HackerNews 编译，转载请注明出处： 开源工具 Picklescan 被披露存在三个高危安全漏洞，攻击者可通过加载不可信的 PyTorch 模型执行任意代码，从而绕过该工具的防护机制。 Picklescan 由马修・梅特尔（@mmaitre314）开发维护，是一款安全扫描工具，旨在解析 Python pickle 文件，在可疑导入或函数调用执行前对其进行检测。Pickle 是机器学习领域广泛使用的序列化格式，但该格式存在重大安全风险 —— 加载 pickle 文件时可能自动触发任意 Python 代码执行。因此，用户和企业需仅加载可信模型，或从 TensorFlow、Flax 等框架加载模型权重。 JFrog 发现的这些漏洞使攻击者能够绕过扫描工具检测，让恶意模型文件被判定为 “安全” 并执行恶意代码，进而为供应链攻击铺平道路。 漏洞核心原理 安全研究员大卫・科恩表示：“每个已发现的漏洞都能让攻击者规避 Picklescan 的恶意软件检测，通过分发隐藏不可检测恶意代码的机器学习模型，实施大规模供应链攻击。” Picklescan 的核心工作机制是在字节码层面分析 pickle 文件，将检测结果与已知危险导入和操作的黑名单进行比对，标记相似危险行为。这种 “黑名单模式” 相比 “白名单模式” 的缺陷在于：无法检测新型攻击向量，且要求开发者预先覆盖所有可能的恶意行为。 漏洞详情 1. CVE-2025-10155（CVSS 评分：9.3/7.8） 漏洞类型：文件扩展名绕过漏洞 利用方式：将标准 pickle 文件伪装为带有 .bin 或 .pt 等 PyTorch 相关扩展名的文件，绕过扫描并加载恶意模型 2. CVE-2025-10156（CVSS 评分：9.3/7.5） 漏洞类型：ZIP 归档扫描绕过漏洞 利用方式：通过引入循环冗余校验（CRC）错误，禁用工具对 ZIP 归档文件的扫描功能 3. CVE-2025-10157（CVSS 评分：9.3/8.3） 漏洞类型：不安全全局变量检测绕过漏洞 利用方式：规避危险导入黑名单，绕过 Picklescan 的不安全全局变量检查，实现任意代码执行 成功利用上述漏洞的攻击者可实施以下行为： 在带有常见 PyTorch 扩展名的文件中隐藏恶意 pickle 载荷； 向包含恶意模型的 ZIP 归档文件中故意植入 CRC 错误； 构造嵌入 pickle 载荷的恶意 PyTorch 模型，绕过扫描检测。 这些漏洞于 2025 年 6 月 29 日被负责任披露，Picklescan 已于 9 月 9 日发布 0.0.31 版本修复上述问题。 额外披露的高风险漏洞 与此同时，SecDim 和 DCODX 披露了该工具的另一高风险漏洞（CVE-2025-46417，CVSS 评分：7.5/7.1），攻击者可利用该漏洞绕过工具黑名单，使恶意 pickle 文件在模型加载时通过 DNS 窃取敏感信息。 SecDim 指出：“泄露的内容会出现在 DNS 日志中。使用 Picklescan 0.0.24 版本扫描该载荷时，会返回‘未发现问题’，因为 linecache 和 ssl 未被列入黑名单。” 漏洞暴露的系统性问题 这些发现揭示了机器学习安全领域的关键系统性问题： 过度依赖单一扫描工具的风险； 安全工具与 PyTorch 等框架在文件处理行为上的差异，导致安全架构易受攻击。 科恩表示：“PyTorch 等人工智能库日益复杂，新功能、模型格式和执行路径的更新速度远超安全扫描工具的适配能力。这种创新与防护之间不断扩大的差距，使企业暴露于传统工具无法预判的新兴威胁之下。” “填补这一差距需要建立基于研究的人工智能模型安全代理 —— 由兼具攻击者和防御者思维的专家持续提供支持，通过主动分析新型模型、跟踪库更新、发掘新型利用技术，实现自适应、智能驱动的防护，精准应对关键漏洞。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress 插件 King Addons for Elementor 被披露存在一个高危安全漏洞，目前已遭在野活跃利用。 该漏洞编号为 CVE-2025-8489，CVSS 评分为 9.8（严重级别），属于权限提升漏洞。未授权攻击者可在注册账户时直接指定管理员用户角色，从而获取网站管理员权限。 