网络安全研究人员发现，在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉，安全漏洞可能诱使用户加入合法网络的恶意“克隆”，允许威胁攻击者在没有密码的情况下加入可信网络。 安全研究人员对 wpa_supplicant 和英特尔的 iNet Wireless Daemon（IWD）进行安全评估后，发现分别被追踪为 CVE-2023-52160 和 CVE-2023-52161 的安全漏洞。 Top10VPN 在与 Mathy Vanhoef 合作进行的一项新研究中表示， CVE-2023-52160 和 CVE-2023-52161 安全漏洞允许威胁攻击者诱骗受害者连接到受信任网络的恶意“克隆”中，并拦截其流量，最终成功在没有密码的情况下加入其他安全网络。 特别是 CVE-2023-52161安全漏洞，该漏洞允许威胁攻击者未经授权访问受保护的 Wi-Fi 网络，从而使现有用户和设备面临恶意软件感染、数据盗窃和商业电子邮件泄露 (BEC)等潜在的网络攻击，主要影响 IWD 2.12 及更低版本。 CVE-2023-52160 安全漏洞影响 2.10 及以前版本的 wpa_supplicant，鉴于其是安卓设备处理无线网络登录请求的默认软件，因此是上述两个安全漏洞中更紧迫的一个。 值得一提的是，CVE-2023-52160 安全漏洞只会影响没有正确配置身份验证服务器证书的 Wi-Fi 客户端，CVE-2023-52161 则是影响使用 Linux 设备作为无线接入点 (WAP) 的任何网络。 从研究人员发布的公告来看，成功利用 CVE-2023-52160 的前提条件是，威胁攻击者必须掌握受害者先前连接过的 Wi-Fi 网络的 SSID。此外，威胁攻击者必须与受害者保持合适的物理距离。（安全研究人员指出，利用该漏洞的最优情况是威胁攻击者在受害者附近四处走动，扫描网络，然后再瞄准离开办公室的员工。） 目前，Debian (1, 2)、Red Hat (1)、SUSE (1, 2) 和 Ubuntu (1, 2) 等主要 Linux 发行版已针对上述安全漏洞发布了更新公告，ChromeOS 118 及更高版本也已解决了 wpa_supplicant 问题，但 Android 的修复程序目前仍旧尚未发布。 最后，Top10VPN 强调，为保护自身安全性，Android 用户必须尽快手动配置任何已保存的企业网络 CA 证书，以防止遭遇网络攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/392285.html 封面来源于网络，如有侵权请联系删除

国外媒体近期披露，威胁攻击者正在积极利用 Brick Builder 中的关键远程代码执行 (RCE) 漏洞，在易受攻击的网站上执行恶意 PHP 代码。 Bricks Builder 是一个高级 WordPress 插件，被“誉为”是创新的、社区驱动的可视化网站构建工具，拥有约 25000 个有效安装，可促进网站设计的用户友好性和定制化。 2 月 10 日，一个名为 “snicco “的研究员发现了一个被追踪为 CVE-2024-25600 的安全漏洞，影响了以默认配置安装的 Brick Builder 主题。同一天，snicco 还披露了 CVE-2024-25600 安全漏洞的一些其它细节，加入了攻击演示，但没有加入漏洞利用代码。 据悉，漏洞 CVE-2024-25600 是由 “prepare_query_vars_from_settings “函数中的一个 eval 函数错误调用导致的，未经身份验证的威胁攻击者可利用该函数执行任意 PHP 代码。 WordPress 安全漏洞 Patchstack 平台在收到安全漏洞报告后，立刻通知了 Bricks 团队。2 月 13 日，在 发布的 1.9.6.1 版本中修复漏洞问题。值得一提的是，WordPress 公告指出，虽然没有证据能够表明 CVE-2024-25600 安全漏洞是否被威胁攻击者利用了，但还是敦促用户尽快升级到最新版本。 安全漏洞 CVE-2024-25600 其它详情 Patchstack 在近期发布的文章中分享了 CVE-2024-25600 安全漏洞的详细信息，此前该公司安全人员已经检测到了从 2 月 14 日开始的漏洞主动利用尝试。