HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）警告称，Craft CMS 的一个远程代码执行漏洞正在被利用进行攻击。 该漏洞被追踪为 CVE-2025-23209，是一个高严重性（CVSS v3 评分：8.0）的代码注入（RCE）漏洞，影响 Craft CMS 4 和 5 版本。 Craft CMS 是一个用于构建网站和自定义数字体验的内容管理系统（CMS）。 关于 CVE-2025-23209 的技术细节不多，但利用该漏洞并不容易，因为它需要安装的安全密钥已经被攻破。 在 Craft CMS 中，安全密钥是一个加密密钥，用于保护用户认证令牌、会话 cookie、数据库值和敏感应用程序数据。 CVE-2025-23209 漏洞只有在攻击者已经获得这个安全密钥时才会成为问题，这为解密敏感数据、生成伪造的认证令牌或远程注入和执行恶意代码打开了大门。 CISA 已将该漏洞添加到已知被利用漏洞（KEV）目录中，但未分享任何关于攻击范围和来源以及目标的信息。 联邦机构需在 2025 年 3 月 13 日之前修补 Craft CMS 漏洞。 该漏洞已在 Craft 5.5.8 和 4.13.8 版本中修复，因此建议用户尽快升级到这些版本或更高版本。 如果您怀疑系统已被攻破，建议删除 `.env` 文件中包含的旧密钥，并使用 `php craft setup/security-key` 命令生成新的密钥。请注意，密钥更改将使使用旧密钥加密的任何数据无法访问。 除了 CVE-2025-23209 之外，CISA 还将 Palo Alto Networks 防火墙中的一个漏洞（CVE-2025-0111）添加到已知被利用漏洞目录中，并设定了相同的 3 月 13 日截止日期。 这是一个影响 PAN-OS 防火墙的文件读取漏洞，供应商披露黑客将其作为利用链的一部分，与 CVE-2025-0108 和 CVE-2024-9474 一起利用。 受该漏洞影响的用户可以查看 Palo Alto Networks 的安全公告，了解修复该漏洞的 PAN-OS 版本。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二将影响 Palo Alto Networks PAN-OS 和 SonicWall SonicOS SSLVPN 的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正在被积极利用的证据。 这两个漏洞如下： CVE-2025-0108（CVSS 评分：7.8）：Palo Alto Networks PAN-OS 管理 Web 界面中的身份验证绕过漏洞，允许未授权的攻击者通过网络访问管理 Web 界面，绕过通常需要的身份验证并调用某些 PHP 脚本。 CVE-2024-53704（CVSS 评分：8.2）：SSLVPN 身份验证机制中的身份验证不当漏洞，允许远程攻击者绕过身份验证。 Palo Alto Networks 已确认观察到针对 CVE-2025-0108 的积极利用尝试，并指出该漏洞可以与其他漏洞（如 CVE-2024-9474）结合使用，以允许未经授权访问未修补和未安全配置的防火墙。 “Palo Alto Networks 观察到在未修补和未安全配置的 PAN-OS Web 管理界面上，CVE-2025-0108 与 CVE-2024-9474 和 CVE-2025-0111 的利用尝试，”该公司在更新的公告中表示。 威胁情报公司 GreyNoise 表示，多达 25 个恶意 IP 地址正在积极利用 CVE-2025-0108，自近一周前被检测到以来，攻击者活动量增加了 10 倍。攻击流量的前三大来源是美国、德国和荷兰。 至于 CVE-2024-53704，网络安全公司 Arctic Wolf 透露，威胁行为者在 Bishop Fox 提供概念验证（PoC）后不久就开始利用该漏洞。 鉴于这些漏洞正在被积极利用，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 11 日之前修复这些漏洞，以确保其网络的安全。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Juniper Networks 修复了一个关键漏洞，该漏洞允许攻击者绕过认证并完全控制 Session Smart Router (SSR) 设备。该安全漏洞（编号为 CVE-2025-21589）在内部产品安全测试中被发现，同时也影响 Session Smart Conductor 和 WAN Assurance Managed Routers。 