HackerNews 编译，转载请注明出处： 包括华擎、华硕、技嘉和微星在内的多家主板制造商的部分型号产品，存在一个安全漏洞，可能导致其受到早期启动阶段直接内存访问攻击的影响。该漏洞涉及采用统一可扩展固件接口和输入输出内存管理单元架构的系统。 UEFI和IOMMU旨在提供安全基础，防止外围设备进行未授权的内存访问，从而有效确保支持DMA的设备在操作系统加载前无法操控或探查系统内存。 该漏洞由Riot Games的尼克·彼得森和穆罕默德·阿尔-沙里菲在某些UEFI实现中发现，其根源在于DMA保护状态存在不一致。虽然固件显示DMA保护已启用，但在关键的启动阶段，固件未能正确配置并启用IOMMU。 “这一缺陷允许具有物理访问权限的恶意PCIe设备，在操作系统级防护建立之前，读取或修改系统内存，”CERT协调中心在一份公告中表示。“因此，攻击者可能访问内存中的敏感数据，或影响系统的初始状态，从而破坏启动过程的完整性。” 成功利用该漏洞，物理在场的攻击者可以在运行未修补固件的受影响系统上，在操作系统内核及其安全功能加载之前，通过DMA事务启用预启动代码注入，并访问或篡改系统内存。 导致早期启动内存保护被绕过的漏洞如下： CVE-2025-14304 ：影响华擎、华擎服务器及华擎工业主板，涉及Intel 500、600、700和800系列芯片组。 CVE-2025-11901 ：影响华硕主板，涉及Intel Z490、W480、B460、H410、Z590、B560、H510、Z690、B660、W680、Z790、B760及W790系列芯片组。 CVE-2025-14302 ：影响技嘉主板，涉及Intel Z890、W880、Q870、B860、H810、Z790、B760、Z690、Q670、B660、H610、W790系列芯片组，以及AMD X870E、X870、B850、B840、X670、B650、A620、A620A和TRX50系列芯片组。 CVE-2025-14303 ：影响微星主板，涉及Intel 600和700系列芯片组。 受影响的供应商已发布固件更新，以纠正IOMMU初始化顺序并在整个启动过程中强制执行DMA保护。终端用户和管理员必须在更新可用后尽快应用，以防范威胁。 “在无法完全控制或依赖物理访问的环境中，及时打补丁并遵循硬件安全最佳实践尤为重要，”CERT/CC表示。“由于IOMMU在虚拟化和云环境中的隔离与信任委派方面也扮演着基础角色，此漏洞突显了确保正确配置固件的重要性，即使对于通常不在数据中心使用的系统也是如此。” Riot Games在另一篇帖子中表示，该关键漏洞可被用于注入代码，并补充说明了在机器上运行的操作系统启动其安全控制之前，如何操控与早期启动序列相关的特权状态。 “这个问题可能导致硬件作弊工具可能在不被察觉的情况下注入代码，即使主机上的安全设置看似已启用，”阿尔-沙里菲将其描述为一个“‘沉睡的保镖’问题”。 虽然预启动DMA保护旨在通过IOMMU在启动序列早期防止恶意DMA访问系统内存，但该漏洞源于固件错误地向操作系统发出信号，表明此功能已完全启用，而实际上固件在早期启动期间未能正确初始化IOMMU。 “这意味着，尽管BIOS中‘预启动DMA保护’设置看似已启用，但底层的硬件实现在启动过程的最初几秒并未完全初始化IOMMU，”阿尔-沙里菲补充道。“本质上，系统的‘保镖’看似在岗，但实际上却在椅子上睡着了。因此，当系统完全加载后，它无法100%确信没有通过DMA注入破坏完整性的代码。” 这个短暂的利用窗口可能为“复杂的硬件作弊工具”打开大门，使其能够进入系统、获得提升的权限并隐藏自身，而不触发任何警报。“通过堵上这个预启动漏洞，我们正在消除一整类此前无法触及的作弊手段，并显著提高不公平游戏的成本，”Riot Games指出。 尽管此漏洞是从游戏行业的角度被描述的，但其安全风险延伸到任何可能滥用物理访问权限来注入恶意代码的攻击。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款流行的WordPress主题中发现安全漏洞，该漏洞可能允许权限最低的已登录用户获得受影响网站的完全控制权。 该问题涉及一个任意文件上传漏洞，允许”订阅者”及以上级别的用户安装并激活插件，从而可能执行恶意代码。