随后，Patchstack 进一步指出，CVE-2024-25600 安全漏洞源于通过 prepare_query_vars_from_settings 中的 eval 函数执行用户控制的输入，$php_query_raw 是从 queryEditor 构建的。 尽管在 render_element_permissions_check 中进行了 nonce 检查，但由于可公开访问的 nonces 和不充分的权限检查，允许未经验证的访问，因此可以通过用于服务器端渲染的 REST API 端点利用这一安全风险。 Patchstack 方面还表示，研究人员在 CVE-2024-25600  漏洞暴露后阶段观察到威胁攻击者使用了特定的恶意软件，这些恶意软件可以禁用 Wordfence 和 Sucuri 等安全插件。 以下 IP 地址与大多数攻击有关： 200.251.23.57 92.118.170.216 103.187.5.128 149.202.55.79 5.252.118.211 91.108.240.52 Wordfence 确认了 CVE-2024-25600 安全漏洞的活跃利用状态，并报告称在过去发现了 24 次检测。因此，安全专家强烈建议 Bricks 用户立即升级到 1.9.3.1 版本。（具体方法是在 WordPress 面板中导航 “外观 > 主题 “并点击 “更新”，或从此处手动升级）。   转自Freebuf，原文链接：https://www.freebuf.com/news/392060.html 封面来源于网络，如有侵权请联系删除

Google 近日宣布向 Rust 基金会拨款 100 万美元，旨在帮助提高 Rust 和 C++ 代码之间的互操作性。 出于同样的原因，这家互联网巨头于 2021 年加入了Rust 基金会，并在 Android 和其他谷歌产品中采用了内存安全编程语言，因为它有利于解决内存安全漏洞。 “根据历史漏洞密度统计数据，Rust 已主动阻止数百个漏洞影响 Android 生态系统。这项投资旨在扩大 Rust 在平台各个组件中的采用。”Google 工程、Android 安全与隐私副总裁 Dave Kleidermacher 说道。 谷歌表示，得益于多种工具，Rust 与 Android 和 C++ 的互操作性也得到了改善，并且该编程语言的采用也加速了。 然而，由于大部分进展主要由支持特定项目或公司的工具推动，Google 希望在加速 Rust 整体采用所需的领域进行投资和合作。 此外，该公司表示，它正在汇总和发布对谷歌开源项目中使用的 Rust 箱的审计。 对 Google 的支持使得 Rust 基金会能够启动一项新的“Interop”计划，让感兴趣的组织更容易投资 Rust。 这项新举措的首要任务是起草一份工作范围提案，该提案将在 Rust 项目成员组织之间进行讨论。 Rust 基金会可能会建议雇用 Interop Initiative 工程师并分配资源来提高互操作性、构建系统集成、使用人工智能将代码从 C++ 迁移到 Rust，或者这些的组合。 谷歌指出：“提高整个软件行业的内存安全是我们这个时代的关键技术挑战之一，我们邀请社区和行业的其他人加入我们，共同努力保护每个人的开源生态系统。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293145 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，安全研究员发现 Ivanti Connect Secure 和 Ivanti Policy Secure 服务器端请求伪造 (SSRF) 漏洞（CVE-2024-21893 ）正在被多个威胁攻击者大规模利用。 2024 年 1 月 31 日，Ivanti 首次就网关 SAML 组件中的安全漏洞发出 CVE-2024-21893 警告，并将该漏洞判定为”零日状态“，一旦威胁攻击者成功利用安全漏洞，就可以轻松绕过身份验证并访问易受攻击设备（版本 9.x 和 22.x）上的受限资源。 随后，威胁监测服务机构 Shadowserver 发现有多个威胁攻击者正在积极利用 SSRF 漏洞。（其中有 170 个不同的 IP 地址试图利用 CVE-2024-21893 漏洞） CVE-2024-21893 漏洞的利用量远远超过近期修复或缓解的其他 Ivanti 漏洞，表明威胁攻击者的重点可能发生明显转移。   