HackerNews 编译，转载请注明出处： Citrix发布安全更新修复两项NetScaler漏洞，其中包括一个可导致敏感信息泄露的关键内存越界读取漏洞CVE-2026-3055（CVSS评分9.3），允许未经认证攻击者窃取数据。 该漏洞源于输入验证不足导致的内存越界读取，仅在Citrix ADC或Citrix Gateway配置为SAML身份提供商（IDP）时触发。 用户可通过查找以下配置字符串确认设备是否设为SAML IDP： add authentication samlIdPProfile .* Rapid7研究人员在公告中指出：”CVE-2026-3055被归类为越界读取漏洞，CVSS评分9.3，允许远程未认证攻击者从设备内存泄露潜在敏感信息。Citrix公告明确，配置为SAML IDP的系统存在风险，默认配置不受影响。而SAML IDP配置在采用单点登录的组织中极为常见。” 目前CVE-2026-3055尚无野外利用案例或公开PoC。该漏洞由Citrix内部发现，但一旦利用代码公开，攻击可能激增。客户应立即修补——类似内存泄露漏洞”CitrixBleed”（CVE-2023-4966）曾在2023年遭大规模利用。 Citrix修复的另一项漏洞为CVE-2026-4368（CVSS评分7.7），是一个导致会话混淆的竞争条件漏洞。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文发布了安全更新，以修复影响身份管理器（Identity Manager）和 Web 服务管理器（Web Services Manager）的一个严重安全漏洞，该漏洞可能被利用来实现远程代码执行。 此漏洞编号为 CVE – 2026 – 21992，在满分 10.0 的通用漏洞评分系统（CVSS）中得分 9.8。 甲骨文在一份安全公告中表示：“该漏洞无需身份验证即可远程利用。若成功利用，此漏洞可能导致远程代码执行。” 受 CVE – 2026 – 21992 影响的版本如下： 甲骨文身份管理器 12.2.1.4.0 版和 14.1.2.1.0 版 甲骨文 Web 服务管理器 12.2.1.4.0 版和 14.1.2.1.0 版 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述，它 “极易被利用”，未经身份验证的攻击者通过 HTTP 获得网络访问权限后，可借此危害甲骨文身份管理器和甲骨文 Web 服务管理器，进而成功控制易受攻击的实例。 甲骨文并未提及该漏洞在现实中已被利用的情况。然而，这家科技巨头敦促客户立即应用更新，以获得最佳保护。 2025 年 11 月，美国网络安全与基础设施安全局（CISA）将 CVE – 2025 – 61757（CVSS 评分：9.8）添加到已知被利用漏洞（KEV）目录中，该漏洞是一个影响甲骨文身份管理器的预认证远程代码执行漏洞，CISA 称有证据表明它已被主动利用。 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北极狼（Arctic Wolf）在客户网络中检测到可疑活动，这些活动似乎与 CVE – 2025 – 32975 漏洞的利用有关。CVE – 2025 – 32975 是一个严重的身份验证绕过漏洞，影响暴露在互联网上且未打补丁的 Quest KACE 系统管理设备（SMA）实例。 KACE SMA 是一种用于集中式端点管理的本地工具，可进行资产盘点、软件分发、补丁管理以及监控等操作。 CVE – 2025 – 32975 漏洞（Quest 已于 2025 年 5 月修复）可让未经身份验证的威胁行为者冒充合法用户，这有可能导致对设备的完全管理权限接管。 据北极狼称，攻击者似乎利用 CVE – 2025 – 32975 漏洞获得了对系统的初始访问权限，随后实现了管理控制。 目前似乎没有其他报告描述该安全漏洞的潜在利用情况。 这家网络安全公司发现，同样在 2025 年 5 月修复的三个相关漏洞（CVE – 2025 – 32976、CVE – 2025 – 32977 和 CVE – 2025 – 32978）在此次观察到的事件中并未涉及。 