HackerNews 编译，转载请注明出处： 勒索软件团伙目前正利用 VMware ESXi 漏洞 CVE-2025-22225，该漏洞已于 2025 年 3 月由Broadcom公司修复。美国网络安全与基础设施安全局（CISA）证实，勒索软件团伙正利用 VMware ESXi 沙箱逃逸漏洞 CVE-2025-22225 实施攻击。 该漏洞是 VMware ESXi 中存在的任意写入问题，拥有 VMX 进程权限的攻击者可触发内核任意写入操作，进而实现沙箱逃逸。彼时，这家虚拟化巨头证实，已有相关信息表明该漏洞存在在野攻击利用行为。安全公告中指出：“拥有 VMX 进程权限的恶意攻击者可触发内核任意写入操作，进而实现沙箱逃逸。” VMware 在 2025 年 3 月发布的安全公告 VMSA-2025-0004 中，修复了三个已遭在野积极利用的零日漏洞，这些漏洞均可实现 ESXi 虚拟机逃逸与代码执行，具体包括： ·  CVE-2025-22226（CVSS 7.1）：HGFS 文件系统存在越界读取漏洞，可导致 VMX 进程内存泄露。 ·  CVE-2025-22224（CVSS 9.3）：VMCI 接口存在时间检查与使用不一致（TOCTOU）漏洞，可引发越界写入，攻击者可借此以 VMX 进程权限执行代码。 ·  CVE-2025-22225（CVSS 8.2）：ESXi 存在任意写入漏洞，可实现从 VMX 沙箱逃逸至内核层。 今年 1 月，Huntress 研究人员通报称，发现汉语区攻击者滥用遭入侵的 SonicWall VPN，投递针对 VMware ESXi 的攻击工具包。 该攻击链包含一套成熟的虚拟机逃逸方案，且其开发时间似乎比相关 VMware 漏洞公开披露时间早一年以上。对 2025 年 12 月观测到的攻击事件分析显示，该团伙提前掌握了 2025 年 3 月才披露的三款 ESXi 零日漏洞，可见其对未知漏洞存在长期隐秘利用行为。 2025 年 12 月，Huntress 研究人员检测到一起入侵事件，攻击者最终部署了 VMware ESXi 漏洞利用工具包，其初始入侵途径为遭攻陷的SonicWall VPN。工具包中存在简体中文字符及相关编译路径等证据，表明该工具包大概率在 VMware 公开漏洞前一年多就以零日漏洞利用工具的形式开发完成，可见幕后是一支资源充足的汉语区攻击团伙。 攻击者利用域管理员凭证开展横向渗透，实施侦察活动，修改防火墙规则以阻断外部访问、同时保留内网移动权限，并对拟窃取数据进行预处理。该工具包可针对多达 155 个 ESXi 版本发起攻击，通过禁用 VMCI 驱动、加载未签名内核驱动实现虚拟机逃逸，或为后续勒索软件部署铺路。该攻击最终在造成实质损失前被成功阻断。 该威胁团伙依靠一款名为 MAESTRO 的协调工具，管控完整的 VMware ESXi 虚拟机逃逸流程。该工具会禁用 VMCI 驱动，通过自带驱动（BYOD）技术加载未签名漏洞利用驱动，并统筹漏洞利用全流程。该驱动会泄露 VMX 进程内存以绕过地址空间布局随机化（ASLR）防护，滥用 HGFS 与 VMCI 接口漏洞，向 VMX 进程写入壳代码，最终逃逸至 ESXi 内核层。随后会部署一款基于 VSOCK 协议的隐蔽后门VSOCKpuppet，可从客户机虚拟机对虚拟机管理程序实现持久化远程控制，同时规避传统网络监控，并恢复相关驱动以降低被检测概率。 Huntress 研究人员发现证据表明，该攻击链至少自 2024 年 2 月起就已被使用。报告指出：“漏洞利用二进制文件中包含程序数据库（PDB）路径，可据此窥探其开发环境。” CISA 已更新已知被利用漏洞（KEV）目录中 CVE-2025-22225 的相关条目，确认该漏洞正被用于勒索软件攻击行动。   消息来源: cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已针对旗下 Archer BE230 Wi-Fi 7 路由器发布紧急固件更新，修复多款高危安全漏洞. 这些漏洞可使经过身份验证的攻击者执行任意操作系统（OS）命令，从而完全掌控设备管理权。 受影响的设备为 Archer BE230 v1.2 型号，其固件版本早于 1.2.4 Build 20251218 rel.70420。漏洞涉及 VPN 模块、云通信服务及配置备份功能等多个系统组件。 TP-Link OS命令注入漏洞分析 所有相关CVE漏洞的核心均为操作系统命令注入问题。