Motors主题是一款广泛用于汽车网站的WordPress解决方案，包括汽车经销商、车辆租赁平台和分类信息列表网站。由StylemixThemes开发，目前拥有超过20，000个活跃安装。 此漏洞影响5.6.81及以下版本，已分配编号CVE-2025-64374。漏洞由Patchstack Alliance社区的成员Denver Jackson发现并负责任地报告。漏洞存在于一个允许通过后端功能安装插件的AJAX处理程序中。虽然该功能使用随机数（nonce）进行请求验证，但缺乏适当的权限检查。 由于”订阅者”级别的用户可以从WordPress管理界面获取该随机数值，任何已登录用户都可以提供任意的插件URL。这使得恶意插件可以被上传和激活，最终导致网站被完全控制。Patchstack指出，这反映了WordPress组件中普遍存在的一个更广泛的问题。随机数的设计目的是防止请求伪造，而非强制执行访问控制。 WordPress开发者文档建议：”切勿依赖随机数进行身份验证、授权或访问控制。请使用current_user_can()函数保护您的功能，并始终假设随机数可能被泄露。” 该问题已在Motors 5.6.82版本中修复，该版本引入了current_user_can权限检查。这确保了只有授权用户才能触发插件的安装和激活过程。该补丁于11月3日发布，此前在9月已向供应商披露。PatchStack今天发布的公告为开发者和网站所有者强调了几个关键教训： 仅靠随机数不足以保护特权功能 所有修改网站的操作都应执行严格的权限检查 绝不能默认假设已登录用户是可信的 强烈建议运行Motors主题的网站所有者更新至5.6.82或更高版本以降低风险。未能应用此更新将使网站暴露于WordPress最严重的漏洞类别之一。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： HPE已修复其OneView软件中的一个最高严重性安全漏洞，如果被成功利用，可能导致远程代码执行。 这个被标记为CVE-2025-37164的关键漏洞，其CVSS评分为10.0。HPE OneView是一款IT基础设施管理软件，旨在简化IT运营并通过集中式仪表板界面控制系统。 HPE在本周发布的公告中表示：”已在慧与OneView软件中发现一个潜在的安全漏洞。该漏洞可能被利用，允许远程未经身份验证的用户执行远程代码执行。” 该漏洞影响11.00版本之前的所有软件版本，而11.00版本已修复此漏洞。该公司还提供了一个可应用于OneView 5.20至10.20版本的热修复补丁。 值得注意的是，从6.60或更高版本升级到7.00.00版本后，或在执行任何HPE Synergy Composer重镜像操作后，必须重新应用此热修复补丁。针对OneView虚拟设备和Synergy Composer2，提供了单独的热修复补丁。 尽管HPE未提及该漏洞在野外被利用的情况，但用户尽快应用补丁以获得最佳保护至关重要。 今年6月初，该公司还发布了更新，修复了其StoreOnce数据备份和重复数据删除解决方案中的八个漏洞，这些漏洞可能导致身份验证绕过和远程代码执行。此外，还发布了OneView 10.00版本，以修复Apache Tomcat和Apache HTTP Server等第三方组件中的多个已知漏洞。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Plesk for Linux 中发现了一个严重的安全漏洞，可能允许用户在受影响的服务器上获取 root 访问权限。 该漏洞编号为 CVE-2025-66430，存在于 Plesk 的”密码保护目录”功能中，允许攻击者将任意数据注入 Apache 配置文件。 该漏洞源于”密码保护目录”功能对用户输入的处理不当。通过利用此漏洞，攻击者可以将恶意数据注入 Apache 配置，随后以 root 权限执行命令。 这代表一个关键的本地权限提升漏洞，对依赖 Plesk 进行服务器管理的组织构成了重大风险。 CVE ID 漏洞类型 受影响组件 CVE-2025-66430 本地权限提升 密码保护目录 任何有权访问”密码保护目录”功能的 Plesk 用户都可以利用此漏洞获取未经授权的 root 级别访问权限。 这使得攻击者能够以最高的系统权限执行任意命令，可能导致服务器完全被攻陷、数据盗窃、安装恶意软件或在网络内横向移动。 