北极狼观察到的活动可能始于 2026 年 3 月初。目前尚不清楚攻击背后的主谋是谁以及他们的目的是什么。 北极狼实验室告诉《安全周刊》：“目前，我们无法提供有关攻击者或其动机的更多细节。尽管一些受影响的客户来自不同地区的教育领域，但我们没有足够的数据来确定该领域是否是特定攻击目标。” 该实验室还补充道：“鉴于此次利用涉及暴露在互联网上的设备，这很可能是一次机会主义攻击。” 仍在运行过时 Quest KACE SMA 版本的组织，强烈建议立即应用可用补丁，以防止入侵。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ubiquiti修复了两个 UniFi 相关漏洞，其中一个高危漏洞可被攻击者用于接管用户账号。 Ubiquiti为其 UniFi 网络管理应用发布了两处漏洞补丁，其中包含一个最高危级别漏洞，攻击者可利用该漏洞实施账号劫持。该软件被广泛用于管理 UniFi 系列网络设备，如无线 AP、交换机及网关等。 UniFi 网络管理应用是Ubiquiti公司开发的管理软件，用于控制和监控旗下 UniFi 系列网络设备。 用户可通过统一控制台对无线 AP、交换机、网关等硬件进行配置、管理与性能优化。IT 管理员可通过本地或云端方式部署网络、监控性能、管理用户、配置安全策略及排查故障。  该厂商修复了编号为CVE-2026-22557的最高危漏洞（CVSS 评分 10.0），该漏洞影响 UniFi 网络应用10.1.85 及更早版本。 处于同一网络中的攻击者可利用 UniFi 中的路径遍历漏洞访问系统文件，进而有可能接管用户账号。 安全公告显示：“具备网络访问权限的恶意人员可利用 UniFi 网络应用中的路径遍历漏洞，访问底层系统文件，并可通过相关操作实现账号入侵。” 10.1.89 及更高版本已修复该漏洞。 Ubiquiti修复的第二个漏洞编号为CVE-2026-22558（CVSS 评分 7.7），同样存在于 UniFi 网络应用中，低权限攻击者可利用该漏洞进行权限提升。 该公司表示：“UniFi 网络应用中存在一处已认证 NoSQL 注入漏洞，获得网络授权访问权限的恶意人员可利用该漏洞提升自身权限。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ConnectWise 已为 ScreenConnect 推送安全更新，优化设备密钥处理机制，防范服务器被入侵。 本次更新修复CVE-2026-3564漏洞（CVSS 评分 9.0），该高危漏洞可被攻击者用于获取会话认证所需的加密密钥材料。 此前，ScreenConnect 将唯一设备密钥存储于服务器配置文件中，在特定场景下存在密钥被窃取的风险。 这款远程监控与管理解决方案的最新版本通过对加密密钥材料进行加密，彻底消除该风险。 ConnectWise 在安全公告中表示：ScreenConnect 26.1 版本强化了设备密钥处理防护机制，新增加密存储与管理功能，降低服务器完整性遭破坏时密钥被未授权访问的风险。 该公司将 CVE-2026-3564 漏洞定级为高优先级，此类漏洞通常为 “正被黑客利用或在野外存在较高被利用风险” 的漏洞。 在另一份公告中，ConnectWise 称已发现有攻击者试图滥用已泄露的ASP.NET设备密钥材料，该密钥用于对受保护的应用数据进行签名与验证。 威胁行为者可利用该加密密钥材料提升在 ScreenConnect 中的权限，并访问活跃会话，最终导致服务器沦陷。 该公司声明：“若某 ScreenConnect 实例的设备密钥材料泄露，攻击者可伪造或篡改受保护数据，且该数据会被系统判定为合法，进而实现对 ScreenConnect 的未授权访问与非法操作。” 有传言称该漏洞多年来一直被中国国家级黑客组织利用，但 ConnectWise 表示暂无证据证实该说法。 ConnectWise 一位发言人向《安全周刊》透露：“公告相关内容，系我方持续强化 ScreenConnect 安全防护的举措，包括针对ASP.NET设备密钥材料的使用与管理进行安全加固。此项工作是缩小攻击面、提升产品安全性整体计划的一部分，相关部署基于持续的内部安全审查与行业过往安全事件经验。” 