HackerNews 编译，转载请注明出处： 关于一个现已修复的安全漏洞的细节已经公布，该漏洞可能允许绕过统一可扩展固件接口（UEFI）系统中的安全启动机制。 据ESET向The Hacker News分享的一份新报告显示，该漏洞被分配了CVE标识符CVE-2024-7344（CVSS评分：6.7），存在于由微软的“Microsoft Corporation UEFI CA 2011”第三方UEFI证书签名的UEFI应用程序中。 成功利用该漏洞可导致在系统启动时执行不受信任的代码，从而使攻击者能够在启用安全启动的计算机上部署恶意UEFI启动套件，无论安装的是何种操作系统。 安全启动是一种固件安全标准，通过确保设备仅使用原始设备制造商（OEM）信任的软件启动，来防止计算机启动时加载恶意软件。该功能利用数字签名来验证加载代码的真实性、来源和完整性。 受影响的UEFI应用程序是Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc.和Signal Computer GmbH等公司开发的多个实时系统恢复软件套件的一部分，具体受影响版本如下： Howyar SysReturn 10.2.023_20240919版本之前 Greenware GreenGuard 10.2.023-20240927版本之前 Radix SmartRecovery 11.2.023-20240927版本之前 Sanfong EZ-back System 10.3.024-20241127版本之前 WASAY eRecoveryRX 8.4.022-20241127版本之前 CES NeoImpact 10.1.024-20241127版本之前 SignalComputer HDD King 10.3.021-20241127版本之前 ESET研究员Martin Smolár表示：“该漏洞是由于使用了自定义PE加载器，而不是使用标准和安全的UEFI函数LoadImage和StartImage造成的。因此，该应用程序允许在系统启动时从名为cloak.dat的特别制作的文件中加载任何UEFI二进制文件——甚至是未签名的文件——而不考虑UEFI安全启动状态。” 因此，利用CVE-2024-7344的攻击者可以绕过UEFI安全启动保护，并在操作系统加载之前在UEFI环境中执行未签名代码，从而获得对主机的隐蔽且持久的访问权限。 CERT协调中心（CERT/CC）表示：“在此早期启动阶段执行的代码可以在系统上持久存在，可能会加载恶意内核扩展，这些扩展在重启和操作系统重新安装后仍然存在。此外，它还可能逃避基于操作系统和终端检测和响应（EDR）安全措施的检测。” 恶意行为者还可以通过将自己的易受攻击的“reloader.efi”二进制文件的副本带到已注册微软第三方UEFI证书的任何UEFI系统中，进一步扩大利用范围。但是，将易受攻击和恶意的文件部署到EFI系统分区需要提升权限：在Windows上是本地管理员权限，在Linux上是root权限。 这家斯洛伐克网络安全公司在2024年6月负责任地向CERT/CC披露了这一发现，之后Howyar Technologies及其合作伙伴在相关产品中解决了这一问题。2025年1月14日，微软作为其“补丁星期二”更新的一部分，撤销了旧的易受攻击的二进制文件。 除了应用UEFI撤销、管理对位于EFI系统分区上的文件的访问权限、安全启动定制以及与可信平台模块（TPM）进行远程证明之外，还有一些其他方法可以防止利用未知的易受攻击的已签名UEFI引导加载程序和部署UEFI启动套件。 Smolár表示：“近年来发现的UEFI漏洞数量以及在合理时间窗口内修复漏洞或撤销易受攻击的二进制文件的失败表明，即使是像UEFI安全启动这样重要的功能，也不应被视为不可逾越的障碍。” “然而，我们对此漏洞最担忧的不是修复和撤销二进制文件所花费的时间，与类似情况相比，这个时间已经相当不错，而是这已经不是第一次发现如此明显不安全的已签名UEFI二进制文件。这引发了以下问题：第三方UEFI软件供应商中这种不安全技术的使用有多普遍，以及可能还有多少其他类似的不为人知但已签名的引导加载程序。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP已修复影响NetWeaver Web应用服务器的两个关键漏洞，这些漏洞可能被利用来提升权限并访问受限信息。 