如果此漏洞未修补，运行受影响 Plesk 版本的组织将面临重大风险。从标准用户账户提升权限至 root 访问的能力，是服务器管理环境中最关键的安全威胁之一。 Plesk 已发布修复此漏洞的安全更新。 受影响的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安装也受到影响。 针对版本 18.0.73.5 和 18.0.74.2 的微更新已经发布，管理员应立即安装。为修复此漏洞，组织应立即更新其 Plesk 安装。 官方 Plesk 支持文档提供了在不同版本发布中安装更新的全面指南。 系统管理员应优先立即将所有受影响的 Plesk 安装更新至已修复的版本。 组织应审查”密码保护目录”功能的访问控制，并确保只有授权用户才能访问。 此外，建议监控日志中是否存在可疑的配置更改或命令执行尝试。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周五针对iOS、iPadOS、macOS、tvOS、watchOS、visionOS及其Safari网络浏览器发布了安全更新，以修复两个已被在野利用的安全漏洞。其中一个漏洞与谷歌本周初在Chrome浏览器中修复的漏洞相同。 漏洞信息如下： CVE-2025-43529（CVSS评分：暂无）：WebKit中的释放后使用漏洞，处理恶意构造的网页内容时可能导致任意代码执行。 CVE-2025-14174（CVSS评分：8.8）：WebKit中的内存损坏问题，处理恶意构造的网页内容时可能导致内存损坏。 苹果表示已意识到这些缺陷“可能已在针对iOS 26之前版本的特定目标个体的高度复杂攻击中被利用”。值得注意的是，CVE-2025-14174正是谷歌于2025年12月10日在其Chrome浏览器中修复的同一漏洞。谷歌将其描述为其开源图形层引擎库的Metal渲染器中存在的越界内存访问问题。 苹果安全工程与架构团队和谷歌威胁分析小组因发现并报告CVE-2025-14174漏洞获得致谢，而CVE-2025-43529漏洞由谷歌TAG发现。 考虑到这两个漏洞均影响WebKit渲染引擎（iOS和iPadOS上所有第三方浏览器包括Chrome、Microsoft Edge、Mozilla Firefox等均使用该引擎），它们很可能被用于高度定向的商业间谍软件攻击。 漏洞已在以下版本和设备中修复： iOS 26.2与iPadOS 26.2：iPhone 11及更新机型、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第八代iPad及更新机型、第五代iPad mini及更新机型 iOS 18.7.3与iPadOS 18.7.3：iPhone XS及更新机型、13英寸iPad Pro、第三代12.9英寸iPad Pro及更新机型、第一代11英寸iPad Pro及更新机型、第三代iPad Air及更新机型、第七代iPad及更新机型、第五代iPad mini及更新机型 macOS Tahoe 26.2：运行macOS Tahoe的Mac电脑 tvOS 26.2：Apple TV HD与Apple TV 4K（所有型号） watchOS 26.2：Apple Watch Series 6及更新机型 visionOS 26.2：Apple Vision Pro（所有型号） Safari 26.2：运行macOS Sonoma与macOS Sequoia的Mac电脑 通过此次更新，苹果已在2025年累计修复了九个在野被利用的零日漏洞，包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201、CVE-2025-43200和CVE-2025-43300。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Wiz 发布的新发现，Gogs 中存在一个高严重性且未修复的安全漏洞正遭到主动利用，已有超过700个可通过互联网访问的实例被入侵。 该漏洞编号为 CVE-2025-8110（CVSS 评分：8.7），是这一基于 Go 语言的自托管 Git 服务在其文件更新 API 中存在的一个文件覆写案例。据称，针对该问题的修复程序目前正在开发中。