官方建议用户尽快升级至 ScreenConnect 26.1 版本，检查访问控制策略、限制对配置文件与备份文件的访问权限，并监控日志排查异常行为。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个新披露的名为 “PolyShell” 的漏洞，影响所有 Magento 开源版以及 Adobe Commerce 2 稳定版的安装，攻击者利用该漏洞可实现未授权代码执行和账户接管。 目前尚无迹象表明该漏洞已在实际中被主动利用，但电商安全公司 Sansec 警告称，“漏洞利用方法已在流传”，预计很快就会出现自动化攻击。 Adobe 已发布修复程序，但仅在 2.4.9 版本的第二个测试版中可用，这使得正式发布版本仍存在漏洞风险。Sansec 表示，Adobe 提供了 “一种能在很大程度上减少影响的示例网络服务器配置”，然而大多数店铺依赖其托管服务提供商的设置。 在本周发布的一份报告中，Sansec 指出，该安全问题源于 Magento 的 REST API 在处理购物车商品的自定义选项时接受文件上传。 研究人员解释道：“当产品选项类型为‘文件’时，Magento 会处理一个嵌入的 file_info 对象，该对象包含经过 Base64 编码的文件数据、MIME 类型和文件名。文件会被写入服务器上的 pub/media/custom_options/quote/ 目录。” Sansec 称，“PolyShell” 得名于它使用的一种多用途文件，该文件既可以当作图像，又能当作脚本运行。 根据网络服务器的配置不同，该漏洞可通过存储型跨站脚本（XSS）实现远程代码执行（RCE）或账户接管，Sansec 分析的大多数店铺都受此影响。 “Sansec 调查了所有已知的 Magento 和 Adobe Commerce 店铺，发现许多店铺的上传目录文件处于可暴露状态。” 在 Adobe 向正式发布版本推送补丁之前，建议店铺管理员采取以下措施： 限制对 pub/media/custom_options/ 目录的访问 确认 Nginx 或 Apache 规则是否切实阻止了对该目录的访问 扫描店铺，查找是否有上传的恶意脚本、后门程序或其他恶意软件 BleepingComputer 已联系 Adobe，询问何时能提供针对 “PolyShell” 漏洞的安全更新，但截至发布时，尚未收到回复。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 1 月下旬起，“联锁”（Interlock）勒索软件团伙就在零日攻击中，利用思科安全防火墙管理中心（FMC）软件中一个极其严重的远程代码执行（RCE）漏洞。 “联锁” 勒索软件活动于 2024 年 9 月浮出水面，与 ClickFix 以及多起恶意软件攻击有关，在这些攻击中，他们在英国多所大学的网络中部署了一款名为 “NodeSnake” 的远程访问木马。 “联锁” 团伙还宣称对针对达维塔（DaVita）、凯特林健康（Kettering Health）、德克萨斯理工大学系统以及明尼苏达州圣保罗市的攻击负责。最近，IBM X – Force 研究人员报告称，“联锁” 团伙的操作者部署了一种名为 “Slopoly” 的新恶意软件变种，很可能是利用生成式人工智能工具创建的。 思科于 3 月 4 日修复了这个安全漏洞（CVE – 2026 – 20131），并警告称，该漏洞可能让未经身份验证的攻击者在未打补丁的设备上以 root 权限远程执行任意 Java 代码。 亚马逊威胁情报团队周三报告称，在该漏洞被修复前，“联锁” 勒索软件团伙已针对企业防火墙，利用这个安全防火墙管理中心的漏洞发动攻击长达一个多月。 亚马逊综合安全首席信息安全官 CJ・摩西表示：“在查找该漏洞当前或过往的利用情况时，我们的研究发现，‘联锁’团伙从 2026 年 1 月 26 日起就开始利用这个漏洞，比其公开披露时间早了 36 天。这可不是普通的漏洞利用，‘联锁’团伙掌握了一个零日漏洞，这让他们在防御者察觉之前，就有一周时间抢先入侵各机构。” 思科在 3 月 4 日发布了一份安全公告，披露了思科安全防火墙管理中心软件 Web 界面的一个漏洞。