Juniper 在上周发布的一份紧急安全公告中表示：“Juniper Networks Session Smart Router 中存在一个通过替代路径或通道绕过认证的漏洞，可能允许网络攻击者绕过认证并获取设备的管理控制权。” 根据 Juniper 的安全事件响应团队（SIRT），目前尚未发现该漏洞在实际攻击中被利用的证据。 Juniper 已在 SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2 及后续版本中修复了该漏洞。虽然一些连接到 Mist Cloud 的设备已经自动更新，但管理员仍被建议将所有受影响的系统升级到这些修复版本之一。 Juniper 表示：“在由 Conductor 管理的部署中，只需升级 Conductor 节点，修复程序将自动应用于所有连接的路由器。尽管如此，路由器仍应尽可能升级到修复版本，但一旦连接到已升级的 Conductor，它们将不再易受攻击。” Juniper 设备频繁成为攻击目标 由于 Juniper 设备常用于关键环境，因此经常成为攻击目标，并且在供应商发布安全更新后不到一周内就会被针对。 例如，去年 6 月，Juniper 发布了紧急更新，修复了另一个 SSR 认证绕过漏洞（编号为 CVE-2024-2973），该漏洞可被利用以完全控制未修补的设备。 8 月，ShadowServer 威胁监测服务警告称，有威胁行为者使用 watchTowr Labs 的概念验证（PoC）漏洞利用链，针对 Juniper EX 交换机和 SRX 防火墙进行远程代码执行攻击。 一个月后，VulnCheck 发现仍有数千台 Juniper 设备容易受到使用同一漏洞利用链的攻击。 更近一些，去年 12 月，Juniper 还警告客户，有攻击者正在扫描互联网上的 Session Smart 路由器，使用默认凭据感染 Mirai 恶意软件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 埃隆·马斯克的政府效率部（DOGE）推出的一个网站被发现存在重大安全漏洞，允许未经授权的用户直接修改其内容。 这一漏洞由两名网络开发专家发现，该网站使用了一个不安全的外部数据库，这使得任何了解该漏洞的人都可以在网站上发布和显示内容。 DOGE 网站在 1 月份上线，旨在展示该部门削减政府开支的努力。然而，几周来，该网站基本处于不活跃状态，仅包含三行文字和一个卡通标志。 该网站在周三和周四进一步开发，从 Cloudflare Pages 站点获取数据，底层代码在此部署。 安全漏洞最初由 404Media 报道，两名网络开发专家向他们发出了警告。他们发现 doge.gov 网站连接了一个可由第三方访问和修改的数据库，这使得任何人都可以进行未经授权的修改，且修改内容会实时显示在网站上。漏洞很快被利用，有人在网站首页发布了讽刺性信息。 一条信息写道：“这是一个.gov 网站的笑话。”另一条则称：“这些‘专家’把数据库敞开了—— roro。”这些信息在网站上停留了数小时。Newsweek 也在周五早上看到了“这是一个.gov 网站的笑话”的信息。网站如此轻易地被篡改，引发了人们对 DOGE 安全实践的担忧。 专家指出，该网站似乎是在仓促之间建成的。一名程序员告诉 404Media：“感觉它是匆匆忙忙搭建的。网页源代码中存在许多错误，还暴露了敏感信息。”编码专家 Sam Curry 指出，DOGE 网站似乎是由 Burst Data 开发和托管的，而 Burst Data 由一名现任 DOGE 员工管理。他补充说，网站上的图片通过 Cloudflare 的 ImageDelivery 服务进行路由。DOGE 团队随后修复了网站问题，删除了那些引发争议的信息。 然而，这一事件引发了对部门处理敏感数据和维护安全系统能力的质疑。在所谓的黑客攻击之前，DOGE 网站据报发布了机密情报数据。据 Huffington Post 报道，该网站显示了美国情报机构的规模和人员信息。机密数据的曝光和网站被轻易黑客攻击的情况，导致对 DOGE 及其实践的审查增加。 批评者对部门接触敏感信息的权限以及潜在的利益冲突表示担忧。已有多起诉讼针对 DOGE，挑战其接触政府数据的权限。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软在 2025 年 2 月 11 日披露了一个 Windows 轻量级目录访问协议（LDAP）实现中的关键安全漏洞，允许攻击者远程执行任意代码。 这个被指定为 CVE-2025-21376 的“蠕虫式”漏洞被分类为远程代码执行（RCE）问题，无需任何用户交互或权限即可被利用。 该漏洞涉及多个弱点，包括竞争条件（CWE-362）、整数下溢（CWE-191）和基于堆的缓冲区溢出（CWE-122）。 