最新 Ivanti 漏洞的利用量 2024 年 2 月 2 日，Rapid7 安全研究人员发布了概念验证（PoC）漏洞，此举可能帮助潜在威胁攻击者更好的利用 CVE-2024-21893 安全漏洞。但是 Shadowserver 指出，其网络安全人员在 Rapid7 报告发布前几个小时，就观察到威胁攻击者利用了 CVE-2024-21893 安全漏洞。 这意味着威胁攻击者已经知道如何利用 CVE-2024-21893 安全漏洞对易受攻击的 Ivanti 端点进行不受限制、未经验证的访问。从 ShadowServer 的分析结果来看，目前有近 22500 台 Ivanti Connect Secure 设备暴露在互联网上，但目前尚不清楚有多少设备易受 CVE-2024-21893 安全漏洞的影响。 Ivanti 安全漏洞频出 披露 CVE-2024-21893 安全漏洞的同时， Ivanti 还发布了影响同一产品的另外两个零点漏洞（CVE-2023-46805 和 CVE-2024-21887）的安全更新补丁。据悉，安全研究人员已经发现威胁攻击者成功入侵了设备，并安装 了webshell 和后门程序。1 月中旬，设备感染量达到峰值，约为 1700 次。 鉴于多个关键零日漏洞正在被大规模利用、缺乏有效的缓解措施以及部分受影响产品版本缺乏安全更新，美国网络安全和基础设施安全局（CISA）已下令联邦机构断开所有 Ivanti Connect Secure 和 Policy Secure VPN 设备的连接，只有经过出厂重置并升级到最新固件版本的设备才能重新连接到网络。   转自Freebuf，原文链接：https://www.freebuf.com/news/391652.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，CISA 近期警告称，一个影响苹果 iPhone、Mac、 TVs 和手表的内核安全漏洞正在被威胁攻击者积极利用。 据悉，漏洞被追踪为 CVE-2022-48618，由苹果公司的安全研究人员发现并上报，但令人疑惑的是直到2024 年 1 月 9 日才在 2022 年 12 月发布的安全公告更新中披露。目前，苹果公司尚未透露 CVE-2022-48618 漏洞是否在两年前首次发布安全公告时被悄悄修补过。 苹果公司方面透露，具有任意“读写”能力的威胁攻击者能够利用 CVE-2022-48618 漏洞绕过指针验证，该安全功能旨在阻止试图利用内存损坏漏洞的网络攻击，在 iOS 15.7.1 之前发布的 iOS 版本中，CVE-2022-48618 漏洞可能已经被利用了。 受 CVE-2022-48618 漏洞影响的苹果设备非常多，主要包括以下几种型号： iPhone 8 及更新机型、iPad Pro（所有机型）、iPad Air 第三代及更新机型、iPad 第五代及更新机型和 iPad mini 第五代及更新机型； 运行 macOS Ventura 的 Mac； Apple TV 4K、Apple TV 4K（第二代及更新机型）和 Apple TV HD； Apple Watch Series 4 及更高版本。 苹果公司改进了对运行 iOS 16.2 或更高版本、iPadOS 16.2 或更晚版本、macOS Ventura 或更新版本、tvOS 16.2 或更低版本以及 watchOS 9.2 或更高级别的设备检查，解决了 CVE-2022-48618 漏洞问题。 美国勒令联邦机构在 2 月 21 日前打补丁 虽然苹果公司尚未分享有关 CVE-2022-48618 漏洞在野外是否被利用的更多细节，但 CISA 已将该漏洞添加到其已知漏洞目录中，并且命令美国联邦机构按照 2021 年 11 月发布的约束性操作指令 (BOD 22-01) 的要求，在 2 月 21 日前修补 CVE-2022-48618 漏洞。 近期，苹果漏洞频出。上周，苹果公司发布了安全更新，修补了今年首个在网络攻击中被利用的零日漏洞（CVE-2024-23222）。该漏洞是一个 WebKit 混乱问题，威胁攻击者可利用其在有漏洞的 iPhone、Mac 和苹果电视上执行代码。 同一天，苹果公司还向旧版 iPhone 和 iPad 机型回传了针对另外两个 WebKit 零日漏洞的安全更新补丁，这两个漏洞分别被追踪为 CVE-2023-42916 和 CVE-2023-42917，已经在 11 月份为较新的设备打上更新补丁了。   转自Freebuf，原文链接：https://www.freebuf.com/news/391136.html 封面来源于网络，如有侵权请联系删除