作为一月安全补丁日的一部分，该供应商还发布了针对其他产品的更新，以修复12个被评为中高严重性的其他问题。 SAP的安全公告指出：“SAP强烈建议客户访问支持门户，并优先应用补丁，以保护其SAP环境。” 本月SAP解决的最严重的四个安全问题概述如下： CVE-2025-0070（关键严重性，9.9分）：SAP NetWeaver ABAP应用服务器及ABAP平台的认证不当，使得经过认证的攻击者可以利用认证检查不当的漏洞，导致权限提升，并严重影响保密性、完整性和可用性。 CVE-2025-0066（关键严重性，9.9分）：SAP NetWeaver ABAP应用服务器（互联网通信框架）中存在信息泄露漏洞，由于访问控制薄弱，攻击者能够访问受限信息，严重损害保密性、完整性和可用性。 CVE-2025-0063（高严重性，8.8分）：SAP NetWeaver ABAP应用服务器及ABAP平台中存在SQL注入漏洞，原因是某些RFC功能模块缺少授权检查。这使得拥有基本权限的攻击者能够危及Informix数据库，导致保密性、完整性和可用性完全丧失。 CVE-2025-0061（高严重性，8.7分）：SAP BusinessObjects商业智能平台中存在多个漏洞，由于信息泄露问题，未经认证的攻击者可以在网络上执行会话劫持，从而访问并修改所有应用数据。 SAP产品服务于制造业、金融业、零售业、医疗保健和政府等多个行业的大型企业，在管理业务运营和客户关系方面发挥着关键作用。 SAP NetWeaver是运行ABAP应用程序和通过互联网通信框架实现安全通信的核心平台。它通常由管理财务、人力资源和供应链ERP系统的企业IT管理员、开发人员和顾问使用。 SAP BusinessObjects是一个用于报告、分析和数据可视化的平台，由分析师、决策者和IT团队使用，以获取见解并支持战略决策。 过去，黑客曾针对未更新以修复已知漏洞或配置不当的SAP产品，导致网络面临泄露风险。 这家德国供应商强烈建议客户应用最新的可用补丁，以保护其SAP环境。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了SimpleHelp远程访问软件中的多个安全漏洞，这些漏洞可能导致信息泄露、权限提升和远程代码执行。 在一份详细阐述发现内容的技术报告中，Horizon3.ai研究员Naveen Sunkavally表示，“这些漏洞极易被逆向分析和利用。” 已确认的漏洞列表如下： CVE-2024-57727：一个未经身份验证的路径遍历漏洞，允许攻击者从SimpleHelp服务器下载任意文件，包括包含SimpleHelpAdmin账户和其他本地技术人员账户哈希密码的serverconfig.xml文件 CVE-2024-57728：一个任意文件上传漏洞，允许拥有SimpleHelpAdmin权限（或作为拥有管理员权限的技术人员）的攻击者在SimpleServer主机的任意位置上传任意文件，可能导致远程代码执行 CVE-2024-57726：一个权限提升漏洞，允许以低权限技术人员身份访问的攻击者利用后端授权检查缺失的问题，将其权限提升至管理员级别 在假设的攻击场景中，恶意行为者可以通过串联CVE-2024-57726和CVE-2024-57728漏洞，成为管理员用户并上传任意有效载荷，从而控制SimpleHelp服务器。 鉴于这三个漏洞的严重性和易于武器化的特点，Horizon3.ai表示将暂不公布其额外的技术细节。在2025年1月6日负责任地披露漏洞后，SimpleHelp已于1月8日和13日发布的5.3.9、5.4.10和5.5.8版本中修复了这些漏洞。 鉴于已知威胁行为者会利用远程访问工具建立对目标环境的持久远程访问，用户迅速应用补丁至关重要。 此外，SimpleHelp还建议用户更改SimpleHelp服务器的管理员密码，轮换技术人员账户的密码，并限制SimpleHelp服务器接受技术人员和管理员登录的IP地址。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过220万台暴露的Rsync服务器可能面临六项新漏洞的威胁，其中包括一项允许在服务器上远程执行代码的高危堆缓冲区溢出漏洞。 