漏洞影响范围 受影响版本：24.12.92 至 51.1.14 版本 修复版本：51.1.35（2025 年 9 月 25 日发布） 插件规模：超过 10,000 个活跃安装量 漏洞发现者：安全研究员彼得・塔莱基斯（Peter Thaleikis）（已获官方致谢） 漏洞原理分析 Wordfence 安全团队在警报中指出：“该漏洞源于插件未对用户注册时可选择的角色进行严格限制，导致未授权攻击者可直接注册管理员级别的用户账户。” 具体来看，漏洞根源在于用户注册过程中调用的 handle_register_ajax() 函数。由于该函数实现存在安全缺陷，未授权攻击者可构造恶意 HTTP 请求，向 /wp-admin/admin-ajax.php 端点提交注册数据时，将角色字段指定为 “administrator”（管理员），进而实现权限提升。 漏洞危害与在野利用情况 成功利用该漏洞的攻击者可完全控制安装了该插件的目标网站，并利用获取的管理员权限实施以下攻击行为： 上传恶意代码，植入恶意软件； 篡改网站配置，将访客重定向至恶意站点； 注入垃圾内容或钓鱼链接。 Wordfence 数据显示，自 2025 年 10 月底漏洞公开披露以来，已拦截超过 48,400 次攻击尝试，仅过去 24 小时内就阻断了 75 次攻击。攻击主要来自以下 IP 地址： 45.61.157.120 182.8.226.228 138.199.21.230 206.238.221.25 2602:fa59:3:424::1 该安全公司表示：“攻击者最早可能于 2025 年 10 月 31 日开始针对该漏洞发起攻击，大规模利用始于 11 月 9 日。” 安全建议 网站管理员应立即采取以下防护措施： 确保插件已更新至最新版本（51.1.35 及以上）； 审计网站管理员账户列表，排查可疑新增账户； 持续监控网站日志，警惕异常操作行为（如未知 IP 登录、批量文件上传等）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 ACROS Security 旗下 0patch 团队消息，微软在 2025 年 11 月的 Patch Tuesday更新中，悄然修复了一个自 2017 年起就被多个威胁行为者持续利用的安全漏洞。 该漏洞编号为 CVE-2025-9491，CVSS 评分为 7.8/7.0，被描述为 Windows 快捷方式文件用户界面误解析漏洞，可能导致远程代码执行。 美国国家标准与技术研究院国家漏洞数据库的描述显示：“该漏洞存在于.LNK 文件的处理机制中。精心构造的.LNK 文件数据可使文件中的危险内容在用户通过 Windows 提供的界面检查时隐藏不可见。攻击者可利用此漏洞在当前用户权限下执行代码。” 简单来说，攻击者通过在快捷方式文件中植入特殊 “空白字符”，使 Windows 系统中查看文件属性时，恶意执行命令被隐藏在用户视线之外。攻击者可将此类文件伪装成无害文档，诱使用户触发执行。 漏洞披露与利用历程 该漏洞细节首次于 2025 年 3 月曝光 —— 趋势科技零日漏洞计划披露，11 个国家支持的黑客组织，自 2017 年起就利用该漏洞开展数据窃取、间谍活动及经济利益驱动的攻击行动，该漏洞同时被追踪为 ZDI-CAN-25373。 当时微软向The Hacker News回应称，该漏洞未达到紧急修复标准，将考虑在未来版本中修复，并指出 Outlook、Word、Excel、PowerPoint 和 OneNote 等产品已拦截 LNK 文件格式，用户尝试打开此类文件时会收到 “不要打开未知来源文件” 的警告。 同年 3 月漏洞公开披露后，HarfangLab 的报告显示，名为 XDSpy 的网络间谍组织利用该漏洞分发一款名为 XDigo 的 Go 语言恶意软件，攻击目标直指东欧政府实体。 2025 年 10 月底，该漏洞第三次引发关注 。 这一进展促使微软发布关于 CVE-2025-9491 的正式指南，但仍重申不会修复该漏洞，强调 “由于需要用户交互，且系统已警告该格式不可信，因此不认为这是一个漏洞”。 修复方案对比 0patch 团队指出，该漏洞的核心问题不仅在于隐藏目标字段中的恶意部分，更在于 LNK 文件 “允许目标参数为极长字符串（数万字符），但属性对话框仅显示前 260 个字符，其余部分被悄然截断”。 