HackerNews 编译，转载请注明出处： 网络安全研究人员披露了TI WooCommerce Wishlist插件存在关键未修补漏洞，该WordPress插件允许未经验证的攻击者上传任意文件。 这款活跃安装量超10万的电商插件，主要功能是让用户收藏商品并分享心愿清单至社交媒体平台。“该插件存在任意文件上传漏洞，攻击者无需认证即可向服务器上传恶意文件。”Patchstack研究员约翰·卡斯特罗指出。该漏洞编号CVE-2025-47577，CVSS评分为10.0分，影响2024年11月29日发布的2.9.2及之前所有版本，目前尚无补丁可用。 漏洞源于“tinvwl_upload_file_wc_fields_factory”函数调用WordPress原生函数“wp_handle_upload”时，将覆盖参数“test_form”和“test_type”设置为false。其中“test_type”参数本应验证文件MIME类型，“test_form”用于检查$_POST[‘action’]参数。当“test_type”设为false时，文件类型验证机制被完全绕过。 需注意的是，该漏洞函数仅当WC Fields Factory插件启用时，通过tinvwl_meta_wc_fields_factory或tinvwl_cart_meta_wc_fields_factory接口暴露。这意味着成功利用漏洞需同时满足两个条件：WordPress站点安装并启用了WC Fields Factory插件，且TI WooCommerce Wishlist插件中开启了该集成功能。 在攻击场景中，攻击者可上传恶意PHP文件并通过直接访问实现远程代码执行。建议开发者在使用wp_handle_upload()时移除或避免设置‘test_type’ => false。在官方补丁发布前，用户应立即停用并删除该插件。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周二披露，过去五年累计阻止了价值超过90亿美元的欺诈交易，仅2024年就拦截逾20亿美元。苹果表示，其应用商店正面临各类威胁，从窃取个人信息的欺诈性应用到试图利用用户的非法支付手段层出不穷。 为防止不良行为者提交恶意应用，苹果已因欺诈风险终止超过4.6万个开发者账户，并额外拒绝了13.9万次开发者注册申请。去年该公司还拦截了7.11亿次可疑账户创建，停用了近1.29亿个用户账户，以阻止这些账户从事垃圾信息传播、评分评论操控、排行榜及搜索排名干扰等危害应用商店生态的行为。 2024年其他值得关注的数据包括： 在盗版应用商店检测并拦截超过1万个非法应用，涵盖恶意软件、色情应用、赌博应用及正版应用盗版； 阻止近460万次非官方渠道安装或启动非法应用的尝试；因安全漏洞、隐私侵犯或欺诈风险驳回190万份应用上架申请； 下架3.7万余个涉及欺诈的应用，并拒绝4.3万份包含隐藏功能的提交申请； 以抄袭、垃圾信息或误导用户为由驳回32万份应用，另有40万份因隐私问题被拒； 从应用商店榜单移除7400多个潜在欺诈应用，并在搜索结果过滤近9500个欺骗性应用； 清除1.43亿条虚假评分评论； 识别470万张被盗信用卡，封禁160万个违规交易账户。 对比数据显示，苹果2023年拦截约18亿美元潜在欺诈交易，2022年拦截超20亿美元。去年该公司终止近11.8万个开发者账户。此次年度报告发布之际，谷歌今年早些时候披露2024年已阻止236万款违规安卓应用上架Google Play，并封禁15.8万个恶意开发者账户。 当前苹果正面临对其应用商店政策更严格的审查。美国近期一项裁决要求该公司允许iOS应用展示外部购买链接，打破原有的应用内支付垄断体系。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越南已命令当地电信服务提供商封禁广受欢迎的即时通讯平台Telegram，理由是国家安全担忧以及该公司涉嫌未能遵守当地法律。 科技部据称表示，Telegram未配合越南当局处理该应用程序上的犯罪活动，包括欺诈和毒品交易。电信公司已被指示实施封禁并于6月2日前报告执行情况。 近期政府报告指控，越南境内可访问的9,600个Telegram频道中有近70%涉及非法活动，包括反政府内容和所谓“颠覆性”文件的传播。