有消息称：谷歌刚刚修复了一个影响重要云服务的漏洞。此前研究人员发现，多家组织（包括一家上市公司）的系统容易受到该漏洞影响。 该问题影响了谷歌Kubernetes引擎（GKE），这是一种用于部署、扩展和管理应用程序“容器化”的系统。GKE是谷歌针对Kubernetes开源项目的商用服务，广泛用于医疗保健、教育、零售和金融服务，以及数据处理和人工智能与机器学习操作。 云安全厂商Orca Security的研究人员解释说，他们在GKE中发现了一个问题，“可以让攻击者使用任何有效的谷歌帐号，接管配置错误的Kubernetes集群，这可能导致严重的安全事件，如加密挖矿、拒绝服务和敏感数据窃取。” 该问题主要与权限有关，GKE允许用户使用任何有效的谷歌帐户访问系统。 Orca Security表示，“当管理员决定将某个组绑定到权限过大的角色时，会造成重大安全漏洞。”研究人员将此漏洞称为Sys:All。 Orca Security表示，经过扫描发现超过1300个集群可能遭到暴露，其中有100多个集群暴露程度极高，可以被广泛访问。 图：攻击者可借此获得大量敏感信息 他们指出，“Kubernetes将其托管的容器化应用程序，与各种不同类型的关键数据资产连接在一起，如数据库、代码存储库和其他第三方供应商，这使得它成为恶意行为者手中的毁灭性工具。” 容器化，是指开发人员将应用程序的代码与运行在任何计算基础设施上所需的一切（如文件和库）捆绑在一起，从而灵活地构建和部署软件。 客户资产大门洞开 Orca Security表示，至少有一个受影响的集群属于一家纳斯达克上市公司，暴露信息给黑客提供了访问AWS网络服务凭证的权限，得以更深入地访问该公司的系统和数据。研究人员说，恶意行为者“有可能访问这些系统，提取或操纵敏感数据，干扰服务，甚至更进一步进入网络。” Orca Security表示，他们向该公司报告了这个问题，并与之合作解决了这些漏洞，其中包括收紧权限、保护暴露的云储存桶等。 研究人员同时向其他多家易受漏洞影响的企业报告了这个问题，并指出，所有组织“应该始终在身份和访问领域追求细粒度，避免给不需要的实体赋予过多的访问权限。” Orca Security还向谷歌报告了这个问题。谷歌认识到问题的严重性，并“积极采取预防措施、发布客户通知，还将继续采取行动确保客户安全。” 一位谷歌发言人表示，他们与Orca Security合作解决该漏洞。发言人指出，谷歌还在上周发布了一份安全公告，“针对有限数量的受影响GKE用户，详细说明了他们应采取的步骤，以保护自己免受任何意外授权的伤害。” 谷歌还向一些客户直接发送了这份公告。 谷歌在1月19日发布的建议中说道，“我们已经确定了几个群集，用户已经授予Kubernetes权限给system:authenticated组，其中包括所有具有谷歌帐户的用户。我们不建议进行这些类型的绑定，因为它们违反了最小权限原则，向过多用户群体授予了访问权限。” Orca Security指出，谷歌认为这是“可以预期的问题”，因为最终这是一种用户可以预防的分配权限漏洞。客户有责任配置其访问控制。 研究人员认同谷歌的评估，即组织“有责任以没有安全风险和漏洞的方式部署资产和权限。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/0LZlgqK5QU2zbzfurvdVbA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 周一，苹果发布了 iOS、iPadOS、macOS、tvOS 和 Safari Web 浏览器的安全更新，以解决一种在野外被积极利用的零日漏洞。 该漏洞被追踪为 CVE-2024-23222，是一种类型混淆漏洞，黑客可以利用该漏洞在处理恶意构造的 Web 内容时实现任意代码执行。苹果公司表示，通过改进检查已经解决了这个问题。 类型混淆漏洞通常可以被利用来执行越界内存访问，或导致崩溃和任意代码执行。 苹果在一份简短的公告中承认，“我们知道有报告称这个问题可能已被利用”，但没有分享关于攻击性质或利用这一漏洞的黑客的其他具体信息。 