这意味着攻击者可构造包含超长命令的 LNK 文件，用户查看属性时仅能看到前 260 个字符（通常为伪装的无害内容），剩余恶意命令被隐藏。微软表示，LNK 文件结构理论上支持最长 32768（32k）字符的字符串。 1. 微软静默修复方案 微软此次发布的静默补丁通过修改属性对话框的显示机制，实现 “无论目标命令长度如何，均完整显示包含参数的全部内容”，从根源上解决了内容截断导致的恶意隐藏问题。但该修复效果依赖于目标字段超过 260 字符的快捷方式文件存在的场景。 2. 0patch 微补丁方案 0patch 针对同一漏洞推出的微补丁采用不同思路：当用户尝试打开目标字段超过 260 字符的 LNK 文件时，自动弹出警告提示。 0patch 团队表示：“尽管恶意快捷方式可被构造为不足 260 字符，但我们认为，阻断野外已发现的实际攻击，能为目标受害者提供重要防护。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： React服务器组件（RSC）中披露了一个最高严重级别的安全漏洞，如果被成功利用，可能导致远程代码执行。该漏洞编号为CVE-2025-55182，CVSS 评分为 10.0（最高级别）。 3日，React团队发布警报：“该漏洞通过利用React解码发送到服务器函数端点的负载时的一个缺陷，允许未经身份验证的远程代码执行”，同时强调“即使您的应用程序没有实现任何React服务器函数端点，只要支持React服务器组件，就可能存在攻击风险。” 云安全公司Wiz分析称，此问题源于以不安全的方式处理RSC负载导致的逻辑反序列化漏洞。 未授权攻击者可构造恶意HTTP请求发送至任意服务器函数端点，当React对该请求进行反序列化处理时，攻击者即可在服务器上执行任意JavaScript代码。 漏洞影响范围 1.React相关npm包 受影响版本：19.0、19.1.0、19.1.1、19.2.0（涉及以下npm包）： react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack 已修复版本：19.0.1、19.1.2、19.2.1。 2.Next.js（使用 App Router） 对应漏洞编号：CVE-2025-66478（CVSS 评分：10.0） 受影响版本： >=14.3.0-canary.77、>=15、>=16 已修复版本：16.0.7、15.5.7、15.4.8、15.3.6、15.2.6、15.1.9、15.0.5 3.其他关联工具 所有集成RSC的库均可能受影响，包括但不限于： Vite RSC插件 Parcel RSC插件 React Router RSC预览版 RedwoodJS、Waku Wiz 数据显示，39%的云环境存在受CVE-2025-55182和 /或CVE-2025-66478影响的实例。鉴于该漏洞的严重级别，建议用户尽快应用修复补丁，以确保系统安全。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌于周一发布了 Android 操作系统的月度安全更新，其中包含两个已被证实存在野外利用情况的漏洞。 此次补丁共修复了 107 个涉及多个组件的安全漏洞，涵盖框架（Framework）、系统（System）、内核（Kernel）以及 ARM、Imagination Technologies、联发科（MediaTek）、高通（Qualcomm）和 Unison 等厂商相关组件。 以下是两个已被野外利用的高严重性漏洞详情： CVE-2025-48633：框架组件中的信息泄露漏洞 CVE-2025-48572：框架组件中的权限提升漏洞 按照惯例，谷歌未披露有关攻击性质的更多细节，包括漏洞是被单独利用还是组合利用、攻击规模等信息，目前也不清楚攻击发起者的身份。 不过，这家科技巨头在安全公告中承认，有迹象表明这些漏洞 “可能正遭受有限范围的针对性利用”。 2025 年 12 月更新还修复了框架组件中的一个严重漏洞（CVE-2025-48631），该漏洞无需额外执行权限即可导致远程拒绝服务（DoS）攻击。 12 月安全公告包含两个补丁版本，分别为 2025-12-01 和 2025-12-05，为设备厂商提供了灵活性，使其能够更快地修复所有 Android 设备共有的部分漏洞。