当局还指责Telegram在刑事调查期间无视删除非法内容和分享用户数据的要求。 Telegram发言人告诉路透社，公司对封禁决定感到惊讶，并补充称其已及时响应越南的法律请求。该公司未立即回应Recorded Future News的提问。 作为一党制共产主义国家，越南对网络内容保持严格管控，并有施压全球科技公司遵守当地法规的记录。包括自由之家在内的人权监督机构警告称，针对记者、活动人士和用户的审查制度及惩罚措施正在增加。 这不是越南首次与主要科技平台发生冲突。2020年，据报越南曾威胁封禁Facebook，除非其限制更多内容；2023年又以类似指控考虑封禁TikTok。这两个平台目前仍可访问。 Telegram的俄罗斯籍创始人帕维尔·杜罗夫（Pavel Durov）今年早些时候在法国被捕，指控理由是该平台未能遏制网络犯罪和金融欺诈。 杜罗夫被捕后表示，他的目标是让应用程序“更安全、更强大”。 “Telegram用户数量激增至9.5亿导致发展阵痛，这使得犯罪分子更容易滥用我们的平台，”杜罗夫写道。“这就是为什么我把显著改善这方面作为个人目标。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家标准与技术研究院（NIST）推出全新漏洞评估指标“可能被利用漏洞（LEV）”，旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示，LEV模型基于2018年由事件响应与安全团队论坛（FIRST）提出的漏洞利用预测评分系统（EPSS）进行优化，旨在提升企业漏洞优先级排序效率。 EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率，其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度，每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。具体输出数据包括： CVE编号、发布日期及描述 LEV概率值（即历史观测到的利用可能性） 30天窗口期内EPSS评分峰值及出现日期 各窗口期具体评分与对应日期 受影响产品的通用平台枚举（CPE）信息 白皮书提出两种LEV计算模型：标准版采用30天窗口期EPSS原始数据，优化版则将EPSS评分除以30生成单日预测值，后者需更高算力支持但能反映评分动态变化。NIST建议将LEV与CISA已知被利用漏洞（KEV）目录、第三方企业及开源社区的同类数据库结合使用，形成多维度评估体系。研究团队特别指出，现有KEV清单存在覆盖不全的问题，而EPSS模型在设计上无法准确反映历史漏洞的利用情况。 不过NIST也坦承LEV存在误差范围未知的局限性，这主要源于EPSS系统未将历史利用数据纳入评分机制。此外，若某漏洞在30天内遭利用，其后续评分不会因此上调。尽管存在缺陷，NIST期望通过LEV的实践应用，推动漏洞评估体系的持续优化，为网络安全防御提供更精准的决策依据。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现并调查了谷歌云平台（GCP）Cloud Functions与Cloud Build服务中潜在的权限升级漏洞。该漏洞最初由Tenable研究团队披露，攻击者可利用GCP云函数的部署流程获取高权限。谷歌随后发布补丁，限制默认Cloud Build服务账户的过度权限。 思科Talos团队在Tenable研究基础上，复现攻击手法并测试其对多云平台的影响。研究人员在GCP部署含恶意package.json文件的Debian服务器（集成NPM与Ngrok），通过提取令牌模拟攻击，确认谷歌补丁已修复原始提权路径。但实验表明，即使无特权访问，相同技术仍可用于环境探测（如系统映射）。将篡改后的package.json部署至AWS Lambda与Azure Functions后，验证该策略在跨云场景中的普适性。 研究揭示攻击者可利用的多种系统信息收集手段： 基于ICMP协议的网络拓扑发现 检测.dockerenv文件确认容器化环境 分析CPU调度机制识别初始化系统 容器ID与挂载点检查（用于逃逸路径探测） 操作系统与内核版本信息提取 用户权限扫描（辅助提权） 网络流量分析（漏洞评估） 此类技术无需特权凭证即可实施，在服务账户权限受控场景下仍具威胁。 