攻击者可以通过向易受攻击的 LDAP 服务器发送特制请求来利用此漏洞。 成功利用可能导致缓冲区溢出，进而实现远程代码执行。 通用漏洞评分系统（CVSS）为此漏洞分配了 8.1 的基础分和 7.1 的时间分。 微软专家指出，该漏洞的攻击向量是网络-based（AV:N），攻击复杂度高（AC:H），无需权限（PR:N），无需用户交互（UI:N）。 影响范围未变（S:U），对机密性、完整性和可用性的影响均为高（C:H, I:H, A:H）。 利用性和影响 尽管目前尚无公开的利用代码，但可利用性评估表明，利用此漏洞的可能性较大。目前该漏洞尚未公开披露或被利用。 然而，由于其蠕虫式特性，即无需用户干预即可在网络中快速传播，因此潜在的利用风险显著。 为了缓解此漏洞，建议用户应用微软提供的最新安全更新。 截至 2025 年 2 月的补丁星期二，受影响的系统（包括 Windows Server 2019 和 Windows 10 Version 1809）的更新已经可用。 用户应优先应用最新的安全补丁，以防止此漏洞被利用。因此，及时了解最新的漏洞和更新对于维护强大的网络安全防御至关重要。   消息来源：CyberSecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ivanti发布了针对Ivanti Connect Secure（ICS）、Ivanti Policy Secure（IPS）和Ivanti Secure Access Client（ISAC）的安全更新，修复了多个漏洞，其中包括三项严重漏洞。 该公司通过其负责任的披露计划，收到了来自CISA、Akamai的安全研究人员以及HackerOne漏洞赏金平台的报告，才得知这些漏洞。 Ivanti在安全公告中指出，尚未收到这些问题在实际环境中被积极利用的报告。然而，Ivanti建议用户尽快安装安全更新。 三个关键的安全漏洞 Ivanti修复的三项关键安全漏洞如下： CVE-2025-22467：ICS中的基于堆栈的缓冲区溢出漏洞，允许具有低权限的远程认证攻击者执行代码（严重性评分：9.9）。 CVE-2024-38657：外部控制文件名漏洞，允许远程认证攻击者在ICS和IPS中执行任意文件写入（严重性评分：9.1）。 CVE-2024-10644：代码注入漏洞，允许远程认证攻击者在ICS和IPS中执行远程代码（严重性评分：9.1）。 利用这三项漏洞可以从远程位置进行攻击，但攻击者需要先进行身份认证。并且，其中两项漏洞需要管理员权限才能执行远程代码或写入任意文件。 尽管如此，风险仍然相当大，因为内部威胁或通过钓鱼、先前的泄露或暴力破解密码窃取凭证的攻击者，依然可以利用这些漏洞进行恶意操作。 此外，公告中还列出了五个中到高严重性的漏洞，包括跨站脚本（XSS）漏洞、硬编码密钥、敏感数据以明文存储以及权限不足等问题。 影响版本 这些漏洞影响的版本包括： ICS 22.7R2.5及更早版本 IPS 22.7R1.2及更早版本 ISAC 22.7R4及以下版本 每个漏洞影响的具体产品版本详情，请参见下表。 这些问题已经在ICS 22.7R2.6、IPS 22.7R1.3和ISAC 22.8R1中修复，系统管理员应升级至这些版本。 Pulse Connect Secure 9.x Ivanti还确认该问题也影响Pulse Connect Secure 9.x版本，但表示由于这些产品的支持期已经结束，因此不会为这些版本提供修复。 Ivanti解释称：“Pulse Connect Secure 9.x版本于2024年6月达到了工程结束，并且自2024年12月31日起已结束支持。” “因此，9.x版本的Connect Secure不再接收回溯修复，”公司补充道，并鼓励客户升级到Ivanti Connect Secure 22.7版本。 Ivanti未提供对已修复漏洞的任何缓解措施，安装最新更新是推荐的解决方案。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软于本周二发布了针对其软件产品的安全更新，修复了63个漏洞，其中包括2个已被积极利用的漏洞。 这63个漏洞中，3个被评为严重（Critical），57个为重要（Important），1个为中等（Moderate），2个为低危（Low）。除此之外，微软还解决了自上个月补丁星期二更新以来，针对其基于Chromium的Edge浏览器的23个漏洞。 此次更新的重点是修复了两个被积极利用的漏洞： CVE-2025-21391（CVSS评分：7.1）——Windows存储权限提升漏洞 CVE-2025-21418（CVSS评分：7.8）——Windows辅助功能驱动程序（WinSock）权限提升漏洞 微软在关于CVE-2025-21391的警报中表示：“攻击者仅能删除系统上的特定文件。