Rsync是一款开源的文件同步和数据传输工具，以其执行增量传输、减少数据传输时间和带宽使用的能力而备受推崇。 它支持本地文件系统传输、通过SSH等安全协议的远程传输，以及通过其自带的守护进程进行直接文件同步。 Rclone、DeltaCopy、ChronoSync等备份系统、公共文件分发仓库以及云和服务器管理操作都广泛使用了该工具。 这些Rsync漏洞由谷歌云和独立安全研究人员发现，可被组合利用形成强大的攻击链，导致远程系统被攻陷。 Openwall发布的公告指出：“在最严重的CVE（通用漏洞披露）案例中，攻击者仅需对rsync服务器（如公共镜像）拥有匿名读取访问权限，即可在服务器运行的机器上执行任意代码。” 以下是这六项漏洞的概述： 堆缓冲区溢出（CVE-2024-12084）：由于Rsync守护进程对校验和长度的处理不当导致，会在缓冲区中进行越界写入。该漏洞影响3.2.7至3.4.0以下版本，可导致任意代码执行。缓解措施包括使用特定标志编译以禁用SHA256和SHA512摘要支持。（CVSS评分：9.8） 未初始化堆栈导致的信息泄露（CVE-2024-12085）：在比较文件校验和时，会导致未初始化堆栈数据泄露。攻击者可通过操纵校验和长度来利用该漏洞。该漏洞影响3.4.0以下所有版本，可通过使用-ftrivial-auto-var-init=zero标志编译来初始化堆栈内容以缓解。（CVSS评分：7.5） 服务器泄露任意客户端文件（CVE-2024-12086）：恶意服务器可利用操纵的校验和值在文件传输过程中逐字节枚举和重建任意客户端文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.1） 通过–inc-recursive选项的路径遍历（CVE-2024-12087）：在使用–inc-recursive选项时，由于符号链接验证不足导致。恶意服务器可以在客户端的指定目录之外写入文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5） 绕过–safe-links选项（CVE-2024-12088）：当Rsync未能正确验证包含其他链接的符号链接目标时发生。这会导致路径遍历和在指定目录之外进行任意文件写入。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5） 符号链接竞态条件（CVE-2024-12747）：在处理符号链接时出现竞态条件导致的漏洞。利用该漏洞，攻击者可访问敏感文件并提升权限。该漏洞影响3.4.0以下所有版本。（CVSS评分：5.6） CERT协调中心（CERT/CC）发布了关于Rsync漏洞的公告，指出Red Hat、Arch、Gentoo、Ubuntu NixOS、AlmaLinux OS Foundation和Triton数据中心等受到影响。 然而，还有许多可能受影响的项目和供应商尚未回应。 CERT/CC警告称：“前两个漏洞（堆缓冲区溢出和信息泄露）结合利用时，允许客户端在运行Rsync服务器的设备上执行任意代码。客户端仅需对服务器拥有匿名读取访问权限，如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。敏感数据（如SSH密钥）可被提取，通过覆盖文件（如/.bashrc或/.popt）可执行恶意代码。” RedHat在其关于CVE-2024-12084的公告中指出，没有实际的缓解措施，该漏洞在Rsync的默认配置中即可被利用。 RedHat解释说：“请记住，rsync的默认rsyncd配置允许匿名文件同步，这存在该漏洞的风险。否则，攻击者需要拥有需要身份验证的服务器的有效凭据。” 通过ZoomEye搜索(port=873 || port=8873) && “@RSYNCD”发现，有超过220万个暴露的Rsync服务器IP地址。其中大多数IP地址位于中国，共超80万个暴露，其次是美国、韩国和德国。 ZoomEye显示暴露的Rsync服务器分布图 尽管存在许多暴露的服务器，但尚不清楚它们是否易受新披露的漏洞影响，因为攻击者需要有效凭据或服务器必须配置为允许匿名连接，而我们未进行测试。