谷歌根据Tenable报告调整Cloud Build运行逻辑，新增细粒度服务账户管控策略。Talos证实，GCP中利用此方法窃取服务账户令牌已不可行。企业防护措施应包括： 对所有服务账户实施最小权限原则 定期审计与监控权限配置 设置云函数异常修改告警 检查外发流量是否存在数据窃取迹象 验证外部NPM包的完整性 尽管原始漏洞已修补，该研究仍凸显宽松配置带来的持续性风险及多云环境持续监控的重要性。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球顶尖石油天然气企业的网络安全评估结果令人担忧。网络安全机构Cybernews最新报告显示，市值排名前400的能源巨头中仅10%通过基础安全测评，69%的企业得分处于D或F级高危区间。研究覆盖391家企业，其中超半数在过去30天内至少遭遇一次数据泄露，27.1%上周刚经历安全事件。 测评发现，91%企业存在SSL/TLS证书配置缺陷，导致数据传输面临窃听与篡改风险；74%企业的核心业务系统托管环境存在配置漏洞；48%未部署反钓鱼与反欺骗的邮件防护措施。软件补丁管理同样堪忧——32%企业存在常规补丁漏洞，20%放任可被直接利用的关键漏洞。Cybernews安全研究主管Vincentas Baubonis指出，单次勒索攻击即可引发生产停滞、股价暴跌与投资者信任危机，全行业仅有10%企业建立有效数字防线。 数据泄露已成常态，94%的受评企业曾发生泄密事件，80%企业员工凭证遭暗网贩卖，38%域名存在邮件伪造漏洞。历史数据显示，北美企业数据泄露发生率最高，但亚洲企业在多项风险指标中表现最差：68%重复使用已泄露密码（北美31%，欧洲39%），59%域名易受邮件伪造攻击（北美35%，欧洲27%），30%存在高风险漏洞，27%存在可被直接利用的致命漏洞。欧洲企业在各维度相对均衡，云环境风险与系统配置薄弱项少于其他地区。 该研究通过物联网搜索引擎、IP/域名信誉库及定制化扫描，基于公开信息评估企业网络安全状态。评估维度涵盖软件更新、网络防护、邮件安全、系统声誉、SSL配置、系统托管与泄密历史七大领域，旨在为企业提供透明化风险画像，助力构建抗攻击的数字基础设施。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Netacea最新研究显示，大西洋两岸近半数消费者曾遭遇社交媒体平台推送的零售欺诈广告，这些广告以“退款技巧”为幌子诱导用户参与诈骗。该公司对英美2000余名消费者展开调查，发现欺诈行为正通过主流社交媒体的高曝光广告逐渐“去罪化”。 地下犯罪产业阳光化 报告指出，以往仅存于暗网“欺诈即服务”论坛的犯罪指南，如今公然现身TikTok等平台。Netacea威胁服务副总裁Matthew Gracey-McMinn分析称：“犯罪组织利用社交媒体近乎无限的‘干净账户’资源（即未被风控系统标记的可信账户），通过诱导千禧一代‘轻松赚钱’，实际上将其培养成实施恶意活动的‘数字骡子’。” 触目惊心的数据 45%受访者承认收到过零售欺诈指南广告，58%接触过伪装成网红内容的退款骗局 16%认为零售欺诈属于“无受害者犯罪”，58%认为零售商应自行承担欺诈损失且不会影响经营 23%曾产生欺诈冲动，15%表示在特定条件下会尝试更严重的欺诈行为，34%认为单笔100英镑以内的欺诈可以接受 社交裂变式传播 18%受访者表示看到过网红推广欺诈手段，而通过亲友（37%）、同事（21%）、同学（9%）接触相关信息的比例高达82%。常见欺诈手法包括：谎称未收到货物骗取退款/补发、调包退货、盗用支付信息购物、使用非法获取的礼品卡或账户余额消费、雇佣专业“退单服务商”等。 内部腐败风险攀升 18%受访者承认认识从事内部欺诈的人员（其中12%在零售企业工作，6%在物流服务商任职）。这与Ravelin上周发布的报告相呼应——零售商普遍认为普通消费者带来的威胁已不亚于职业欺诈团伙。 Netacea警告称，欺诈行为的文化接受度正在发生危险转变：“我们每天监控暗网市场的职业罪犯，但如今零售欺诈技术已从阴影走向公开——它们在朋友间传播，在网络平台大肆推广。令人震惊的是，相当部分公众不仅看得见这些行为，甚至认为其可以接受。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序，这些程序表面提供生产力工具、VPN、加密服务等实用功能，实则暗藏数据窃取、远程代码执行等恶意模块。 