Wiz公司表示，他们是在2025年7月调查一名客户机器上的恶意软件感染时，意外发现了这个零日漏洞。 根据 CVE.org 上的漏洞描述：”Gogs 中 PutContents API 对符号链接的处理不当，允许本地代码执行。“ 这家云安全公司指出，CVE-2025-8110 实际上是对一个先前已修复的远程代码执行漏洞（CVE-2024-55947，CVSS 评分：8.7）的绕过。该漏洞允许攻击者向服务器上的任意路径写入文件，并获取服务器的 SSH 访问权限。CVE-2024-55947 已于 2024 年 12 月由维护者修复。 Wiz 表示，攻击者可以利用 Git（以及因此的 Gogs）允许在 git 仓库中使用符号链接，并且这些符号链接可以指向仓库外的文件或目录这一事实，来绕过 Gogs 为解决 CVE-2024-55947 而实施的修复。此外，Gogs 的 API 允许在常规 Git 协议之外修改文件。 因此，攻击者可以利用这种未能妥善处理符号链接的缺陷，通过一个四步过程实现任意代码执行： 创建一个标准的 git 仓库。 提交一个指向敏感目标的单个符号链接。 使用 PutContents API 向该符号链接写入数据，导致系统跟随链接并覆写仓库外的目标文件。 覆写 “.git/config” 文件（特别是 sshCommand 配置）以执行任意命令。 至于在此次攻击活动中部署的恶意软件，据评估是基于 Supershell 的有效负载。Supershell 是一个开源命令与控制框架，常被中国黑客组织使用，能够建立到攻击者控制服务器（”119.45.176[.]196″）的反向 SSH shell。 Wiz 称，利用 CVE-2025-8110 的攻击者在感染后本可以采取措施删除或在客户云工作负载上留下的已创建仓库（例如 “IV79VAew / Km4zoh4s“），但他们并没有这么做。这种粗心大意表明这可能是一场”打了就跑”式的攻击活动。 总体而言，互联网上暴露着大约 1,400 个 Gogs 实例，其中超过 700 个已显示出被入侵的迹象，特别是存在由8个字符随机组成的所有者/仓库名称。所有已识别的仓库均创建于 2025年7月10日 左右。 研究人员 Gili Tikochinski 和 Yaara Shriki 表示：”这表明单一的攻击者，或者可能是一组都使用相同工具的攻击者，应对所有感染负责。“ 鉴于该漏洞目前没有修复补丁，用户必须禁用公开注册功能，限制其暴露在互联网上，并扫描实例中是否存在具有8字符随机名称的仓库。 此次披露之际，Wiz 同时警告，威胁行为者正将泄露的 GitHub 个人访问令牌作为高价值入口点，用以获取对受害者云环境的初始访问权限，甚至利用它们实现从 GitHub 到云服务提供商控制平面的跨云横向移动。 当前的核心问题是，拥有通过 PAT 获得的基本读取权限的威胁行为者，可以利用 GitHub 的 API 代码搜索功能，发现直接嵌入在工作流 YAML 代码中的密钥名称。更复杂的是，如果被利用的 PAT 具有写入权限，攻击者就可以执行恶意代码并清除其恶意活动的痕迹。 研究员 Shira Ayal 表示：”攻击者利用被盗的 PAT 在代码库中发现 GitHub Action Secrets 的名称，并在新创建的恶意工作流中使用这些名称来执行代码并获取 CSP 密钥。我们还观察到威胁行为者将密钥外泄到他们控制的一个 Webhook 端点，完全绕过了 Action 日志。“ 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Huntress公司的新发现，React2Shell漏洞正持续遭遇大规模利用，威胁行为者利用React服务器组件中一个严重程度最高的安全漏洞，来投递加密货币挖矿程序及一系列此前未被记录的恶意软件家族。 这些新型恶意软件包括一款名为PeerBlight的Linux后门、一个名为CowTunnel的反向代理隧道工具，以及一个被称为ZinFoq的基于Go语言的攻陷后植入程序。 Huntress表示，已检测到攻击者通过CVE-2025-55182漏洞针对众多组织进行攻击。此漏洞是RSC组件中的严重安全缺陷，攻击者可利用该漏洞实现未授权远程代码执行。截至2025年12月8日，攻击已覆盖多个行业，其中建筑业和娱乐业成为主要受害领域。 