周三，思科在发布公告后通过电子邮件向 BleepingComputer 表示：“我们感谢亚马逊在这件事上的合作，并且已在安全公告中更新了最新信息。我们强烈敦促客户尽快升级，并参考我们的安全公告以获取更多详细信息和指导。” 自今年年初以来，思科还修复了其他几个在实际中被当作零日漏洞利用的安全漏洞。例如，1 月，它修复了一个严重级别的思科 AsyncOS 零日漏洞，自 11 月起，该漏洞就被用于入侵安全电子邮件设备；同时，思科还修复了一个关键的统一通信远程代码执行漏洞，这个漏洞也在零日攻击中被利用。 上个月，思科修复了另一个严重级别的漏洞，该漏洞被当作零日漏洞利用，用于绕过 Catalyst SD – WAN 身份验证，攻击者借此能够攻陷控制器，并在目标网络中添加恶意的非法对等节点。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个影响 GNU InetUtils Telnet 守护进程（telnetd）的严重安全漏洞，未经认证的远程攻击者可利用此漏洞以提升的权限执行任意代码。 该漏洞编号为 CVE – 2026 – 32746，通用漏洞评分系统（CVSS）得分 9.8（满分 10 分）。它被描述为在 LINEMODE 设置本地字符（SLC）子选项处理程序中的一次越界写入，从而导致缓冲区溢出，最终为代码执行创造条件。 以色列网络安全公司 Dream 于 2026 年 3 月 11 日发现并报告了该漏洞，称其影响截至 2.7 版本的所有 Telnet 服务实现。预计该漏洞的修复程序不迟于 2026 年 4 月 1 日推出。 Dream 在一份警报中表示：“未经认证的远程攻击者可在初始连接握手期间（即任何登录提示出现之前）发送特制消息来利用此漏洞。成功利用该漏洞可导致以 root 权限执行远程代码。只需对端口 23 发起一次网络连接，就足以触发该漏洞。无需凭证、用户交互，也无需特殊网络位置。” 据 Dream 称，SLC 处理程序在 Telnet 协议握手期间处理选项协商。但鉴于该漏洞可在认证前触发，攻击者在建立连接后，能立即通过发送特制协议消息来利用此漏洞。 如果 telnetd 以 root 权限运行，成功利用该漏洞可能导致系统完全被攻陷。这反过来可能为各种后续攻击行为打开大门，包括部署持久后门、数据渗出，以及以被攻陷主机为支点进行横向移动。 Dream 安全研究员阿迪尔・索尔表示：“未经认证的攻击者通过连接到端口 23 并发送带有多个三元组的特制 SLC 子选项即可触发该漏洞。无需登录，在登录提示出现前的选项协商期间就会触发此漏洞。溢出会破坏内存，并可被转化为任意写入。实际上，这可能导致远程代码执行。由于 telnetd 通常以 root 权限运行（例如在 inetd 或 xinetd 下），成功利用该漏洞将使攻击者完全控制系统。” 在修复程序推出前，如果不必要，建议禁用该服务；在必要情况下，不以 root 权限运行 telnetd；在网络边界和基于主机的防火墙级别封锁端口 23 以限制访问，并隔离 Telnet 访问。 此次漏洞披露距离另一个影响 GNU InetUtils telnetd 的严重安全漏洞（CVE – 2026 – 24061，CVSS 得分：9.8）披露近两个月，据美国网络安全与基础设施安全局称，该漏洞已在实际环境中被主动利用。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果已发布首个 “后台安全改进” 更新，用于修复 iPhone、iPad 和 Mac 上编号为 CVE – 2026 – 20643 的 WebKit 漏洞，且无需进行完整的操作系统升级。 CVE – 2026 – 20643 漏洞可让恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是导航 API 中的一个跨源问题，已通过改进输入验证的方式加以解决。 此漏洞由安全研究员托马斯・埃斯帕赫发现，新更新适用于 iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1 和 macOS 26.3.2 系统。 此次发布是苹果首次通过其新的 “后台安全改进” 功能推送安全修复程序。该功能用于在正常安全更新周期之外，提供小规模的非同步补丁。 