该类漏洞的成因在于，应用程序将未经安全处理的用户输入数据（如表单数据、Cookie 或 HTTP 头）直接传递至系统 shell 执行。 具体而言，已获取高权限（即通过认证）的攻击者能够注入恶意命令，并由路由器以 root 权限执行。尽管攻击复杂度被评定为较低（AC:L），但其利用前提是攻击者需具备高权限（PR:H）。 然而，若攻击者已通过弱密码或会话劫持等方式获得初步管理员权限，便可利用这些漏洞实现权限升级，从基础管理访问跃升至对设备底层操作系统的完全控制。 尽管这些漏洞造成的最终影响相似，但它们源自不同的代码路径（具体CVE编号如下表所示）。成功利用后，攻击者能够篡改路由器配置、拦截网络流量、中断服务，甚至将受控设备作为跳板，攻击网络内的其他设备。 为应对威胁，TP-Link 已发布修复固件。网络管理员及用户务必立即更新设备固件。 用户可访问对应区域（美国、国际英文或新加坡）的 TP-Link 官方支持页面下载最新固件。如未能及时安装更新，网络基础设施将面临被攻陷的风险。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响，该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中，可以被任何具有“订阅者”（Subscriber）级别或更高权限的登录用户利用，从而增加了未经授权访问数据的风险。 Quiz and Survey Master（也称为QSM）被广泛用于创建测验、调查和表单。其功能集包括多媒体支持和拖放式测验构建器，这促成了其庞大的安装基数。 该漏洞无需管理员权限即可利用，意味着大量普通用户账号均可能被滥用，进而触发漏洞风险。 漏洞如何暴露站点数据库 该漏洞位于一个负责检索测验题目数据的REST API函数中。一个名为is_linking的请求参数被假定为数字标识符，并在没有经过适当验证的情况下被插入到数据库查询中。该参数值在与其他题目 ID 拼接、作为 SQL 语句执行前，未经过任何数据净化处理。 这种处理方式使得恶意用户可提交特制输入内容，其中包含额外 SQL 命令。由于查询语句未采用预处理语句构建，数据库会将注入的恶意内容当作查询语句的一部分执行，进而导致数据窃取或其他恶意操作风险。 该漏洞已被分配编号 CVE-2025-67987。虽然没有迹象表明该漏洞曾被积极利用，但其存在凸显了信任请求数据的风险，即使这些数据本意并非由用户直接控制。 负贵披露后发布补丁 Patchstack在上周发布的一份公告中表示，该漏洞已在Quiz and Survey Master版本10.3.2中修复。 该更新通过 intval 函数强制将 is_linking 参数转换为整数，确保数据库查询仅处理数字类型值，以此实现漏洞缓解。 该漏洞由Patchstack Alliance社区成员Doan Dinh Van发现并报告。 Patchstack于2025年11月21日收到报告并通知了插件供应商。修复版本于2025年12月4日发布，相关公告于2026年1月下旬公开。 此事件再次凸显了在WordPress插件中处理数据库查询时，进行输入验证和使用预编译语句的重要性。 消息来源: infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露 Docker 旗下 Ask Gordon 人工智能助手存在一项高危安全漏洞，该漏洞揭示了未经验证的元数据可被转化为可执行指令的攻击路径。 这个问题被Noma Labs命名为DockerDash，它暴露了从模型解释到工具执行的完整AI执行链中的弱点，并突显了随着AI代理更深地嵌入开发工作流而出现的新兴风险。 研究表明，Docker 镜像中仅需一个恶意元数据标签，即可通过三阶段攻击流程攻陷 Docker 环境。 Ask Gordon 会读取该元数据，将解析后的指令转发至模型上下文协议（MCP）网关，网关随即通过 MCP 工具执行该指令。该元数据全程未经过任何验证环节。这种信任机制缺陷使得攻击者无需利用传统软件漏洞，即可绕过安全边界实施攻击。 单一漏洞触发两条攻击路径 Noma Labs发现该漏洞存在统一攻击载体，攻击后果会随 Docker 部署环境的不同而存在差异。 在云端及命令行（CLI）环境中，该漏洞可导致高危级远程代码执行（RCE）。