管理员还需对运行 gemini-mcp-tool 的系统进行监控，重点排查可疑进程执行及异常对外连接情况，此类现象可能意味着漏洞已被成功利用。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了在 n8n 工作流自动化平台两个新的安全漏洞，其中一个为可导致远程代码执行的高危漏洞。 这两个由 JFrog 安全研究团队发现的漏洞详情如下： CVE-2026-1470（CVSS 评分：9.9）：一个 eval 注入漏洞。经过身份验证的用户可通过传入特制的 JavaScript 代码，绕过平台的表达式沙箱机制，从而在 n8n 主节点上实现完整的远程代码执行。 CVE-2026-0863（CVSS 评分：8.5）：一个 eval 注入漏洞。经过身份验证的用户可借此绕过 n8n 的 python-task-executor 沙箱限制，在底层操作系统上运行任意 Python 代码。 成功利用这些漏洞可使攻击者劫持整个 n8n 实例，即便该实例运行在 “内部” 执行模式下也不例外。n8n 在其文档中指出，在生产环境中使用内部模式可能带来安全风险，并建议用户切换至外部模式，以确保 n8n 与任务运行进程之间有适当的隔离。 “n8n 为自动化 AI 工作流而遍布企业全流程，因此它掌控着、基础设施的核心工具、功能和数据密钥，包括大语言模型（LLM）API、销售数据和内部身份与访问管理（IAM）系统等，”JFrog 在与 The Hacker News 分享的声明中表示。“一旦发生沙箱逃逸，就相当于为黑客提供了通往整个公司的有效‘万能钥匙’。” 为修复这些漏洞，建议用户升级至以下版本： CVE-2026-1470：请升级至 1.123.17、2.4.5 或 2.5.1 版本。 CVE-2026-0863：请升级至 1.123.14、2.3.5 或 2.4.2 版本。 此次披露距离 Cyera Research Labs 详细说明 n8n 中一个最高危漏洞（CVE-2026-21858，又名 Ni8mare）仅过去数周，该漏洞允许未经认证的远程攻击者完全控制易受攻击的实例。 “这些漏洞凸显了安全地沙箱化 JavaScript 和 Python 这类动态高级语言的难度之大，”研究员 Nathan Nehorai 表示。“即便部署了多层验证、拒绝列表和基于抽象语法树（AST）的控制措施，攻击者仍可利用微妙的语言特性和运行时行为来突破安全设计的预设。” “在此案例中，一些已被弃用或鲜少使用的语法结构，结合解释器的变更与异常处理行为，便足以突破原本限制严格的沙箱，最终实现远程代码执行。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。 Fortinet 已开始已开始逐步推送针对某款正遭攻击的高危 FortiOS 漏洞的修复补丁。该漏洞编号为 CVE-2026-24858（CVSS 评分为 9.4），可允许攻击者通过单点登录（SSO）绕过身份认证。它影响 FortiOS、FortiManager 和 FortiAnalyzer，Fortinet ，Fortinet 正在调查其他产品是否受影响。 安全公告中写道：“FortiOS、FortiManager 及 FortiAnalyzer 中存在一项‘使用替代路径或通道进行身份验证绕过’的漏洞（CWE-288）。若相关设备启用了 FortiCloud SSO 认证，则拥有 FortiCloud 账户及已注册设备的攻击者，可能借此登录到其他账户下的已注册设备。”“请注意，FortiCloud SSO 登录功能在出厂默认设置中处于关闭状态。然而，当管理员通过设备图形界面（GUI）将其注册至 FortiCare 时，若未在注册页面手动关闭‘允许使用 FortiCloud SSO 进行管理登录’选项，则该功能将会在注册完成后自动启用。” Fortinet 强调，FortiCloud SSO 登录功能默认禁用。仅当管理员通过 GUI 将设备注册至 FortiCare，或在注册时明确启用 FortiCloud SSO 管理登录选项后，该功能才会激活。 这家网络安全厂商证实，已有两个恶意 FortiCloud 账户利用该漏洞发起攻击，相关账户已于 2026 年 1 月 22 日被封禁。为遏制漏洞滥用，FortiCloud SSO 服务在 1 月 26 日被临时禁用，并于 1 月 27 日重新启用。目前，该服务会阻止运行易受攻击版本的设备登录，用户必须将设备升级至受支持的版本，方可继续使用 FortiCloud SSO 认证。 该公司仍在调查其他产品（如 FortiWeb 和 FortiSwitch Manager）是否受此漏洞影响。 Fortinet 提供了临时应对方案：由于 FortiCloud SSO 现已禁止来自运行漏洞版本的设备登录，因此客户端并非必须禁用 SSO。但作为额外防护，管理员仍可通过 GUI 或CLI，在 FortiOS、FortiProxy、FortiManager 和 FortiAnalyzer 上手动禁用 FortiCloud SSO，直至系统完成全面修补。 上周，Fortinet 确认已修复的设备也遭到了绕过 FortiCloud SSO 的攻击。