HackerNews 编译，转载请注明出处： 威胁情报公司 GreyNoise 警告称，针对服务器端请求伪造（SSRF）漏洞的攻击正在多个平台上呈现“协同激增”态势。 “至少有400个IP地址正在同时利用多个SSRF相关的CVE漏洞，且攻击行为之间存在显著重叠。”GreyNoise 表示，该公司在2025年3月9日观察到这一活动。 当前，遭受SSRF漏洞攻击的国家包括美国、德国、新加坡、印度、立陶宛和日本。此外，以色列在2025年3月11日经历了一波显著增长。 以下是被攻击者利用的SSRF漏洞列表： – CVE-2017-0929（CVSS评分：7.5）- DotNetNuke   – CVE-2020-7796（CVSS评分：9.8）- Zimbra Collaboration Suite   – CVE-2021-21973（CVSS评分：5.3）- VMware vCenter   – CVE-2021-22054（CVSS评分：7.5）- VMware Workspace ONE UEM   – CVE-2021-22175（CVSS评分：9.8）- GitLab CE/EE   – CVE-2021-22214（CVSS评分：8.6）- GitLab CE/EE   – CVE-2021-39935（CVSS评分：7.5）- GitLab CE/EE   – CVE-2023-5830（CVSS评分：9.8）- ColumbiaSoft DocumentLocator   – CVE-2024-6587（CVSS评分：7.5）- BerriAI LiteLLM   – CVE-2024-21893（CVSS评分：8.2）- Ivanti Connect Secure   – OpenBMCS 2.4 认证后 SSRF 攻击（无 CVE 编号）   – Zimbra Collaboration Suite SSRF 攻击（无 CVE 编号）   GreyNoise 指出，许多相同的IP地址正在同时针对多个SSRF漏洞，而非集中攻击单一漏洞。这种攻击模式表明，攻击者正在实施结构化的漏洞利用，可能涉及自动化工具或事先的情报收集。 鉴于当前的活跃攻击态势，GreyNoise 建议用户立即安装最新补丁、限制出站连接至必要端点，并密切监测异常的出站请求。 “许多现代云服务依赖内部元数据 API，而一旦SSRF漏洞被利用，攻击者就能访问这些API。”GreyNoise 解释道，“SSRF 可用于绘制内部网络拓扑、定位易受攻击的服务，并窃取云凭据。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 广泛使用的 Python JSON Logger 库中披露的一个漏洞，通过依赖链缺陷，暴露了约 4300 万个安装，使其面临潜在的远程代码执行（RCE）攻击风险。该漏洞编号为 GHSA-wmxh-pxcx-9w24，CVSS v3 严重程度评分为 8.8/10，源于一个未注册的依赖项（”msgspec-python313-pre”），攻击者可能利用它劫持软件包安装。 安全研究员 Omnigodz 发现，攻击者可能利用此漏洞在使用受影响版本（3.2.0 和 3.2.1）日志工具的系统中执行任意代码。维护者在研究员通过 GitHub 安全咨询程序负责任地披露问题后，发布了修复版本 3.3.0。 该漏洞是一个典型的依赖混淆攻击案例，攻击者利用软件供应链中的漏洞。Python JSON Logger 的 pyproject.toml 配置文件包含一个名为 msgspec-python313-pre 的可选开发依赖项，用于 Python 3.13 兼容性。然而，由于原始维护者删除了该包，其名称在 PyPI 上未注册，形成了命名空间真空。 如 Omnigodz 的概念验证研究所示，任何 PyPI 用户都可以声明被遗弃的包名并发布恶意代码。当开发者在 Python 3.13 环境中通过 pip install python-json-logger[dev] 安装日志记录器的开发依赖项时，包管理器会自动获取攻击者控制的 msgspec-python313-pre（如果存在于公共存储库中）。研究人员通过临时注册一个良性版本的包（v0.0.0.1）确认了这一攻击路径，但没有证据表明在漏洞窗口期间发生了恶意利用。 