在 Docker 桌面端环境中，Ask Gordon 仅具备只读权限，但通过相同攻击手法，攻击者可实现大规模数据窃取与网络侦察。 DockerDash的核心是Noma Labs所称的元上下文注入。MCP网关旨在将上下文信息传递给大型语言模型，但它无法区分描述性元数据和预先授权内部指令。 攻击者将命令嵌入看似无害的 Docker LABEL 字段中，即可操控 AI 的推理逻辑，将上下文信息转化为具体执行动作。 数据窃取风险与缓解策略 不同环境下攻击影响存在差异，但均具备严重危害性，具体包括： 云端或本地命令行环境下，可通过 Docker 命令行指令实现远程代码执行 容器配置、环境变量及网络配置信息泄露 枚举已安装的 MCP 工具、镜像及系统配置数据 在 Docker 桌面端，攻击者还可指令 Ask Gordon 将窃取的数据嵌入出站请求中实现外泄，以此绕过针对命令执行、而非未授权读取的安全管控。 Noma Labs于2025年9月17日向Docker报告了此问题。Docker于10月13日确认了该漏洞，并在2025年11月6日发布的Docker Desktop版本4.50.0中进行了修复。漏洞详情于近日对外公开。 Docker实施了两项关键的缓解措施。一是 Ask Gordon 不再解析用户提供的镜像 URL，阻断了一条数据外泄路径。二是调用任意 MCP 工具前均需用户明确确认，新增了人机协同防护机制。 官方强烈建议用户升级至 Docker 桌面端 4.50.0 及后续版本，降低遭受此类新型 AI 驱动供应链攻击的风险。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，与俄罗斯有关联的黑客组织 Fancy Bear（ APT28）利用微软 Office 近期披露的一项漏洞，对乌克兰及欧盟相关组织发起网络攻击。 该预警由乌克兰国家网络威胁情报机构 —— 乌克兰计算机应急响应小组（CERT-UA）于 2 月 2 日发布。 CVE-2026-21509 漏洞在披露前已遭利用 CERT-UA 具体报告称，其在 1 月 29 日发现了一个名为 “Consultation_Topics_Ukraine(Final).doc” 的 Word 文档。该文档包含 CVE-2026-21509 漏洞的利用程序，该漏洞为高危级别（CVSS 3.1 评分 7.8 分），影响微软 Office 2016、2019、长期服务频道 2021 版、长期服务频道 2024 版及微软 365 企业应用版等多个版本。 微软于 1 月 26 披露了该漏洞，其成因是微软 Office 在安全决策环节过度依赖不可信输入。 该漏洞被成功利用后，攻击者可绕过微软 365 及 Office 中的对象链接与嵌入（OLE）防护机制，而该机制原本用于保护用户免受存在漏洞的组件对象模型（COM）及 OLE 控件的威胁。 微软在其安全公告中确认，已检测到该漏洞存在在野利用的相关证据。该科技企业敦促微软 Office 2016 及 2019 版本用户务必安装更新以获得防护。 微软 Office 2021 及后续版本用户将通过服务端更新获得自动防护，但需重启 Office 应用程序方可生效。 CERT-UA 在报告中指出：“鉴于用户可能延迟（或无法）更新微软 Office 及落实推荐安全措施，利用该漏洞发起的网络攻击数量或将持续上升。” Fancy Bear 针对 CVE-2026-21509 漏洞的攻击链 乌克兰计算机应急响应小组发现的该 Word 文档，与欧盟常驻代表委员会针对乌克兰局势的磋商相关。 文档元数据显示，其创建时间为 1 月 27 日上午，即微软披露该漏洞的次日。 同日，乌克兰计算机应急响应小组表示，从合作方处收到报告称，出现疑似来自乌克兰水文气象中心的钓鱼邮件，附件为另一个名为 BULLETEN_H.doc 的文档。 这封邮件被发送给了超过 60 个邮箱地址，收件方主要是乌克兰的中央行政机关。 CERT-UA 的深入分析表明，使用微软 Office 打开该文档后，会通过 WebDAV 协议触发与外部资源的网络连接，随后下载一个伪装成快捷方式（LNK 文件）的恶意文件，该文件含有的恶意代码可实现载荷的下载与执行。 攻击成功执行后，会进行以下操作： 创建名为 “EhStoreShell.dll” 的 DLL 文件（伪装成系统“增强存储外壳扩展”库）。 创建包含 Shellcode 的图片文件 “SplashScreen.png”。 