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件制造商Adobe于周二针对多款产品中的十多个安全缺陷推出了修复措施，并警告称，恶意黑客可以利用这些漏洞发动远程代码执行攻击。 该公司表示，这些漏洞影响了Adobe Photoshop、Substance 3D Stager、iPad版Illustrator、Adobe Animate以及Adobe Substance 3D Designer。 根据Adobe的文档，Photoshop的更新适用于Windows和macOS系统，鉴于通过陷阱文件利用代码执行的风险，用户应尽快安装此更新。 具体细节如下： Adobe Photoshop——此次更新修复了两个关键严重级别的任意代码执行漏洞（CVE-2025-21127和CVE-2025-21122）。 Adobe Substance 3D Stager——此公告记录了五个关键严重级别的内存安全漏洞，这些漏洞可能导致在当前用户上下文中执行任意代码。这些漏洞的CVSS严重级别评分为7.8/10，影响Windows和macOS用户。 iPad版Illustrator——此次更新涵盖了两个独立的内存安全问题，这些问题使Apple iPad用户面临代码执行攻击的风险。两个漏洞均被评为关键级别，CVSS严重级别评分为7.8/10。 Adobe Animate——此次更新修复了一个可能导致任意代码执行漏洞的整数下溢问题。该更新适用于Windows和macOS用户。 Adobe Substance 3D Designer——此次更新包含针对影响所有平台的四个关键内存安全漏洞的补丁。成功利用这些漏洞可能导致在当前用户上下文中执行任意代码。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究发现，谷歌“使用谷歌账号登录”认证流程中存在一个“缺陷”，攻击者可利用域名所有权的特殊之处获取敏感数据。 周一的报告中，Truffle Security联合创始人兼首席执行官Dylan Ayrey表示：“谷歌的OAuth登录机制无法防止攻击者购买已倒闭创业公司的域名，并利用其重新创建前员工的电子邮件账户。” “虽然无法访问旧电子邮件数据，但可以使用这些账户登录该组织使用的所有不同SaaS产品。” 这家总部位于旧金山的公司指出，仅仅通过购买与已倒闭创业公司相关的废弃域名，即可未经授权访问与OpenAI ChatGPT、Slack、Notion、Zoom甚至HR系统等各种应用程序相关的前员工账户，从而使数百万美国用户的数据面临风险。 Ayrey说：“最敏感的账户包括HR系统，其中含有税务文件、工资单、保险信息、社会保险号码等更多信息。面试平台也包含有关候选人反馈、录用和拒绝的敏感信息。” OAuth（开放授权）是一种用于访问委托的开放标准，允许用户授予网站或应用程序访问其在其他网站上信息的权限，而无需提供密码。这是通过使用访问令牌来验证用户身份并允许服务访问令牌所指定的资源来实现的。 当使用“使用谷歌账号登录”登录Slack等应用程序时，谷歌会向该服务发送一组关于用户的声明，包括其电子邮件地址和托管域名，然后可利用这些信息登录用户账户。 这也意味着，如果服务仅依赖这些信息对用户进行身份验证，那么域名所有权变更就可能让攻击者重新访问前员工账户。 Truffle还指出，谷歌的OAuth ID令牌包含一个唯一的用户标识符（sub声明），理论上可以防止这个问题，但已被发现不可靠。值得注意的是，微软的Entra ID令牌包含sub或oid声明，用于存储每个用户的不可变值。 谷歌最初对漏洞披露的回应称这是预期行为，但自2024年12月19日起重新打开了漏洞报告，并向Ayrey颁发了1337美元的奖金。谷歌还将此问题定性为“具有重大影响的滥用相关方法”。 与此同时，下游软件提供商无法采取任何措施来保护其免受谷歌OAuth实现中的漏洞影响。The Hacker News已联系谷歌以获取进一步评论，如有回复，我们将更新报道。 Ayrey说：“作为个人，一旦你从创业公司离职，你就失去了保护这些账户中数据的能力，你的数据将受到创业公司及域名未来命运的摆布。如果用户和工作区没有不可变标识符，域名所有权变更将继续危及账户安全。