谷歌建议用户在补丁发布后尽快将设备更新至最新补丁版本。 值得注意的是，三个月前谷歌曾发布补丁修复了 Linux 内核（CVE-2025-38352，CVSS 评分 7.4）和 Android 运行时（CVE-2025-48543，CVSS 评分 7.4）中的两个活跃利用漏洞，这两个漏洞均可能导致本地权限提升。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕发布新版固件，修复了包括 AiCloud 功能启用路由器中存在的高危身份验证绕过漏洞在内的多个安全问题。 该公司此次共修复 9 个安全漏洞，其中高危身份验证绕过漏洞编号为 CVE-2025-59366（CVSS 评分 9.2 分），影响所有启用 AiCloud 功能的路由器设备。 华硕在安全公告中表示：“研究人员已报告华硕路由器存在潜在漏洞，华硕已针对这些问题推出缓解措施。为保护您的设备安全，华硕强烈建议所有用户立即将路由器固件更新至最新版本。” AiCloud 是华硕多款路由器内置的远程访问功能，可让设备充当个人云服务器，支持远程媒体流传输和云存储服务。 公告指出：“AiCloud 存在身份验证绕过漏洞，该漏洞可通过 Samba 功能的意外副作用触发，可能导致攻击者在未获得适当授权的情况下执行特定功能。” 华硕建议用户更新 2025 年 10 月发布的路由器固件，涉及型号及对应修复漏洞如下： 固件版本系列 修复漏洞编号 3.0.0.4_386 系列 CVE-2025-59365、CVE-2025-59366、CVE-2025-59368、CVE-2025-59369、CVE-2025-59370、CVE-2025-59371、CVE-2025-59372、CVE-2025-12003 3.0.0.4_388 系列 上述全部漏洞 3.0.0.6_102 系列 上述全部漏洞 针对已停止支持（停产）的路由器型号，华硕也提供了临时缓解建议：为路由器登录账户和 WiFi 设置高强度唯一密码；禁用所有面向互联网的服务以降低暴露风险，包括 AiCloud、广域网远程访问、端口转发、动态域名解析、VPN服务器、非军事区、端口触发和文件传输协议（FTP）等功能。 已停止支持的华硕路由器是黑客 bot 网络的主要攻击目标。近期，名为 “Operation WrtHug” 的新型攻击活动已 compromise 全球数万台过时或停产的华硕路由器，受影响设备主要集中在中国台湾地区、美国和俄罗斯，这些设备被黑客纳入大型恶意网络。 攻击者利用了华硕路由器的多个漏洞实施攻击，包括操作系统命令注入漏洞（CVE-2023-41345 至 CVE-2023-41348）、任意命令执行漏洞（CVE-2024-12912）和身份验证不当漏洞（CVE-2025-2492），并以 AiCloud 服务作为初始入侵入口。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SolarWinds 修复了其 Serv-U 文件传输解决方案中的三个关键漏洞，这些漏洞可能允许远程代码执行。 第一个漏洞，追踪编号为 CVE-2025-40549（CVSS 评分 9.1），是一个影响 Serv-U 的路径限制绕过问题。拥有管理员权限的攻击者可利用此漏洞在目录上执行代码。公告中写道：”Serv-U 中存在一个路径限制绕过漏洞，若被滥用，可能使拥有管理员权限的恶意行为者具备在目录上执行代码的能力。””滥用此问题需要管理员权限。在 Windows 系统上，由于路径和主目录处理方式的差异，该漏洞评级为中等。” 该公司修复的第二个漏洞，追踪编号为 CVE-2025-40548（CVSS 评分 9.1），是一个访问控制缺陷，可导致远程代码执行漏洞。公告中写道：”Serv-U 中存在一个缺失的验证过程，若被滥用，可能使拥有管理员权限的恶意行为者具备执行代码的能力。””滥用此问题需要管理员权限。在 Windows 部署环境中，由于服务默认通常在权限较低的服务账户下运行，该风险被评为中等。SolarWinds 指出，CVE-2025-40547 和 CVE-2025-40548 在 Windows 系统上仅具有中等严重性，因为受影响的服务通常在低权限账户下运行。 