该漏洞不会泄露任何机密信息，但可能允许攻击者删除数据，导致服务不可用。” Action1公司总裁兼联合创始人Mike Walters指出，该漏洞可能与其他漏洞结合使用，从而提升权限并执行后续操作，复杂化恢复工作，攻击者也可能通过删除重要的取证资料来掩盖其行踪。 另一方面，CVE-2025-21418是涉及AFD.sys的权限提升漏洞，攻击者可利用该漏洞获得系统级权限（SYSTEM权限）。 值得注意的是，去年8月，Gen Digital披露了相同组件中的类似漏洞CVE-2024-38193，该漏洞已被朝鲜黑客组织Lazarus Group利用。2024年2月，微软也修复了一个影响AppLocker驱动程序（appid.sys）的Windows内核权限提升漏洞CVE-2024-21338，该漏洞也曾被Lazarus Group利用。 这些攻击链之所以引人注目，是因为它们超越了传统的“带入易受攻击驱动程序”（BYOVD）攻击，而是利用了Windows本地驱动程序中的安全漏洞，从而无需在目标环境中引入其他驱动程序。 目前尚不清楚CVE-2025-21418的滥用是否与Lazarus Group有关。美国网络安全和基础设施安全局（CISA）已将这两个漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在2025年3月4日前应用相关补丁。 此次更新中，微软解决的最严重漏洞是CVE-2025-21198（CVSS评分：9.0），一个高性能计算（HPC）包中的远程代码执行（RCE）漏洞。 微软表示：“攻击者可通过向目标头节点或Linux计算节点发送特制的HTTPS请求，进而执行远程代码，并能够在连接到目标头节点的其他集群或节点上执行代码。” 此外，另一个远程代码执行漏洞CVE-2025-21376（CVSS评分：8.1）影响Windows轻量目录访问协议（LDAP），攻击者可通过发送特制请求执行任意代码。不过，成功利用该漏洞需要攻击者在竞争条件下获胜。 Immersive Labs的网络安全工程师Ben McCarthy表示：“鉴于LDAP是Active Directory的核心组件，后者支撑着企业环境中的身份验证和访问控制，若被攻破，可能导致横向渗透、权限提升以及广泛的网络入侵。” 此外，更新还修复了一个NTLMv2哈希泄露漏洞CVE-2025-21377（CVSS评分：6.5），如果成功利用，攻击者可冒充目标用户进行身份验证。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe公司在周二发布了针对多个产品中至少45个已记录漏洞的补丁，并警告称这些软件缺陷会使用户面临远程代码执行攻击的风险。 其中最严重的问题是Adobe Commerce中存在的一大批关键漏洞，可能导致任意代码执行、安全功能绕过和权限提升。 位于加利福尼亚州圣何塞的软件供应商对Adobe Commerce的安全公告给出了“严重”评级，并敦促企业客户紧急应用可用的补丁。 该公司还为Adobe InDesign修复了至少4个严重级别的漏洞，警告称内存安全问题（如越界写入和缓冲区溢出）会带来重大的代码执行风险。 Adobe Illustrator、Adobe InCopy和Substance 3D Designer产品也获得了安全更新，以修复多个关键的远程代码执行漏洞。 在周二的补丁更新中，Adobe还涉及了广受欢迎的Adobe Photoshop和Photoshop Elements应用程序，并警告存在权限提升风险。 此外，Adobe公司还警告称其Substance 3D Stager工具容易受到拒绝服务攻击的影响。 Adobe表示，目前尚未发现这些已记录漏洞在现实环境中被利用的情况，但强烈建议用户和IT管理员通过Creative Cloud桌面应用程序或使用每个产品的内置更新机制安装修复补丁。 对于托管企业部署，组织应利用Adobe管理控制台或Creative Cloud打包器，迅速将修复程序推送给最终用户。 鉴于本月披露的漏洞严重性，安全专家建议安全团队在打补丁后进行后续评估，包括常规系统监控和应用程序测试。   消息来源：Security Week, 编译：zhongx； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Ubuntu 22.04 打印子系统中的一个漏洞被发现，该漏洞位于 “ippusbxd” 包中，可能允许攻击者在锁定的笔记本电脑上执行任意代码。 不过，现代编译器的功能缓解了这一风险，防止了漏洞被利用到系统崩溃之外的程度。该漏洞是在对 macOS 打印子系统的代码审计中发现的，macOS 的打印子系统与开源的 CUPS 包有共同的基础。 