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Microsoft曝光了一个已修复的Apple macOS安全漏洞。该漏洞若被成功利用，可使以“root”身份运行的攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序。 该漏洞为CVE-2024-44243（CVSS评分：5.5），属于中等严重程度，苹果已在上月发布的macOS Sequoia 15.2中进行了修复。苹果公司将此描述为一个“配置问题”，可能允许恶意应用修改文件系统的受保护部分。 Microsoft威胁情报团队的Jonathan Bar Or表示：“绕过SIP可能导致严重后果，例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制（TCC）以及扩大攻击面和利用其他技术的可能性。” SIP（也称为无根模式）是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分，包括/System、/usr、/bin、/sbin、/var以及设备上预安装的应用程序。 它通过针对root用户账户执行各种保护来实现其功能，仅允许由苹果签名并具有写入系统文件的特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护的部分。 SIP特有的两项权限如下： com.apple.rootless.install：此权限可解除SIP对具有该权限的进程的文件系统限制。 com.apple.rootless.install.heritable：此权限通过继承com.apple.rootless.install权限，可解除SIP对进程及其所有子进程的文件系统限制。 CVE-2024-44243是Microsoft在macOS中发现的最新SIP绕过漏洞，此前发现的类似漏洞包括CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储套件守护进程（storagekitd）的“com.apple.rootless.install.heritable”权限来绕过SIP保护。 具体而言，这是通过利用“storagekitd在无需适当验证或降低权限的情况下调用任意进程的能力”来实现的，可将新的文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件，这些二进制文件可在执行某些操作（如磁盘修复）时被触发。 Bar Or表示：“由于能够以root身份运行的攻击者可以将新的文件系统包放入/Library/Filesystems，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。” 此次披露距Microsoft曝光Apple macOS透明度、同意和控制（TCC）框架中的另一个安全漏洞（CVE-2024-44133，CVSS评分：5.5），即HM Surf漏洞，已近三个月，该漏洞可能被利用来访问敏感数据。 Bar Or表示：“禁止第三方代码在内核中运行可以提高macOS的可靠性，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，且由于监控可见性降低，威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在分发伪装成针对近期Windows LDAP漏洞的概念验证（PoC）利用代码的信息窃取恶意软件。 该安全缺陷被追踪为CVE-2024-49113（CVSS评分7.5），可导致拒绝服务（DoS）攻击，并于12月10日与其他70多个漏洞（包括可能导致远程代码执行（RCE）的关键LDAP漏洞CVE-2024-49112）一同得到修复。 在针对这两个问题的补丁发布不到一个月后，SafeBreach发布了针对CVE-2024-49113的PoC代码，并称其重要性不亚于RCE漏洞。 SafeBreach将CVE-2024-49113称为“LDAP噩梦”，指出如果存在可访问互联网的DNS服务器，该漏洞可被利用来崩溃任何未打补丁的Windows服务器，即使这些服务器不是域控制器。 现在，趋势科技警告称，一款伪造的PoC利用代码诱使安全研究人员在其系统上执行信息窃取恶意软件。 “尽管使用PoC诱饵作为恶意软件传播手段的策略并非新鲜事，但此次攻击仍引发重大担忧，尤其是它利用了可能影响更多受害者的热门问题，”趋势科技指出。 该PoC通过从原始仓库分叉的仓库进行分发，并将原始Python文件替换为使用UPX打包的可执行文件。 执行后，伪造的PoC会在系统的临时文件夹中释放一个PowerShell脚本。该脚本创建一个计划任务，执行一个编码后的脚本，该脚本旨在从Pastebin下载另一个脚本。 第二个脚本收集系统信息，如进程列表、目录列表、IP地址、网络适配器信息和已安装更新，将其压缩成ZIP归档文件，并上传到外部FTP服务器。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Aviatrix Controller云网络平台的一个关键安全漏洞被公开，该漏洞已在野外被积极利用，以部署后门程序和加密货币挖矿软件。 云安全公司Wiz表示，目前正在应对多起涉及CVE-2024-50603（CVSS评分：10.0）武器化的事件，这是一个可能导致未经授权的远程代码执行的最严重漏洞。 换言之，由于某些API端点没有充分对用户输入进行清理，成功利用该漏洞的攻击者可以注入恶意操作系统命令。该漏洞已在7.1.4191和7.2.4996版本中得到修复。 波兰网络安全公司Securing的安全研究员Jakub Korepta发现并报告了这一缺陷，并因此受到赞誉。此后，一个概念验证（PoC）漏洞利用工具已被公开。 网络安全公司收集的数据显示，约3%的云企业环境部署了Aviatrix Controller，其中65%的环境展示了横向移动到云控制平面管理权限的路径。这反过来又允许在云环境中进行权限提升。 Wiz研究人员Gal Nagli、Merav Bar、Gili Tikochinski和Shaked Tanchuma表示：“当Aviatrix Controller部署在AWS云环境中时，它默认允许权限提升，这使得该漏洞的利用成为高风险。” 利用CVE-2024-50603的现实攻击正在利用对目标实例的初步访问，使用XMRig挖掘加密货币，并部署Sliver指挥和控制（C2）框架，可能是为了持久性和后续利用。 Wiz研究人员表示：“虽然我们尚未看到云横向移动的直接证据，但我们确实认为，威胁行为者很可能正在利用该漏洞来枚举主机的云权限，然后转向从受害者的云环境中提取数据。” 鉴于该漏洞正在被积极利用，建议用户尽快应用补丁，并阻止对Aviatrix Controller的公共访问。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，威胁行为者正在利用最近披露的GFI KerioControl防火墙漏洞，该漏洞可导致一键远程代码执行（RCE）。 GFI KerioControl是一款网络安全解决方案，提供防火墙功能和统一威胁管理能力，包括威胁检测和阻止、流量控制、入侵防御以及VPN功能。 被利用的漏洞编号为CVE-2024-52875，于12月19日发布了补丁，是一个CRLF注入漏洞，可被利用执行HTTP响应拆分攻击，进而导致反射型跨站脚本（XSS）攻击。 安全研究员埃吉迪奥·罗马诺于12月16日发布了该漏洞的详细技术文档，指出反射型XSS攻击向量可被利用执行一键RCE攻击。 罗马诺解释说，该问题源于GFI KerioControl中的多个HTTP响应拆分漏洞，这些漏洞之所以存在，是因为易受攻击的页面未能正确清理用户输入。 研究员评估认为，由于利用该漏洞获得RCE时可利用一个九年前就已存在的漏洞，且可能使攻击者在防火墙上部署root shell，因此该漏洞应被视为“高危”，CVSS评分为8.8。 罗马诺发布了针对该安全缺陷的概念验证（PoC）代码，并警告称，该漏洞影响GFI KerioControl 9.2.5至9.4.5版本，意味着该漏洞在软件中潜伏了大约七年。 本周，GreyNoise警告称，已观察到多次针对CVE-2024-52875的利用尝试，该漏洞“允许攻击者利用HTTP响应拆分和反射型跨站脚本获取设备的CSRF令牌，在特定条件下可能实现一键远程代码执行”。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文