苹果解释称：“‘后台安全改进’为 Safari 浏览器、WebKit 框架栈及其他系统库等组件提供轻量级安全更新，这些组件受益于软件更新之间的小型持续性安全补丁。” “在极少数兼容性问题的情况下，‘后台安全改进’更新可能会被暂时移除，然后在后续的软件更新中进行强化。” 过去，苹果的安全更新要求用户安装新的操作系统版本并重启设备。然而，借助 “后台安全改进” 功能，苹果现在可以在后台为特定组件提供小规模更新。 苹果在 iOS 26.1、iPadOS 26.1 和 macOS 26.1 中添加了这一功能，称其旨在快速修复版本发布期间的安全漏洞。 用户可通过设备设置中的 “隐私与安全” 菜单访问该功能。在 iPhone 和 iPad 上，进入 “设置”，然后点击 “隐私与安全”；在 Mac 上，从苹果菜单中选择 “系统设置”，然后点击 “隐私与安全”。 苹果警告称，卸载 “后台安全改进” 更新会移除所有先前应用的后台补丁，将设备恢复到基础操作系统版本（如 iOS 26.3.1），且不包含任何增量安全修复。这实际上会移除通过该功能提供的快速响应安全保护，使设备处于基础安全级别，直到重新应用更新或在未来的完整更新中包含这些更新。 因此，除非基础安全改进在您的设备上引发问题，否则强烈建议不要卸载。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对新发现的、影响 Cortex XDR Broker 虚拟机（VM）的漏洞，官方已发布安全公告。 该漏洞可让高权限的已认证攻击者访问并篡改敏感的系统信息。 所幸该问题为内部发现，目前暂无野外恶意利用该漏洞的活跃攻击报告。 Paloalto Cortex XDR Broker 漏洞详情 该敏感信息泄露漏洞编号为 CVE-2026-0231，被评定为中等紧急程度，CVSS 4.0 评分为 5.7（中危）。 核心问题出在 Cortex XDR Broker VM 对特定终端会话的处理机制中。要成功利用该漏洞，攻击者必须已完成身份认证、具备高级别权限，且能直接访问目标 Broker VM 的网络。 一旦满足这些严格条件，威胁行为者即可通过 Cortex 用户界面（UI）触发实时终端会话。 该未授权会话允许攻击者暴露内置的敏感数据，并修改关键配置设置。 尽管该漏洞存在数据泄露的风险，但发起攻击所需的严格条件 —— 尤其是需要已具备高权限和本地网络访问权限 —— 大幅降低了大规模自动化利用的可能性。 Cortex XDR Broker VM 是安全环境中的关键枢纽，负责流量转发和核心安全日志的采集。 由于其核心作用，对其配置设置的未授权访问可能造成严重影响。 该漏洞威胁到产品的机密性、完整性和可用性，在这三项具体影响指标上均被评为 “高”。 该漏洞被归类为 CWE-497，即敏感系统信息暴露至未授权控制域。 尽管该漏洞攻击复杂度低，且无需用户交互，但对高管理权限的要求，为外部威胁设置了一道强力屏障。 目前 Palo Alto Networks 表示，该漏洞的利用成熟度暂无相关报告，意味着威胁行为者尚未开发或共享可滥用该漏洞的自动化工具。 该漏洞由内部研究员 Nicola Kalak 负责任地发现并上报，为管理员加固环境争取到了关键的提前量。 受影响版本与缓解措施 该漏洞仅影响 Cortex XDR Broker VM 30.0 系列，系统无需特殊配置即存在受影响风险。 受影响的产品版本包括 Cortex XDR Broker VM 30.0.0 至 30.0.49（含首尾版本）。 为保护网络基础设施，Palo Alto Networks 强烈建议安装官方补丁；目前该漏洞暂无已知的变通方法或临时缓解方案。 安全团队应采取以下措施： ·     核实当前 Cortex XDR Broker VM 的版本 ·     若运行受影响版本，立即升级至 Cortex XDR Broker VM 30.0.49 或更高版本 ·     确保为 Broker VM 启用自动升级功能。若该功能已开启，系统将无需手动干预即可完成补丁安装，自动获取最新的安全防护。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文