根据 PyPI 的 BigQuery 计量，Python JSON Logger 每月下载量超过 4600 万次，其广泛采用放大了此漏洞的潜在影响。成功利用该漏洞将通过 RCE 能力授予攻击者完整的系统控制权，根据 CVSS 计量标准，这将危及机密性、完整性和可用性。这种攻击只需要较低的复杂度——只需在 PyPI 上发布一个恶意包——但取决于受害者是否在启用了开发依赖项的情况下使用 Python 3.13，这在 CI/CD 管道和开发人员工作站中是一种常见配置。 值得注意的是，尽管一个月前的缓解提交（1ce81a3）从项目的源代码中移除了有问题的依赖项，但该漏洞仍然存在。因为这个修复直到 3.3.0 版本才被包含在官方的 PyPI 发布中，所以所有使用标准包管理流程的安装仍然处于脆弱状态。这凸显了在开源维护周期中，将存储库更新与 PyPI 包发布同步的关键需求。 Python JSON Logger 的维护者通过两项并行措施解决了该漏洞： 发布了 v3.3.0，完全消除了 msgspec-python313-pre 依赖项。 与 Omnigodz 协调转移了争议软件包名称的所有权，有效防止了命名空间劫持。 安全团队建议立即使用 pip install –upgrade python-json-logger==3.3.0 升级至 v3.3.0。无法立即更新的组织应审核其 Python 环境。 “开发人员必须将依赖项视为攻击面，”Omnigodz 在他们的会议论文中指出，“特别是那些可选的依赖项，尽管具有完整的执行权限，但它们经常逃脱安全扫描器的检测。” 根据 ESET 的 2025 年威胁报告显示，供应链攻击正以每年 78% 的速度增长。该漏洞突出了 Python 生态系统在平衡可用性和安全性方面面临的持续挑战。尽管尚未有任何数据泄露事件与此具体漏洞相关联，但其发现促使主要开源社区重新审视依赖管理实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024 年，通过谷歌的漏洞赏金计划（VRP），660 名安全研究员因报告安全漏洞共获得了近 1200 万美元的赏金。 谷歌在去年对 VRP 的奖励结构进行了改革，将单笔最高奖励提升至 151515 美元，而移动 VRP 为顶级应用的关键漏洞提供高达 300000 美元的奖励（对于特别高质量的报告，最高奖励可达 450000 美元）。 去年 7 月，云 VRP 将顶级奖励金额最高上调了五倍，而 Chrome 安全漏洞的赏金如今也已超过 250000 美元。 去年，谷歌还将 MiraclePtr 绕过漏洞的赏金从 100115 美元提高到 250128 美元，翻了一倍多。此外，2023 年 10 月推出的 kvmCTF 新漏洞赏金计划，旨在提升基于内核的虚拟机（KVM）管理程序的安全性，为完整的虚拟机逃逸漏洞提供 250000 美元的赏金。 谷歌表示，自 2010 年首个漏洞赏金计划启动以来，已累计发放 6500 万美元的漏洞赏金，而去年的最高单笔奖励超过 110000 美元。 2024 年，谷歌向 137 名 Chrome VRP 研究员发放了 340 万美元，以奖励他们报告的 137 个有效 Chrome 安全漏洞。 去年，谷歌还向通过 Android 和谷歌设备安全奖励计划以及谷歌移动漏洞赏金计划报告安全漏洞的研究员支付了 330 多万美元。 “2025 年，我们将庆祝谷歌 VRP 15 周年。15 年来，我们始终致力于与安全社区的合作、创新和透明度，未来也将继续如此。” 谷歌表示，“我们的目标仍然是领先于新兴威胁，适应技术发展，并持续增强谷歌产品和服务的安全性。” 2023 年，谷歌向 632 名研究员支付了 1000 万美元，以奖励他们发现并负责任地报告其产品和服务中的安全漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Akamai 研究人员发现，Edimax IC-7100 IP 摄像头存在一个关键的命令注入漏洞（CVE-2025-1316），目前正被僵尸网络恶意软件积极利用以攻陷设备。研究人员确认，这一漏洞正在被用于仍在进行中的攻击。该漏洞源于对传入请求的不当中和，允许攻击者通过发送特制请求来执行远程代码。 Akamai 研究员 Kyle Lefton 表示，他们将在下周提供有关该漏洞及其相关僵尸网络的更多技术细节。 