Huntress首次记录到针对Windows终端的利用尝试可追溯到2025年12月4日。当时，一个未知威胁行为者利用了存在漏洞的Next.js实例来投递一个shell脚本，随后通过命令下载加密货币挖矿程序和Linux后门。 在另外两起事件中，攻击者执行了信息探测命令，并试图从C2服务器下载多个恶意载荷。部分典型入侵事件还专门针对 Linux 主机投放了门罗币加密货币挖矿程序，此外攻击者还会先利用一款公开的GitHub工具定位存在漏洞的 Next.js 实例，再发起攻击。 Huntress研究员指出：“基于在多个终端观察到的持续攻击模式，包括完全相同的漏洞探测、shell代码测试和C2基础设施，我们评估该威胁行为者很可能在利用自动化的漏洞利用工具”，“攻击者向 Windows 终端尝试部署 Linux 专属恶意载荷的行为，进一步佐证了该自动化工具未对目标操作系统进行区分”。 攻击中投放的主要恶意载荷说明 sex.sh：一款bash脚本，可直接从GitHub获取XMRig 6.24.0矿机程序 PeerBlight：Linux后门程序，与2021年出现的RotaJakiro 和Pink两款恶意软件存在部分代码重合；它会创建systemd 服务实现持久化驻留，并伪装成“ksoftirqd”守护进程以躲避检测 CowTunnel：反向代理工具，可主动与攻击者控制的快速反向代理服务器建立出站连接，以此绕过仅监控入站连接的防火墙 ZinFoq：Linux平台ELF格式二进制文件，集成了一套后期渗透框架，具备交互式shell、文件操作、网络跳板、时间戳篡改等功能 d5.sh：投放Sliver C2框架的加载器脚本 fn22.sh：d5.sh的变种，新增了自更新机制，可获取恶意软件新版本并重启运行 wocaosinm.sh：Kaiji DDoS 恶意软件的变种，整合了远程管理、持久化和反检测能力 PeerBlight支持与硬编码的C2服务器建立通信的能力，允许其上传/下载/删除文件、生成反向shell、修改文件权限、运行任意二进制文件以及自我更新。该后门还利用了域名生成算法和BitTorrent分布式哈希表网络作为备用的C2机制。 研究人员解释道：“后门接入DHT网络后，会以固定前缀LOLlolLOL注册节点ID。这9字节的前缀是该僵尸网络的标识，而20字节DHT节点ID的剩余11字节则为随机生成。” Huntress表示，已识别出了超过60个带有LOLlolLOL前缀的唯一节点，同时指出受感染僵尸主机需满足多项条件，才会向其他节点共享自身 C2 配置：需具备有效客户端版本、响应节点需存有可用配置、且需匹配正确的事务 ID。 即便满足所有必要条件，这类僵尸主机也仅会在约三分之一的情况下通过随机校验共享配置，此举或为降低网络流量特征、规避检测。 ZinFoq植入程序同样会向其C2服务器发送心跳信号，并可解析接收的指令，执行以下操作：通过 “/bin/bash” 运行命令、枚举目录、读取或删除文件、从指定 URL 下载更多恶意载荷、窃取文件及系统信息、启动 / 停止 SOCKS5 代理、开启 / 关闭 TCP 端口转发、篡改文件访问和修改时间、建立反向伪终端（PTY）shell连接。 此外，ZinFoq还会清除bash历史记录，并将自身伪装成 44种合法Linux系统服务之一，以此隐藏自身踪迹。 Huntres提醒，鉴于该漏洞 “易被利用且危害等级极高”，所有使用 react-server-dom-webpack、react-server-dom-parcel 或 react-server-dom-turbopack 组件的组织应立即完成版本更新。 此消息发布之际，Shadowserver基金会表示，在优化扫描目标策略后，截至 2025 年 12 月 8 日，已检测到超 16.5 万个存在漏洞代码的 IP 地址和 64.4 万个相关域名。其中美国境内的漏洞实例数量超 9.92 万个，其后依次为德国（1.41 万个）、法国（6400 个）和印度（4500 个）。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Wordfence 的监测数据显示，WordPress 平台的 Sneeit Framework 插件中存在的一个高危安全漏洞已被攻击者在野环境中积极利用。 