HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Gemini MCP 工具存在一个高危零日漏洞，使用户在无需任何身份验证的情况下暴露于远程代码执行（RCE）攻击。 该漏洞追踪编号为 ZDI-26-021 / ZDI-CAN-27783，通用漏洞标识符为CVE-2026-0755，其 CVSS v3.1 最高评分为 9.8 分，反映了其易被利用且危害程度高的特性。 根据趋势科技零日计划（ZDI）的一份新公告，该漏洞影响了开源工具 gemini-mcp-tool，该工具用于实现 Gemini 模型与模型上下文协议（MCP）服务的集成。 漏洞概述 在公告中，涉事厂商及产品均标注为 Gemini MCP Tool / gemini-mcp-tool。该漏洞的核心成因是 execAsync 方法对用户输入数据处理不当。 该函数未对用户输入进行充分验证与净化，便直接将其传入系统调用。 远程攻击者可以利用此命令注入漏洞，在目标底层系统上执行任意代码，且代码执行权限与服务账户权限一致。 由于攻击媒介是基于网络的，且无需事先身份验证或用户交互，因此暴露于公网或共享环境的风险特别高。 该漏洞最初于 2025 年 7 月 25 日通过第三方平台报告给相关厂商。 ZDI 在 2025 年 11 月跟进漏洞修复进展，在未获得充分反馈的情况下，于 2025 年 12 月 14 日告知供应商其打算将此案例作为零日漏洞进行公告披露。 该漏洞的协同公开披露及安全公告更新工作于 2026 年 1 月 9 日完成。 截至公告发布时，厂商尚未推出官方补丁及修复更新。因此，该漏洞的缓解措施选项有限。 ZDI 建议严格限制对 Gemini MCP 工具的访问权限，确保其不直接暴露于互联网，且仅允许可信网络及可信用户进行交互。 管理员还需对运行 gemini-mcp-tool 的系统进行监控，重点排查可疑进程执行及异常对外连接情况，此类现象可能意味着漏洞已被成功利用。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了在 n8n 工作流自动化平台两个新的安全漏洞，其中一个为可导致远程代码执行的高危漏洞。 这两个由 JFrog 安全研究团队发现的漏洞详情如下： CVE-2026-1470（CVSS 评分：9.9）：一个 eval 注入漏洞。经过身份验证的用户可通过传入特制的 JavaScript 代码，绕过平台的表达式沙箱机制，从而在 n8n 主节点上实现完整的远程代码执行。 CVE-2026-0863（CVSS 评分：8.5）：一个 eval 注入漏洞。经过身份验证的用户可借此绕过 n8n 的 python-task-executor 沙箱限制，在底层操作系统上运行任意 Python 代码。 成功利用这些漏洞可使攻击者劫持整个 n8n 实例，即便该实例运行在 “内部” 执行模式下也不例外。n8n 在其文档中指出，在生产环境中使用内部模式可能带来安全风险，并建议用户切换至外部模式，以确保 n8n 与任务运行进程之间有适当的隔离。 “n8n 为自动化 AI 工作流而遍布企业全流程，因此它掌控着、基础设施的核心工具、功能和数据密钥，包括大语言模型（LLM）API、销售数据和内部身份与访问管理（IAM）系统等，”JFrog 在与 The Hacker News 分享的声明中表示。“一旦发生沙箱逃逸，就相当于为黑客提供了通往整个公司的有效‘万能钥匙’。” 为修复这些漏洞，建议用户升级至以下版本： CVE-2026-1470：请升级至 1.123.17、2.4.5 或 2.5.1 版本。 CVE-2026-0863：请升级至 1.123.14、2.3.5 或 2.4.2 版本。 此次披露距离 Cyera Research Labs 详细说明 n8n 中一个最高危漏洞（CVE-2026-21858，又名 Ni8mare）仅过去数周，该漏洞允许未经认证的远程攻击者完全控制易受攻击的实例。 “这些漏洞凸显了安全地沙箱化 JavaScript 和 Python 这类动态高级语言的难度之大，”研究员 Nathan Nehorai 表示。“即便部署了多层验证、拒绝列表和基于抽象语法树（AST）的控制措施，攻击者仍可利用微妙的语言特性和运行时行为来突破安全设计的预设。” “在此案例中，一些已被弃用或鲜少使用的语法结构，结合解释器的变更与异常处理行为，便足以突破原本限制严格的沙箱，最终实现远程代码执行。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员日前发现了一个规模庞大的反向链接非法交易市场，其目的是帮助网络犯罪分子提升恶意网页在搜索引擎结果中的排名。 Fortra公司的威胁情报与研究专家在Telegram和WhatsApp平台上发现了这项名为“HaxorSEO”（亦称“HxSEO”）的黑产服务。