在发现该漏洞后，Akamai 向美国网络安全与基础设施安全局（CISA）报告了这一情况，CISA 随后尝试联系台湾厂商 Edimax。 “无论是 Akamai SIRT 还是 CISA 都多次尝试联系厂商（Edimax）。CISA 未能从他们那里得到回应，”Lefton 告诉 BleepingComputer.com。 “我亲自联系了他们并得到了回复，但他们只是说所涉及的设备 IC-7100 已经停产，因此不会收到进一步的更新。由于 Edimax 无法向我们提供更多资讯，这个 CVE 可能影响更广泛的设备范围，而且不太可能发布补丁。” Edimax IC-7100 是一款用于家庭、小型办公大楼、商业设施和工业场所远程监控的 IP 安全摄像头。该产品已不再广泛零售，于 2011 年 10 月发布，Edimax 将其列为“遗留产品”，这意味着它不再生产，很可能也不再获得支持。然而，全球范围内仍有许多这样的设备在使用。 Edimax 漏洞被追踪为 CVE-2025-1316，是一个严重程度为关键的（CVSS v4.0 评分 9.3）操作系统命令注入漏洞，由传入请求的不当处理引起。远程攻击者可以通过向设备发送特制请求来利用此漏洞，从而获得远程代码执行的能力。在此情况下，当前的利用是由僵尸网络恶意软件执行的，旨在攻陷设备。 僵尸网络通常利用这些设备发起分布式拒绝服务（DDoS）攻击、代理恶意流量或作为跳板攻击同一网络中的其他设备。鉴于 CVE-2025-1316 的利用活动正在进行中，受影响的设备应立即下线或更换为获得积极支持的产品。 CISA 建议用户尽量减少受影响设备的网络暴露，将其置于防火墙之后，并将其与关键业务网络隔离。此外，美国机构建议在需要时使用最新的虚拟专用网络（VPN）产品进行安全远程访问。 常见的受感染 IoT 设备迹象包括性能下降、过度发热、设备设置意外更改以及出现异常网络流量。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在 Better Auth 库中发现了一个关键的安全漏洞，Better Auth 是一个流行的 TypeScript 身份验证框架。该漏洞可能允许攻击者绕过安全措施并潜在地接管用户账户。 该漏洞存在于 trustedOrigins 保护功能中，该功能旨在将重定向限制为受信任的网站。然而，发现了一种绕过方法，允许攻击者利用此功能将用户重定向到恶意网站。 根据安全公告：“发现了一种绕过 trustedOrigins 安全功能的方法。这适用于通配符或绝对 URL 的 trustedOrigins 配置，使受害者的网站面临开放重定向漏洞，攻击者可以通过更改 ‘callbackURL’ 参数值为攻击者拥有的网站来窃取受害者的重置密码令牌。” 攻击者可以通过开放重定向利用此漏洞，攻击者制作恶意链接并将其发送给受害者。当受害者点击链接时，他们将被重定向到攻击者控制的网站，可能允许攻击者窃取受害者的重置密码令牌并接管其账户。 该漏洞源于处理 trustedOrigins 的中间件中对回调 URL 的验证不当。攻击者可以制作恶意负载，例如： https://demo.better-auth.com/api/auth/reset-password/x?callbackURL=/ /example.com 这利用了 URL 解析的方式，允许攻击者将受害者重定向到外部域名。一旦受害者点击链接，他们的密码重置令牌将被发送到攻击者的网站，导致账户完全被攻陷。 另一种利用方法涉及库中 trustedOrigins 处理中使用的弱正则表达式模式：[^/\\]*?\.example\.com[/\\]*? 攻击者可以使用如下负载：http:attacker.com?.example.com/ 由于 : 和 ? 是 URL 中的特殊字符，浏览器将 http: 解释为 URL 方案的一部分，而不是纯文本，导致意外重定向到攻击者的网站。 Better Auth 项目已发布 1.1.21 版本来解决此漏洞。强烈建议所有 Better Auth 库的用户尽快更新到最新版本，以保护自己免受潜在攻击。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英伟达（NVIDIA）发布了一项安全更新，以解决影响其 Jetson AGX Orin 系列和 IGX Orin 设备的高严重性漏洞，该漏洞编号为 CVE-2024-0148，可能允许具有物理访问权限的攻击者执行恶意代码。 