第三个漏洞，CVE-2025-40547（CVSS 评分 9.1），是 Serv-U 中的一个逻辑错误漏洞。拥有管理员权限的攻击者可利用此漏洞执行任意代码。这些漏洞影响 SolarWinds Serv-U 15.5.2.2.102 版本，该公司已发布 15.5.3 版本来解决这些问题。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oligo安全公司发出警告，有攻击者正在利用开源人工智能框架Ray中一个存在两年的安全漏洞发起持续攻击，将感染集群的NVIDIA GPU变成可自我复制的加密货币挖矿僵尸网络。 这项代号为 ShadowRay 2.0 的攻击活动，是2023年9月至2024年3月期间观察到的上一波攻击的升级版。攻击的核心是利用一个严重的身份认证缺失漏洞（CVE-2023-48022，CVSS评分：9.8），来控制易受攻击的实例，并劫持其算力用于XMRig的非法加密货币挖矿。 由于一项与Ray开发最佳实践相一致的”长期设计决策”要求其必须在隔离网络中运行并仅执行可信代码，该漏洞至今未被修补。 该攻击活动通过向暴露在公网的Ray仪表盘上的未认证Ray作业提交API（”/api/jobs/”）提交恶意作业来实现，其命令范围从简单的侦察到复杂的多阶段Bash和Python有效负载。随后，被攻陷的Ray集群被用于”广撒网”式攻击，将有效负载分发到其他Ray仪表盘，从而形成一个本质上可以从一个受害者传播到另一个受害者的蠕虫。 研究发现，攻击者利用GitLab和GitHub来投送恶意软件，使用诸如”ironern440-group”和”thisisforwork440-ops”等名称创建代码库并存放恶意负载。这两个账户现均已无法访问。然而，网络犯罪分子通过创建新的GitHub账户来应对封禁措施，这显示了他们的顽固性以及快速恢复运营的能力。 这些有效负载进而利用该平台的编排能力，横向移动至不面向互联网的节点，传播恶意软件，创建到攻击者控制基础设施的反向Shell以实现远程控制，并通过一个每15分钟运行一次的定时任务来建立持久化，该任务会从GitLab拉取最新版本的恶意软件以重新感染主机。 研究人员Avi Lumelsky和Gal Elbaz表示，威胁行为者”已将Ray的合法编排功能转变为工具，用于运行一个可自我传播的全球加密货币劫持行动，该行动能在暴露的Ray集群间自主传播。” 该攻击活动很可能利用了大语言模型来创建GitLab有效负载。这一评估是基于恶意软件的”结构、注释和错误处理模式”得出的。 其感染链包含一个明确的检查，用以判断受害者是否位于中国。如果是，则投放一个针对该区域的特定版本恶意软件。它还旨在通过扫描运行的进程来寻找并终止其他加密货币挖矿程序，从而消除竞争——这是加密货币劫持组织广泛采用的一种策略，旨在最大化主机的挖矿收益。 另一个值得注意的特点是，攻击使用了多种技术来规避检测，包括将恶意进程伪装成合法的Linux内核工作进程，并将CPU使用率限制在60%左右。据信，该攻击活动可能自2024年9月以来就一直处于活跃状态。 尽管Ray本应部署在”受控的网络环境”中，但研究结果表明，用户正在将Ray服务器暴露在互联网上，这为不法分子打开了一个有利可图的攻击面。攻击者使用开源漏洞检测工具interact.sh来识别哪些Ray仪表盘IP地址是可利用的。目前，有超过230,500台Ray服务器可公开访问。 Ray的最初开发者Anyscale公司已发布了一款”Ray开放端口检查器”工具，用于验证集群配置是否正确，以防止意外暴露。其他缓解策略包括配置防火墙规则以限制未经授权的访问，并在Ray仪表盘端口（默认8265）之上增加授权机制。 Oligo指出：”攻击者部署了sockstress（一种TCP状态耗尽工具）来攻击生产网站。这表明被入侵的Ray集群正被武器化，用于发动拒绝服务攻击，目标可能是竞争矿池或其他基础设施。” “这使得该行动从纯粹的加密货币劫持转变为一个多用途僵尸网络。发动DDoS攻击的能力增加了另一种变现途径——攻击者可以出租DDoS容量，或利用它来消除竞争。目标端口3333通常被矿池使用，这表明攻击是针对竞争对手的挖矿基础设施。