网络安全公司DomainTools调查发现，攻击者搭建仿冒DeepSeek、Manus、DeBank等知名服务的钓鱼网站，诱导用户安装对应扩展。这些扩展通过manifest.json文件申请过度权限，可劫持浏览器会话、注入广告、执行远程服务器下发的任意代码，甚至利用临时DOM元素的“onreset”事件处理器绕过内容安全策略（CSP）。 部分恶意扩展被检测到与超过100个仿冒网站相关联，其中一些网站嵌入了Facebook追踪ID，暗示攻击者可能通过Meta平台（如群组、广告）进行传播。用户安装后，扩展会窃取浏览器Cookie、建立WebSocket代理通道，并操控流量实现重定向攻击。 尽管Google已下架相关扩展，但安全专家指出，攻击者通过在应用商店和常规搜索结果中同时存在虚假页面，大幅提升用户中招概率。更隐蔽的是，部分扩展（如仿冒DeepSeek的案例）将低分评价用户重定向至私人反馈表单，而高分评价则正常显示在官方页面，以此伪造虚假好评。 DomainTools建议用户仅从认证开发者处下载扩展，安装前仔细审查权限请求，警惕名称相似的仿冒应用。同时提醒，评分系统可能被恶意过滤负面评价所操控，需结合多方信息综合判断。目前尚未明确攻击者身份，相关调查仍在进行中。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cyble的最新监测数据显示，由于云存储桶配置错误导致的海量数据泄露仍在持续恶化。这家专注于暗网监控与威胁情报的企业透露，其漏洞扫描工具在七大主流云服务商处发现超过66万个暴露的存储桶，涉及2000亿份外泄文件。 仅针对凭证、源代码和机密文件三类敏感数据的筛选就暴露出数百万份高风险文件。Cyble研究人员具体指出：以“源代码”和Go语言为筛选条件，发现560万条结果；环境变量凭证过滤显示11万份敏感信息；机密文件检索则呈现逾160万条记录。 与去年8月相比，暴露云存储桶数量激增30%以上（当时监测到超50万个）。分析报告强调，存储桶配置错误已成为数据泄露的常见诱因——“即使大型企业也难以完美管控云存储访问权限，公开可访问的配置失误屡见不鲜。虽然云存储默认私有，但在共享对象或资源时极易引发复杂风险”。 监测案例显示，外泄数据类型涵盖文档、凭证、源代码乃至内部备份等关键资产。Cyble警告称，这类漏洞正在成为攻击者获取初始访问权限的重要跳板。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Python软件包仓库PyPI上新发现的恶意软件包dbgpkg引发了对开源生态安全性的新一轮担忧。 网络安全公司ReversingLabs披露，这个伪装成调试工具的程序实际上是为植入隐蔽后门提供通道，其恶意活动被认为与亲乌克兰黑客组织Phoenix Hyena存在关联。该组织自2022年俄乌冲突以来持续针对俄罗斯网络目标发起攻击，2024年曾入侵俄罗斯网络安全公司Dr.Web并泄露数据。 在技术实现方面，该恶意软件利用Python函数装饰器植入后门，通过sys.modules劫持requests和socket等常用网络库，在运行时模块被调用前保持潜伏状态。触发后，恶意代码首先检查是否存在后门程序。若未检测到，则会分阶段执行从Pastebin平台下载公钥、安装防火墙穿透工具Global Socket Toolkit，以及发送加密密钥至私密地址等操作。这种将恶意行为隐藏于可信模块调用的手法极大增加了检测难度。 安全研究人员指出，该后门与Phoenix Hyena组织使用的恶意软件存在技术相似性。该组织以Telegram频道DumpForums为平台持续泄露窃取的俄罗斯敏感数据。虽然不能完全排除模仿者作案的可能，但相同攻击载荷的反复使用及时间线特征增强了关联证据的可信度。 值得注意的是，攻击者采用的函数装饰器、隐蔽网络工具包等先进技术显示出其高超的技术能力和持久渗透意图。虽然dbgpkg被快速发现，但其前身discordpydebug软件包曾潜伏三年未被察觉，累计下载量超过11,000次。这警示开发者即使面对看似有用的工具也必须保持审慎态度，避免从不可信来源安装软件包。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文