安全公告指出，该漏洞存在于 UEFI 固件的 RCM 启动模式中，可能允许具有物理访问权限的未授权攻击者加载不受信任的代码。如果被利用，这可能导致代码执行、权限提升、数据篡改、拒绝服务和信息泄露。 “英伟达 Jetson Linux 和 IGX OS 映像在 UEFI 固件 RCM 启动模式中存在漏洞，具有物理访问权限的未授权攻击者可以加载不受信任的代码，”英伟达在安全公告中表示。 该漏洞的 CVSS 基础评分为 7.6，被归类为高严重性威胁。 英伟达已为受影响的平台发布了补丁： CVE ID 受影响产品 平台/操作系统 受影响版本 更新版本 CVE-2024-0148 NVIDIA IGX Orin IGX OS 所有 IGX 1.1 之前的版本 IGX 1.1 CVE-2024-0148 Jetson AGX Orin 系列 Jetson Linux 所有 36.4.3 之前的版本 36.4.3 英伟达建议所有用户立即升级其软件，以降低被利用的风险。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   美国网络安全与基础设施安全局（CISA）周二将影响微软合作伙伴中心（Microsoft Partner Center）和 Synacor Zimbra 协作套件（ZCS）的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 这两个漏洞分别是： CVE-2024-49035（CVSS 评分：8.7）：微软合作伙伴中心的一个不当访问控制漏洞，允许攻击者提升权限。（已于 2024 年 11 月修复） CVE-2023-34192（CVSS 评分：9.0）：Synacor ZCS 的一个跨站脚本（XSS）漏洞，允许远程认证攻击者通过特制脚本向 /h/autoSaveDraft 函数执行任意代码。（已于 2023 年 7 月通过 8.8.15 补丁 40 修复） 去年，微软确认 CVE-2024-49035 已在野外被利用，但未透露其在实际攻击中如何被武器化的更多细节。目前尚无 CVE-2023-34192 在野外被利用的公开报告。 鉴于此情况，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 18 日之前应用必要的更新，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员穆罕默德·沙哈特披露了影响GatesAir Maxiva UAXT和VAXT发射机的三项关键漏洞。这些广泛部署的发射机被用于广播、交通和公共安全等多个行业。如果被利用，这些漏洞可能导致严重后果，包括会话劫持、数据泄露和系统全面沦陷。 漏洞详情如下： CVE-2025-22960（会话劫持）：此漏洞允许未经身份验证的攻击者访问暴露的日志文件，可能会泄露敏感的会话相关信息，如会话ID和身份验证令牌。攻击者可利用此漏洞劫持活跃会话，获得未授权访问权限，并在受影响设备上提升权限。 CVE-2025-22961（数据泄露）：攻击者可通过公开暴露的URL直接访问敏感数据库备份文件（snapshot_users.db）。此漏洞可能导致敏感用户数据泄露，包括登录凭证，进而可能导致系统全面沦陷。 CVE-2025-22962（远程代码执行）：当调试模式启用时，拥有有效会话ID的攻击者可发送精心构造的POST请求，在底层系统上执行任意命令。这一关键漏洞可导致系统全面沦陷，包括未授权访问、权限提升以及可能的设备完全接管。 沙哈特还公布了这些漏洞的概念验证利用代码，这加剧了这些漏洞的严重性，使得恶意行为者更容易利用这些漏洞。这凸显了立即采取行动以缓解风险的紧迫性。 GatesAir尚未为这些漏洞发布补丁。在此期间，建议使用受影响发射机的组织采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件实施严格的文件权限。 避免记录敏感的会话相关数据。 在存储前对敏感数据进行加密。