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 维也纳大学的一个研究团队发现了一个WhatsApp安全漏洞，攻击者可利用此漏洞批量获取约35亿账户的信息。Meta公司随后修复了该漏洞，以阻止这种批量信息枚举技术。 用户通过向WhatsApp服务器查询电话号码来发现联系人，这种机制本身使得电话号码枚举成为可能。尽管平台设有标准的速率限制机制，但研究人员仍能以每小时超过1亿个号码的速度进行探测，且未被拦截，这暴露了平台在大规模枚举攻击面前的脆弱性。研究发现，在2021年Facebook数据泄露事件中遭泄露的电话号码，有近一半目前仍在WhatsApp上活跃使用。 研究人员在报告中指出：”这种架构本质上就支持电话号码枚举，因为服务必须允许合法用户查询联系人可用性。虽然速率限制是防止滥用的标准防御手段，但我们重新审视了这个问题，并证明WhatsApp在面对大规模枚举时依然高度脆弱。在我们的研究中，我们能够以每小时超过一亿个电话号码的速度进行探测，而未遭遇拦截或有效的速率限制。” 研究人员开发了一种方法，能为全球245个国家/地区生成符合格式的可疑手机号码，将全球候选号码范围缩小至630亿。他们分析了35亿个WhatsApp账户，收集的数据包括电话号码、时间戳、个人资料图片、”个性签名”文本以及端到端加密公钥，由此创建了目前规模最大、且符合伦理研究规范的数据集之一。将此数据集与2021年通过Facebook数据爬取获得的5亿条记录进行比较后，发现其中一半号码仍在活跃使用，显示了早期数据泄露的长期影响。 该团队进行了一次”人口普查”，揭示了账户活跃度、设备类型、操作系统市场份额和资料使用情况，凸显了尽管平台采用端到端加密，但仍存在大量数据可见性。他们还在明令禁止使用该服务的地区（如中国、缅甸、朝鲜、伊朗）识别出了活跃账户，表明封禁措施效果有限。对X25519密钥的分析显示，存在大量密钥复用以及跨设备重复使用一次性预密钥的情况，这表明某些实现存在安全隐患或可能存在欺诈行为。一些美国号码甚至使用了全零的私钥，这强烈暗示其随机数生成器存在缺陷或使用了非标准软件。 Meta公司试图淡化此问题，声称用户的聊天消息、联系人或其他私人数据并未因此泄露，且个人资料照片或”个性签名”文本仅在用户将其设置为”所有人”可见时才会被查看。研究人员在2024年至2025年间逐步报告了此问题，但Meta表示直至2025年8月才收到完整的技术细节。相关的缓解措施于9月初开始部署，并在10月追加了进一步的保护机制。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国民保健署（NHS）英格兰数字部门周二发布公告称，近期披露的一个 7-Zip 安全漏洞已遭黑客在野外活跃利用。 该漏洞编号为 CVE-2025-11001（CVSS 评分 7.0），允许远程攻击者执行任意代码。2025 年 7 月发布的 7-Zip 25.00 版本已修复此漏洞。 趋势科技零日响应计划（ZDI）上月发布警报称：“该漏洞存在于 ZIP 文件符号链接的处理逻辑中。精心构造的 ZIP 文件数据可导致进程访问非预期目录。”“攻击者可利用此漏洞，以服务账户权限执行代码。” 该漏洞由 GMO Flatt Security 公司的滋贺亮太，以及该公司基于人工智能（AI）的应用安全审计工具 Takumi 发现并报告。 值得注意的是，7-Zip 25.00 版本还修复了另一个漏洞 CVE-2025-11002（CVSS 评分 7.0）。该漏洞同样源于 ZIP 压缩包中符号链接的不当处理，可导致目录遍历，进而实现远程代码执行。这两个漏洞均在 21.02 版本中被引入。 英国国民保健署英格兰数字部门表示：“已观测到 CVE-2025-11001 漏洞在野外被活跃利用。” 不过目前尚无细节表明，该漏洞被如何武器化、攻击者身份及攻击场景。 鉴于已有概念验证（PoC）漏洞利用代码公开，7-Zip 用户应尽快安装必要的修复程序（若尚未更新），以获得最佳防护。 发布该漏洞 PoC 代码的安全研究员多米尼克（化名 pacbypass）在详细说明中指出：“此漏洞仅能在以下场景被利用 —— 高权限用户 / 服务账户上下文，或已启用开发者模式的设备。”“该漏洞仅适用于 Windows 系统。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文