修改注册表中 CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} 的路径（以此实现 COM 劫持）。 创建名为 “OneDriveHealth” 的计划任务。 这些任务执行后，会终止并重启资源管理器进程（explorer.exe），该进程会通过组件对象模型劫持技术加载 EhStoreShell.dll 文件。 该动态链接库文件会执行图片文件中的壳代码，最终在受感染系统中加载 Covenant 攻击框架。 Covenant 是一款基于.NET 框架开发的命令与控制（C2）工具，最初设计用途为网络攻防演练及红队渗透测试。 乌克兰计算机应急响应小组还强调，由于 Covenant 框架将合法云存储服务 Filen 作为命令与控制基础设施，疑似被Fancy Bear组织列为攻击目标的机构，应封禁该云存储服务节点的网络访问，或至少对相关网络交互进行严密监控。 2026 年 1 月下旬，安全人员还发现了另外三份携带相同漏洞利用代码的文档，其攻击目标指向欧盟国家的组织机构。 乌克兰计算机应急响应小组敦促相关方落实微软安全公告中列明的漏洞缓解措施，尤其是针对 Windows 注册表配置的相关防护操作。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份最新安全公告披露，Johnson Controls 旗下多款工业控制系统（ICS）产品存在一个严重的SQL注入漏洞。 该漏洞编号为CVE-2025-26385，其通用漏洞评分系统（CVSS v3）的严重性评分达到满分10.0，意味着对受影响基础设施构成最高级别的风险。 漏洞成因是命令注入中特殊元素的中和处理不当，远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后，可篡改、删除或窃取受影响系统中的敏感数据。 该漏洞影响Johnson Controls  6 款产品，这些产品在全球关键基础设施领域广泛部署。该公司产品部署于商业楼宇、关键制造、能源生产、政府运营及交通系统等多个关键行业。由于这家总部位于爱尔兰的公司在全球范围内业务众多，此次漏洞引发全球性关注。 美国网络安全和基础设施安全局（CISA）建议各组织采取以下防御措施以降低风险：控制系统网络必须与公网隔离，部署在防火墙后方，且与业务网络基础设施实现物理隔离 受影响产品范围 该漏洞影响以下应用产品： 确需远程访问的机构，应部署搭载最新安全补丁的虚拟专用网络（VPN），同时需明确 VPN 安全性依赖于接入设备的完整性。对于无法立即打补丁的老旧系统，网络分段与物理隔离是核心防护手段。 截至2026年1月27日该公告发布之日，CISA尚未监测到该漏洞在野利用的公开报告。但鉴于该漏洞的高危等级及产品的广泛部署，系统管理员及安全团队需立即重点关注。 这份编号为 ICSA-26-027-04 的公告，是Johnson Controls 初始安全公告 JCI-PSA-2026-02 的重新发布版本。观察到任何可疑活动的组织，应向CISA报告，以便进行事件关联分析和全局威胁追踪。 此次漏洞由Johnson Controls 主动报告给CISA，遵循了协调披露流程，为安全团队在潜在攻击发生前争取了应对时间。各机构在部署防护措施前，应优先开展影响分析与风险评估，避免造成业务运营中断。 消息来源:cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Iconics Suite SCADA 系统存在一项中危漏洞，攻击者可利用该漏洞在关键工业控制系统上触发拒绝服务状态。 该漏洞编号为 CVE-2025-0921，广泛部署于汽车、能源及制造业的监控与数据采集（SCADA）基础设施。 漏洞详情 CVE-2025-0921 源于三菱电机 Iconics Digital Solutions 的 GENESIS64 软件中，多个服务存在“以不必要权限执行”的安全缺陷。 该漏洞 CVSS 评分为 6.5 分，评级为中危。攻击者成功利用该漏洞后，可滥用特权文件系统操作提升权限、破坏核心系统二进制文件，最终导致系统完整性与可用性受损。 此漏洞由 Unit 42 的研究员 Asher Davila 和 Malav Vyas 在 2024 年初的一次全面安全评估中发现。这是在微软 Windows 平台的 Iconics Suite 10.97.2 及更早版本中发现的 6 项漏洞之一。