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用GatesAir Maxiva UAXT和VAXT发射机的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）警告称，Craft CMS 的一个远程代码执行漏洞正在被利用进行攻击。 该漏洞被追踪为 CVE-2025-23209，是一个高严重性（CVSS v3 评分：8.0）的代码注入（RCE）漏洞，影响 Craft CMS 4 和 5 版本。 Craft CMS 是一个用于构建网站和自定义数字体验的内容管理系统（CMS）。 关于 CVE-2025-23209 的技术细节不多，但利用该漏洞并不容易，因为它需要安装的安全密钥已经被攻破。 在 Craft CMS 中，安全密钥是一个加密密钥，用于保护用户认证令牌、会话 cookie、数据库值和敏感应用程序数据。 CVE-2025-23209 漏洞只有在攻击者已经获得这个安全密钥时才会成为问题，这为解密敏感数据、生成伪造的认证令牌或远程注入和执行恶意代码打开了大门。 CISA 已将该漏洞添加到已知被利用漏洞（KEV）目录中，但未分享任何关于攻击范围和来源以及目标的信息。 联邦机构需在 2025 年 3 月 13 日之前修补 Craft CMS 漏洞。 该漏洞已在 Craft 5.5.8 和 4.13.8 版本中修复，因此建议用户尽快升级到这些版本或更高版本。 如果您怀疑系统已被攻破，建议删除 `.env` 文件中包含的旧密钥，并使用 `php craft setup/security-key` 命令生成新的密钥。请注意，密钥更改将使使用旧密钥加密的任何数据无法访问。 除了 CVE-2025-23209 之外，CISA 还将 Palo Alto Networks 防火墙中的一个漏洞（CVE-2025-0111）添加到已知被利用漏洞目录中，并设定了相同的 3 月 13 日截止日期。 这是一个影响 PAN-OS 防火墙的文件读取漏洞，供应商披露黑客将其作为利用链的一部分，与 CVE-2025-0108 和 CVE-2024-9474 一起利用。 受该漏洞影响的用户可以查看 Palo Alto Networks 的安全公告，了解修复该漏洞的 PAN-OS 版本。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二将影响 Palo Alto Networks PAN-OS 和 SonicWall SonicOS SSLVPN 的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正在被积极利用的证据。 这两个漏洞如下： CVE-2025-0108（CVSS 评分：7.8）：Palo Alto Networks PAN-OS 管理 Web 界面中的身份验证绕过漏洞，允许未授权的攻击者通过网络访问管理 Web 界面，绕过通常需要的身份验证并调用某些 PHP 脚本。 CVE-2024-53704（CVSS 评分：8.2）：SSLVPN 身份验证机制中的身份验证不当漏洞，允许远程攻击者绕过身份验证。 Palo Alto Networks 已确认观察到针对 CVE-2025-0108 的积极利用尝试，并指出该漏洞可以与其他漏洞（如 CVE-2024-9474）结合使用，以允许未经授权访问未修补和未安全配置的防火墙。 “Palo Alto Networks 观察到在未修补和未安全配置的 PAN-OS Web 管理界面上，CVE-2025-0108 与 CVE-2024-9474 和 CVE-2025-0111 的利用尝试，”该公司在更新的公告中表示。 威胁情报公司 GreyNoise 表示，多达 25 个恶意 IP 地址正在积极利用 CVE-2025-0108，自近一周前被检测到以来，攻击者活动量增加了 10 倍。攻击流量的前三大来源是美国、德国和荷兰。 至于 CVE-2024-53704，网络安全公司 Arctic Wolf 透露，威胁行为者在 Bishop Fox 提供概念验证（PoC）后不久就开始利用该漏洞。 鉴于这些漏洞正在被积极利用，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 11 日之前修复这些漏洞，以确保其网络的安全。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文