更新适用于以下设备和操作系统： iOS 17.3 和 iPadOS 17.3 – iPhone XS 及更高版本，iPad Pro 12.9 英寸第二代及更高版本，iPad Pro 10.5 英寸，iPad Pro 11 英寸第一代及更高版本，iPad Air 第三代及更高版本，iPad 第六代及更高版本，以及 iPad mini 第五代及更高版本 iOS 16.7.5 和 iPadOS 16.7.5 – iPhone 8，iPhone 8 Plus，iPhone X，iPad 第五代，iPad Pro 9.7 英寸，以及 iPad Pro 12.9 英寸第一代 macOS Sonoma 14.3 – 运行 macOS Sonoma 的 Mac macOS Ventura 13.6.4 – 运行 macOS Ventura 的 Mac macOS Monterey 12.7.3 – 运行 macOS Monterey 的 Mac tvOS 17.3 – Apple TV HD 和 Apple TV 4K（所有型号） Safari 17.3 – 运行 macOS Monterey 和 macOS Ventura 的 Mac 这一进展标志着苹果今年第一次修补主动利用的零日漏洞。去年，这家 iPhone 制造商解决了20 个在现实攻击中被利用的零日漏洞。 此外，苹果还将 2023 年 12 月发布的 CVE-2023-42916 和 CVE-2023-42917 的修复措施回溯到旧设备上 ：  iOS 15.8.1 和 iPadOS 15.8.1 – iPhone 6s（所有型号），iPhone 7（所有型号），iPhone SE（第一代），iPad Air 2，iPad mini（第四代）和 iPod touch（第七代） 这一揭露紧随一份报告之后，中国当局透露他们曾利用苹果 AirDrop 功能中已知的先前漏洞，基于彩虹表的技术以帮助执法机构识别发送不当内容的用户。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Varonis 在微软产品中发现了 一个新漏洞，以及多种允许黑客获取用户密码哈希值的攻击方法。 该漏洞编号为 CVE-2023-35636，影响 Outlook 中的日历共享功能，评级为“重要”( CVSS 6.5 )。在它的帮助下，黑客可以向用户发送一封特制的信件，迫使 Outlook 连接到黑客控制的服务器，并向其发送 NTLM v2 哈希值以进行身份验证。 NTLM v2 是一种用于对远程服务器上的用户进行身份验证的协议。NTLM v2 用户的密码哈希对于黑客来说可能很有价值，因为他们可以发起暴力攻击并以明文形式获取密码，或者直接使用哈希进行身份验证。 2023年12月，Microsoft在计划外的安全更新中修复了CVE-2023-35636，但一些攻击方法仍可能允许黑客获取身份验证哈希。 因此，已确定的方法之一是使用开发人员经常使用的 Windows 性能分析器 (WPA) 实用程序。研究人员发现，与 WPA 相关的链接是使用特殊 URI 进行处理的，该 URI 尝试在 Internet 上使用 NTLM v2 进行身份验证，这会暴露 NTLM 哈希值。 此方法还涉及发送一封包含链接的电子邮件，该链接旨在将受害者重定向到黑客控制的站点上，从而触发恶意WPA负载。 另外两种方法使用标准 Windows 文件资源管理器。与 WPA 不同，WPA  不是默认的系统组件，主要仅供软件开发人员使用，文件资源管理器已深度集成到 Windows 中，并被绝大多数用户日常使用。这两种攻击选项都涉及黑客通过电子邮件、社交媒体或其他渠道向目标用户发送恶意链接。 “一旦受害者点击链接，黑客就可以获得哈希值，然后尝试离线破解用户的密码”，瓦罗尼斯解释道。“一旦哈希被破解并获得密码，黑客就可以使用它以用户身份登录组织。” 如上所述，CVE-2023-35636 已于 12 月修复，但其他问题仍然存在。建议企业安装最新的安全更新，并采取额外措施防范网络钓鱼攻击，以免成为犯罪分子的受害者。   转自安全客，原文链接：https://www.anquanke.com/post/id/292815 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，存在一种“显著增加”的网络威胁行为，其通过积极利用 Apache ActiveMQ 中一个现已修复的漏洞，在受感染的主机上部署 Godzilla Web Shell。 “这些 Web Shell 被隐藏在未知的二进制格式中，旨在规避安全和基于签名的扫描器” ，Trustwave 表示。“值得注意的是，尽管二进制文件格式未知，但 ActiveMQ 的 JSP 引擎仍然继续编译和执行 Web Shell。” CVE-2023-46604（CVSS 分数：10.0）是指 Apache ActiveMQ 中的一种严重漏洞，可实现远程代码执行。自 2023 年 10 月底公开披露以来，已有多个对手积极利用该漏洞部署勒索软件、rootkit、加密货币挖矿程序和 DDoS 僵尸网络。 在 Trustwave 观察到的最新入侵集合中，易受攻击的实例成为基于 JSP 的 Web Shell 的目标，这些 Web Shell 被植入到 ActiveMQ 安装目录的“admin”文件夹中。 这个名为 Godzilla 的 Web Shell 是一个功能丰富的后门，能够解析传入的 HTTP POST 请求、执行内容，并以 HTTP 响应的形式返回结果。 “这些恶意文件引人注目的地方在于，JSP 代码似乎被隐藏在一种未知类型的二进制中” ，安全研究员 Rodel Mendrez 表示。“这种方法有可能绕过安全措施，在扫描期间避免被安全端点检测到。” 对攻击链的更仔细审查显示，Web Shell 代码在被 Jetty Servlet 引擎执行之前被转换成 Java 代码。 JSP 负载最终允许黑客通过 Godzilla 管理用户界面连接到 Web Shell，并完全控制目标主机，便于执行任意 Shell 命令、查看网络信息以及处理文件管理操作。 强烈建议使用 Apache ActiveMQ 的用户尽快升级到最新版本，以降低潜在的威胁。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在过去的一个月里， AI/ML Huntr 漏洞赏金平台的成员在 MLflow、ClearML 和 Hugging Face 等流行解决方案中发现了多个严重漏洞。 MLflow 是一个用于简化 ML 开发的平台，提供一组支持现有 ML 应用程序和库的 API。在 CVSS 评分中，MLflow 中有四个关键漏洞，其中最严重的得分为 10。 其中一个漏洞 CVE-2023-6831 被描述为根源于工件删除的路径遍历错误，该操作在使用前对路径进行规范化，允许攻击者绕过验证检查并删除服务器上的任何文件。 第二个漏洞 CVE-2024-0520 存在于 mlflow.data 模块中，该漏洞可被精心设计的数据集滥用，生成未经清理的文件路径，从而允许攻击者访问信息或覆盖文件，并可能实现远程代码执行 (RCE) ）。 第三个严重漏洞 CVE-2023-6977 被描述为路径验证绕过，可能允许攻击者读取服务器上的敏感文件，而第四个严重漏洞 CVE-2023-6709 可能导致在加载恶意软件时远程执行代码。 MLflow 2.9.2 中解决了所有四个漏洞，还修复了一个高严重性的服务器端请求伪造 (SSRF) 错误，该错误可能允许攻击者访问内部 HTTP(S) 服务器并可能在受害者计算机上实现 RCE。 Hugging Face Transformers 中发现了另一个严重漏洞，它提供了用于构建 ML 应用程序的工具。 该漏洞 CVE-2023-7018 是由于从远程存储库自动加载 vocab.pkl 文件的函数没有实施任何限制，这可能允许攻击者加载恶意文件并实现 RCE。Transformers 版本 4.36 解决了该漏洞。 Huntr 社区的成员还发现 ClearML 中存在高严重性的存储跨站脚本 (XSS) 缺陷，ClearML 是一个用于在统一环境中自动化 ML 实验的端到端平台。 该问题被追踪为 CVE-2023-6778，是在项目描述和报告部分的 Markdown 编辑器组件中发现的，如果将未经过滤的数据传递给该组件，则允许注入恶意 XSS 有效负载，从而可能导致用户帐户泄露。 Protect AI 尚未公开有关严重性 Paddle 命令注入漏洞 (CVE-2024-0521) 的详细信息，该公司表示，所有漏洞均在发布前 45 天报告给项目维护人员。   转自安全客，原文链接：https://www.anquanke.com/post/id/292802 封面来源于网络，如有侵权请联系删除