此前研究人员已披露该 SCADA 平台存在的 5 项相关漏洞，CVE-2025-0921 是后续调查中发现的新增威胁。 根据三菱电机的安全公告，该漏洞影响 GENESIS64、MC Works64 的所有版本以及 GENESIS 11.00 版本。Iconics Suite 在全球超过 100 个国家拥有数十万安装实例，遍布政府设施、军事基地、水处理厂、公共事业及能源供应商等关键基础设施领域。 技术原理与利用途径 该漏洞存在于工业流程监控告警管理系统 AlarmWorX64 MMX 的 Pager Agent 组件中。 具备本地访问权限的攻击者，可通过篡改 C:\ProgramData\ICONICS 目录下 IcoSetup64.ini 文件中存储的 SMSLogFile 路径配置来利用该漏洞。攻击链流程包括：将日志文件存储路径创建为指向目标系统二进制文件的符号链接。当管理员发送测试消息或系统自动触发告警时，日志信息会沿符号链接覆盖核心驱动文件（如为 Windows 系统组件提供加密服务的 cng.sys）。 系统重启后，被破坏的驱动会导致启动失败，设备陷入无限修复循环，最终使工业控制（OT）工程工作站无法运行。 研究人员证实，该漏洞与 CVE-2024-7587 漏洞结合后利用难度会大幅降低；CVE-2024-7587 是此前披露的 GenBroker32 安装程序漏洞，会给 C:\ProgramData\ICONICS 目录赋予过高权限，允许任意本地用户修改核心配置文件。但即便单独利用该漏洞，若日志文件因配置不当、其他漏洞或社会工程学攻击具备可写权限，攻击者仍可成功触发漏洞。 三菱电机已为 GENESIS 11.01 及后续版本发布修复补丁，客户可从 Iconics 社区资源中心下载。针对 GENESIS64 用户，修复版本正在开发中，将于近期发布。厂商明确表示暂无 MC Works64 版本补丁发布计划，相关客户需在此期间落实漏洞缓解措施。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SolarWinds 发布了安全更新，修复其 Web Help Desk 产品中存在的多个安全漏洞，其中包含四项可导致身份验证绕过及远程代码执行（RCE）的高危漏洞。 相关漏洞详情列表如下： · CVE-2025-40536（CVSS 评分：8.1）：安全控制绕过漏洞。未经认证的攻击者可借此访问某些受限制的功能。 · CVE-2025-40537（CVSS 评分：7.5）：硬编码凭证漏洞。攻击者可利用预设的“client”用户账户访问管理功能。 · CVE-2025-40551（CVSS 评分：9.8）：不可信数据反序列化漏洞。可导致远程代码执行，使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40552（CVSS 评分：9.8）：认证绕过漏洞。未经认证的攻击者可利用此漏洞执行特定操作与方法。 · CVE-2025-40553（CVSS 评分：9.8）：不可信数据反序列化漏洞。可导致远程代码执行，使未经认证的攻击者能够在主机上运行任意命令。 · CVE-2025-40554（CVSS 评分：9.8）：认证绕过漏洞。攻击者可利用此漏洞调用 Web Help Desk 内部的特定操作。 前三个漏洞由 Horizon3.ai 的 Jimi Sebree 发现并上报，后三个漏洞则由 watchTowr 的 Piotr Bazydlo 发现，相关贡献均已获官方确认。所有漏洞均已在其 Web Help Desk 2026.1 (WHD 2026.1) 版本中得到修复。 “CVE-2025-40551 和 CVE-2025-40553 均为高危不可信数据反序列化漏洞，” Rapid7 表示。“远程未授权攻击者可通过这两个漏洞在目标系统上实现远程代码执行，还能执行任意操作系统命令等恶意载荷。” “反序列化导致的远程代码执行是攻击者常用的高可靠攻击途径，且这两个漏洞均支持未授权利用，因此危害程度极大。” 该网络安全公司补充道，尽管 CVE-2025-40552 和 CVE-2025-40554 被归类为身份认证绕过漏洞，但同样可能被用以实现 RCE，从而产生与其他两个反序列化 RCE 漏洞同等的破坏性影响。 