此次涉及的远程代码执行漏洞编号为 CVE-2025-6389（CVSS 评分 9.8），影响该插件 8.3 及以下的所有版本，该漏洞已于 2025 年 8 月 5 日发布的 8.4 版本中完成修复。目前该插件的活跃安装量超 1700 个。 Wordfence 表示：“该漏洞成因是 [sneeit_articles_pagination_callback ()] 函数接收用户输入后，直接将其传入 call_user_func () 函数执行。这使得未授权攻击者能够在服务器上执行代码，进而可用于植入后门，或是创建新的管理员账户等操作。” 也就是说，攻击者可利用该漏洞调用任意 PHP 函数，比如通过 wp_insert_user () 函数创建恶意管理员账户。一旦成功创建，攻击者便能借此掌控整个网站，注入恶意代码，将网站访客重定向至钓鱼网站、恶意软件下载页面或垃圾信息站点。 Wordfence 指出，针对该漏洞的在野利用始于 2025 年 11 月 24 日（即漏洞公开披露当日），该公司已拦截超 13.1 万次针对此漏洞的攻击尝试，仅过去 24 小时内就记录到 15381 次攻击。 攻击详情 部分攻击行为表现为向 “/wp-admin/admin-ajax.php” 端点发送特制 HTTP 请求，创建如 “arudikadis” 这类恶意管理员账户，并上传可能用于获取后门访问权限的恶意 PHP 文件 “tijtewmg.php”。 攻击来源的 IP 地址如下： 185.125.50[.]59 182.8.226[.]51 89.187.175[.]80 194.104.147[.]192 196.251.100[.]39 114.10.116[.]226 116.234.108[.]143 这家 WordPress 安全厂商还发现，攻击者使用的恶意 PHP 文件具备目录扫描、文件及权限的读写删操作、ZIP 文件解压等能力，涉及的恶意文件包括 “xL.php”“Canonical.php”“.a.php”“simple.php”。 据 Wordfence 披露，“xL.php” 后门程序由一款名为 “up_sf.php” 的漏洞利用 PHP 文件下载获取，同时该文件还会从外部服务器（racoonlab [.] top）下载 “.htaccess” 文件至受攻击主机。 伊斯万・马尔顿表示：“这份.htaccess 文件可确保 Apache 服务器上特定扩展名的文件能被正常访问。当其他.htaccess 文件限制了脚本访问（比如在上传目录中）时，该文件就能发挥作用。” ICTBroadcast 漏洞被用于传播 Frost DDoS 僵尸网络 与此同时，VulnCheck 称其监测到攻击者利用 ICTBroadcast 的高危漏洞（CVE-2025-2611，CVSS 评分 9.3），针对其蜜罐系统发起新攻击，通过下载 Shell 脚本加载器，获取多个不同架构版本的名为 “frost” 的恶意二进制文件。 这些恶意文件在执行后，会自行删除载荷与加载器以清除攻击痕迹，其最终目的是对目标发起分布式拒绝服务（DDoS）攻击。 VulnCheck 的雅各布・贝恩斯称：“这款 frost 二进制文件整合了 DDoS 攻击工具与传播逻辑，内置了针对 15 个 CVE 漏洞的 14 种利用程序。其传播方式的关键在于，攻击者并非对全网进行无差别攻击，frost 会先对目标进行检测，只有发现预期的特定特征时才会发起漏洞利用。” 例如，该恶意程序仅在接收到包含 “Set-Cookie: user=(null)” 的 HTTP 响应，且后续请求的响应中包含 “Set-Cookie: user=admin” 时，才会利用 CVE-2025-1610 漏洞发起攻击；若未检测到这些特征，程序则会保持休眠状态。相关攻击均来自 IP 地址 87.121.84 [.] 52。 尽管相关漏洞已被多个 DDoS 僵尸网络利用，但鉴于互联网上易受攻击的暴露系统不足 1 万台，证据表明此次攻击属于小规模定向操作。 贝恩斯补充道：“这限制了基于这些 CVE 漏洞构建的僵尸网络规模，也意味着该攻击者的体量相对较小。值得注意的是，用于传播该样本的 ICTBroadcast 漏洞利用程序并未出现在二进制文件中，说明攻击者还具备未被发现的其他攻击能力。