Talos 研究人员将注意力转向了 IPP-USB 协议，该协议通过互联网打印协议（IPP）为通过 USB 连接的打印机启用网络打印。Ubuntu 22.04 中负责处理 IPP-USB 功能的 “ippusbxd” 包成为了调查的重点。 在检查代码时，由 “-Wstringop-overflow” 标志触发的编译器警告显示，get_format_paper 函数可能存在缓冲区溢出漏洞。该函数解析打印机在初始化时报告的纸张尺寸信息，漏洞源于使用了以源操作数的长度而不是目标缓冲区的大小为长度参数的 strncpy。 攻击者可以通过连接一个报告超大媒体尺寸的恶意打印机来利用这一漏洞，从而导致缓冲区溢出。Talos 情报的 Aleksandar Nikolich 通过分析代码上下文确认了该漏洞，揭示了一个精心设计的 “media-size-supported” 负载可以覆盖堆栈缓冲区。在锁定的笔记本电脑上利用这一漏洞，攻击者可以以提升的权限执行任意代码。 研究人员开发了一个概念验证（PoC）漏洞利用，使用 Raspberry Pi Zero 模拟 USB 打印机来展示该漏洞的潜在危害。通过修改 PAPPL 打印机小工具，模拟的打印机被配置为使用名为 “EXPLOIT_STRING” 的环境变量报告恶意媒体尺寸。当将 Raspberry Pi Zero 连接到目标 Ubuntu 机器时，ippusbxd 守护进程因段错误而崩溃，确认了漏洞的触发。 然而，进一步分析崩溃情况发现，由于编译器功能 “FORTIFY_SOURCE” 的存在，预期的内存损坏和潜在的代码执行被阻止。该功能会自动将潜在不安全的函数替换为更安全的替代品，并在缓冲区溢出发生之前检测到该条件。因此，该漏洞的影响仅限于导致系统崩溃，因为程序会在检测到溢出时明确终止。 研究人员强调，这一事件凸显了现代编译器功能（如静态分析）以及强大的缓解技术（如 “FORTIFY_SOURCE”）的重要性。当默认启用这些功能时，它们可以有效防止漏洞的利用。此外，该事件也强调了在开发过程中积极解决编译器警告的重要性。 在这一特定案例中，该漏洞的潜在影响进一步被削弱，因为 “ippusbxd” 包已被 “ipp-usb” 包取代。新包是用内存安全语言实现的，消除了缓冲区溢出的风险。尽管 Ubuntu 22.04 作为长期支持版本是一个例外，但较新的版本已转向使用 “ipp-usb”。 用户建议 Ubuntu 22.04 LTS 用户：确保安装了 ipp-usb，并在存在时移除 ippusbxd。 所有系统：通过运行 sudo apt update && sudo apt upgrade 应用更新，并重启打印服务。 物理安全：限制 USB 设备的访问，以防止未经授权的硬件连接。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据安全研究人员报告，超过1.2万个GFI KerioControl防火墙实例暴露于一个关键的远程代码执行（RCE）漏洞（CVE-2024-52875）。该漏洞被发现于2024年12月中旬，由安全研究员Egidio Romano（EgiX）首次披露。 KerioControl是一款广泛应用于中小企业的网络安全套件，集成了VPN、带宽管理、流量过滤、报告监控、防病毒保护和入侵防御等功能。然而，该漏洞的存在使得攻击者能够通过单次点击实现远程代码执行，进而获取防火墙的root权限。 漏洞细节 漏洞编号：CVE-2024-52875 CVSS评分：9.8（高危） 影响版本：KerioControl 9.2.5至9.4.5 漏洞类型：HTTP响应拆分攻击（HTTP Response Splitting）导致的反射型跨站脚本（XSS）和RCE。 漏洞利用方式 攻击者通过构造恶意URL，诱导管理员点击，利用防火墙固件升级功能上传恶意文件，从而获得root权限。该漏洞利用门槛低，甚至非专业黑客也可实施攻击。 影响范围 据The Shadowserver Foundation报告，目前全球有12,229个KerioControl防火墙实例暴露于该漏洞，主要集中在伊朗、美国、意大利、德国、俄罗斯、哈萨克斯坦、乌兹别克斯坦、法国、巴西和印度。 安全建议 尽快更新：GFI已于2024年12月19日发布9.4.5 Patch 1修复该漏洞，建议用户尽快升级至最新版本9.4.5 Patch 2（2025年1月31日发布），以获得额外的安全增强。 加强监控：鉴于该漏洞已被广泛利用，建议用户加强对网络流量和异常行为的监控。 该漏洞的发现和利用再次凸显了及时修补安全漏洞的重要性，尤其是对于关键的网络安全设备。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文