近年来，SolarWinds 已多次发布补丁修复 Web Help Desk 软件中的漏洞，包括 CVE-2024-28986、CVE-2024-28987、CVE-2024-28988 及 CVE-2025-26399。值得注意的是，CVE-2025-26399 修复的是 CVE-2024-28988 的补丁绕过漏洞，而 CVE-2024-28988 本身也是 CVE-2024-28986 的补丁绕过漏洞。 2024 年末，美国网络安全和基础设施安全局（CISA）已将 CVE-2024-28986 和 CVE-2024-28987 列入其“已知被利用漏洞”（KEV）目录，并指出已有确凿证据表明这些漏洞正遭在野利用。 Horizon3.ai 的 Sebree 在分析 CVE-2025-40551 的文章中描述称，该漏洞是又一个源于 AjaxProxy 功能的反序列化漏洞。 攻击者若要实现远程代码执行，需执行以下一系列操作： · 建立有效会话并提取关键值。 · 创建一个 LoginPref 组件。 · 设置该 LoginPref 组件的状态，以获取文件上传功能的访问权限。 · 利用 JSONRPC 桥接，在后台构造恶意的 Java 对象。 · 触发这些恶意 Java 对象。 鉴于 Web Help Desk 过往漏洞曾被恶意利用，相关用户需尽快将此服务台与 IT 服务管理平台升级至最新版本。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  流行的 vm2 Node.js 库中被披露存在一个高危沙箱逃逸漏洞，若被成功利用，可导致攻击者在宿主操作系统上执行任意代码。 该漏洞编号为 CVE-2026-22709，在通用漏洞评分系统（CVSS）中获得了 9.8 分（满分 10.0）的严重评级。 “在 vm2 3.10.0 版本中，攻击者可绕过对 Promise.prototype.then 和 Promise.prototype.catch 回调函数的净化处理，” vm2 维护者 Patrik Simek 称。”这将允许攻击者逃离沙箱限制并执行任意代码。” vm2 是一个用于在安全沙箱环境中运行不可信代码的 Node.js 库，其原理是通过拦截和代理 JavaScript 对象，来阻止沙箱内的代码访问主机环境。 新发现的漏洞根源于该库对 Promise 处理器的净化机制存在缺陷，从而产生了一个逃逸路径，使得代码能在沙箱外部执行。 “关键在于，JavaScript 中的异步函数返回的是 globalPromise 对象，而非 localPromise 对象。而 globalPromise.prototype.then 和 globalPromise.prototype.catch 并未像 localPromise 的相关方法那样得到妥善净化，”Endor Labs 的研究员 Peyton Kennedy 和 Cris Staicu 解释道。 尽管 CVE-2026-22709 已在 vm2 的 3.10.2 版本中修复，但这仅是近年来困扰该库的连绵不断的沙箱逃逸漏洞中的最新一例。此前已包括 CVE-2022-36067、CVE-2023-29017、CVE-2023-29199、CVE-2023-30547、CVE-2023-32314、CVE-2023-37466 及 CVE-2023-37903 等多个漏洞。 2023年7月 CVE-2023-37903 的发现，曾促使 Simek 宣布该项目将终止维护。但相关表述现已从其 GitHub 仓库的最新 README 文件中删除。截至 2025 年 10 月，其安全页面也已更新，声明 vm2 3.x 版本正在积极维护中。 然而，vm2 的维护者亦承认，未来很可能还会出现新的绕过方法，因此强烈建议用户确保及时更新库版本，并考虑采用其他能提供更强隔离保证的可靠替代方案，例如 isolated-vm。 “与依赖原有存在缺陷的 vm 模型不同，vm2 的后续项目 isolated-vm 基于 V8 引擎的原生 Isolate 接口，提供了更为稳固的隔离基础。但即便如此，vm2 的维护者仍强调隔离至关重要，并实际建议采用 Docker 容器并在组件间实施逻辑隔离，” Semgrep 表示。 鉴于该漏洞危害严重，建议用户立即升级至最新版本 (3.10.3)，此版本亦修复了其他沙箱逃逸问题。 消息来源: thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文