他们通过自动化手段修改防火墙设置、添加用户、启用 VPN 并窃取配置文件，其攻击模式与 2025 年 12 月利用严重 FortiCloud SSO 漏洞的攻击模式相似。 Arctic Wolf 研究人员报告称，自 2026 年 1 月 15 日起观测到一个新的自动化攻击集群，该集群专门针对 FortiGate 设备。攻击者创建通用账户以维持访问权限、启用 VPN 访问并窃取防火墙配置。此活动与 2025 年 12 月那起涉及管理员 SSO 登录和配置窃取的攻击活动类似。Arctic Wolf 已部署相应检测机制，并持续监控这一持续演变的威胁。 2025年12月，Fortinet 披露了两个严重的 SSO 认证绕过漏洞，编号为 CVE-2025-59718 和 CVE-2025-59719，其本质是加密签名验证不当问题。 Arctic Wolf 警告称，在补丁发布数日后，攻击者就已开始利用 Fortinet 产品中的这两个严重漏洞。 Arctic Wolf 研究人员检测到，攻击者在 2025 年 12 月 12 日便开始利用这些严重的 Fortinet 认证绕过漏洞，此时距补丁发布仅三天。攻击涉及在 FortiGate 设备上进行恶意 SSO 登录，主要目标是来自多家托管服务提供商的管理员账户。获取访问权限后，攻击者随即通过 GUI 导出设备配置文件。这些文件中包含哈希加密后的凭证信息，攻击者可尝试离线破解，从而增加了系统被进一步入侵的风险。 近期的入侵事件显示，恶意 SSO 登录源自少数几家托管服务提供商，且常针对 cloud-init@mail.io 账户。在成功通过 SSO 访问后，攻击者会迅速通过 GUI 导出防火墙配置，并创建用于维持访问权限的次级管理员账户。这些操作均在数秒内完成，表明攻击高度自动化。 Fortinet 证实，即便已针对 CVE-2025-59718 和 CVE-2025-59719 完成修补的设备，也未能幸免。该公司在观察到已完全更新的设备仍遭登录利用后，发现了一条新的攻击路径。修复工作正在进行中，安全公告即将发布，所有基于 SAML 的 SSO 实现均可能受影响。 该公司发布的公告中写道：“近期，少量客户报告其设备出现了异常登录活动，这与先前的问题极为相似。然而，在过去24小时内，我们确认了多起攻击案例，其目标设备在受攻击时均已升级至最新版本，这表明存在新的攻击路径。” “Fortinet 产品安全团队已识别该问题，公司正在制定修复方案。待修复范围与具体时间表确定后，将发布正式安全公告。需要强调的是，尽管目前仅观测到 FortiCloud SSO 遭利用的案例，但此问题影响所有 SAML SSO 部署场景。”       消息来源:securityaffairs ： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Koi警告称，JavaScript生态系统主流包管理器（包括NPM、PNPM、VLT和Bun）存在的六项安全漏洞可能被利用来绕过供应链攻击防护机制。这些被统称为”PackageGate”的安全缺陷，可能导致攻击者隐藏在依赖包中的恶意代码被执行。 继Shai-Hulud和PhantomRaven等重大NPM供应链攻击事件后，各组织和开发者普遍采用两大防护机制：一是设置标志位阻止安装包时自动执行预装/安装/后装脚本；二是记录依赖树中每个包的版本及完整性哈希值，后续安装时进行哈希校验。 Koi指出，影响四大包管理器的六项PackageGate漏洞可绕过这些防护措施，实现完全远程代码执行（RCE），但各管理器的攻击手法存在差异： • NPM中可通过包含恶意.npmrc文件的Git依赖实现RCE • PNPM默认禁用的脚本防护仅适用于构建阶段，不适用于Git依赖处理 • VLT的压缩包解压操作存在路径遍历漏洞，可导致系统任意文件写入 • Bun的脚本执行白名单仅验证包名而非来源，攻击者可伪装合法包实现RCE 此外，Koi发现PNPM和VLT仅存储压缩包依赖的URL而缺乏完整性哈希验证，导致初始安装通过安全检查的压缩包可能在后续安装中被篡改注入恶意代码。”攻击者一旦将恶意包植入依赖树（即使嵌套多层），即可根据时间、IP地址等信号定向投递恶意负载，”Koi强调。 安全公司已向四家包管理器提交漏洞报告。PNPM、VLT和Bun均在数周内修复漏洞，其中PNPM漏洞编号为CVE-2025-69263和CVE-2025-69264。但NPM方面将该报告标记为”信息性说明”，认为相关功能按设计运行。Koi指出该安全风险真实存在，已观测到威胁行为体讨论利用恶意.npmrc文件的概念验证代码。 针对安全媒体询问，NPM母公司GitHub回应称，通过Git安装依赖包时信任整个代码库是预期设计。”我们正积极处理新报告的问题，NPM持续扫描注册表中的恶意软件。保障NPM生态系统安全需要集体努力，我们强烈建议项目采用可信发布、精细化访问令牌及强制双因素认证来加固软件供应链。GitHub持续投入加强NPM安全，近期已实施认证和令牌管理改进措施。” 消息来源: securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文