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Apache Tika 曝出一处高危安全漏洞，该漏洞可能导致 XML 外部实体注入攻击。 此漏洞编号为 CVE – 2025 – 66516，在通用漏洞评分系统（CVSS）中的得分为 10.0，属于最高危险等级。 漏洞公告指出：“Apache Tika 的核心模块（tika – core，版本 1.13 – 3.2.1）、PDF 解析模块（tika – pdf – module，版本 2.0.0 – 3.2.1）以及解析器模块（tika – parsers，版本 1.13 – 1.28.5）在全平台均存在高危 XML 外部实体注入漏洞。攻击者可借助 PDF 文件中植入的恶意交互式表单文件实施 XML 外部实体注入攻击。” 该漏洞影响以下 Maven 软件包： org.apache.tika:tika – core：版本 1.13 至 3.2.1（3.2.2 版本已修复） org.apache.tika:tika – parser – pdf – module：版本 2.0.0 至 3.2.1（3.2.2 版本已修复） org.apache.tika:tika – parsers：版本 1.13 至 1.28.5（2.0.0 版本已修复） XML 外部实体注入漏洞是一种网络安全漏洞，攻击者可利用该漏洞干扰应用程序对 XML 数据的处理流程。进而非法访问应用服务器文件系统中的文件，部分情况下甚至能够实现远程代码执行。 经证实，CVE – 2025 – 66516 与 CVE – 2025 – 54988 为同一类型的 XML 外部实体注入漏洞（后者 CVSS 评分为 8.4）。后者作为 Apache Tika 内容检测与分析框架中的漏洞，已于 2025 年 8 月由项目维护团队完成修复。Apache Tika 团队表示，此次新编号漏洞在两方面扩大了受影响软件包的范围： 尽管 CVE – 2025 – 54988 中记录的漏洞触发入口是 PDF 解析模块，但漏洞根源及修复代码实则位于核心模块中。若用户仅升级了 PDF 解析模块，却未将核心模块升级至 3.2.2 及以上版本，系统仍会处于高危状态。 最初的漏洞报告遗漏了一项关键信息，即在 Apache Tika 1.x 系列版本中，PDF 解析器属于解析器模块（org.apache.tika:tika – parsers）。 鉴于该漏洞的高危属性，官方提醒用户务必尽快安装更新补丁，以降低潜在安全风险。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本网络安全应急响应中心（JPCERT/CC）本周发布警报称，Array Networks AG 系列安全接入网关存在的命令注入漏洞，自 2025 年 8 月起已被黑客在实际攻击中利用。 该漏洞暂未分配 CVE 编号，Array 公司已于 2025 年 5 月 11 日推出修复方案。漏洞根源在于 Array 的远程桌面访问解决方案 DesktopDirect，该功能允许用户从任意位置安全访问工作电脑。 JPCERT/CC 表示：“利用此漏洞，攻击者可执行任意命令。启用了提供远程桌面访问的‘DesktopDirect’功能的系统，均会受到该漏洞影响。” 该机构透露，已确认日本境内有多起相关攻击事件。攻击者自 2025 年 8 月起利用该漏洞，向易受攻击的设备植入网页后门，攻击源头 IP 地址为 194.233.100 [.] 138。 目前，关于此次漏洞利用攻击的规模、攻击武器细节以及威胁行为者的身份，尚未有更多公开信息。 不过，该产品曾存在另一项身份验证绕过漏洞（CVE-2023-28461，CVSS 评分 9.8），去年被网络间谍组织利用。该组织至少自 2019 年起就有针对日本机构的攻击历史，但目前尚无证据表明，此次攻击事件与该组织存在关联。 该命令注入漏洞影响 ArrayOS 9.4.5.8 及更早版本，ArrayOS 9.4.5.9 版本已修复此问题。JPCERT/CC 建议用户尽快安装最新更新以降低潜在威胁；若无法立即打补丁，应禁用 DesktopDirect 服务，并启用 URL 过滤功能，拒绝访问包含分号的 URL。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文