该服务通过一份谷歌表格，提供了超过1000个指向事先被攻陷但表面合法的域名的反向链接。 Fortra解释道：“这些域名通常已注册15至20年，售卖时会附带一系列‘信任度’评分，用以宣传所购反向链接在提升搜索引擎排名方面的效果。”“一旦买家付款，该团伙就会将包含恶意地址的反向链接植入目标合法域名，从而大大提高买家达成其恶意目的的成功率。” 攻击者首先通过植入Webshell来控制这些合法网站。随后，购买服务的威胁行为者便可利用这些植入的链接，提升其恶意网站的搜索排名，将毫无戒心的用户诱骗至旨在窃取凭证或分发恶意软件的钓鱼页面。 Fortra指出，在某些案例中，经HxSEO优化后的虚假银行登录页面，其搜索排名甚至超过了它们所仿冒的正规官方网站。 供应商还声称，Haxor还能够通过在垃圾、低权威度的网站上部署垃圾反向链接，来拉低被模仿的合法页面的SEO评分。 低成本，高危害 此项服务每条反向链接的售价低至6美元，并可自动将所需代码注入被攻陷的网站，对威胁行为者而言极具吸引力。报告警告称：“由于在搜索结果中极难甄别这些恶意反向链接，加之其低廉的成本，这必然会导致大规模攻击的发生。” HxSEO市场在列出每条恶意反向链接时，都会附上常见的SEO指标，用以说明对应域名或网页的权威性与强度。 Fortra进一步说明：“页面权威值（PA）、域名权威值（DA）和域名评级（DR）可用于预测该网站用于SEO投毒的效果，其中域名评级（DR）最能体现该域名反向链接档案的‘威力’。” “垃圾邮件评分（SS）则用于评估域名因违规而被惩罚或视为垃圾邮件的风险。该列表通常同时展示100至150个被攻陷的网站，其中被遗忘的学术期刊页面尤为受青睐。” 报告提到，Haxor团队最常利用存在漏洞的PHP组件和WordPress插件，通过各类文件上传及远程代码执行漏洞实施攻击。 用户需提高警惕 尽管搜索引擎持续打击此类恶意行为，但新域名、新反向链接和内容的不间断供应，足以维持像Haxor这类黑产的运转。此外，Fortra表示，购买这些服务的客户可能只需让恶意钓鱼网站上线运行数天或数周，便能达到窃取信息的目的。该威胁情报公司正与相关的域名服务商、网站所有者及搜索引擎合作，以期取缔这些恶意页面。同时，报告也呼吁用户提升自身防范意识。 报告总结并建议道：“用户应对通过搜索引擎访问的网址（尤其是银行登录页面）保持警惕。最佳做法是将网银等敏感登录页面直接添加为书签，而非每次通过搜索引擎查找。” “务必仔细核验网址中的域名是否真实合法，并留意那些带有不易察觉的细微拼写差异的仿冒域名。如若无法确定，应直接联系银行以核实正确的登录页面地址。” 消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全公司 VulnCheck 与 Shadowserver 基金会发现，攻击者正在利用一个编号为 CVE-2026-0625 的命令注入漏洞，对早已停保的 D-Link DSL 路由器发起攻击。该漏洞位于 dnscfg.cgi 接口，因 CGI 库输入过滤不当，允许未认证攻击者通过 DNS 配置参数注入并执行任意 Shell 命令，实现远程代码执行。 时间线 12 月 15 日：Shadowserver 蜜罐捕获到首次利用尝试；VulnCheck 随后向 D-Link 报告。 利用手法尚未公开披露，VulnCheck 表示“目前未见公开 PoC”。 已确认受影响型号（均 2020 年起 EoL，不再提供补丁） DSL-526B ≤ 2.01 DSL-2640B ≤ 1.07 DSL-2740R < 1.17 DSL-2780B ≤ 1.01.14 D-Link 仍在排查其他固件版本，但由于历代固件实现差异大，暂无远程型号识别方案，只能通过固件提取确认。 利用场景 大多数家庭路由默认仅在内网开放 CGI 管理接口，因此实际利用需： 受害者浏览器访问恶意网页（CSRF/JS 攻击）； 设备被手动开启远程管理并暴露于公网。 缓解措施 立即停用并更换仍在运行的上述 EoL 设备； 若暂时无法替换，应关闭远程管理、降低为仅本地访问，并置于隔离或访客网段； 保持固件为官方最后可用版本，启用最强安全策略。 D-Link 提醒：停保产品不再获得任何固件更新、漏洞补丁或技术支持。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 开源工作流自动化平台 n8n 被披露存在一处关键安全漏洞，已登录攻击者可在服务器上执行任意系统命令。该漏洞编号 CVE-2025-68668，CVSS 评分 9.9，由 Cyera Research Labs 的 Vladimir Tokarev 与 Ofek Itach 发现并命名为 N8scape。 受影响版本：1.0.0 ≤ n8n < 2.0.0 修复版本：2.0.0（已发布） 根因：Python Code Node 在使用 Pyodide 时存在沙箱逃逸，导致拥有“创建或修改工作流”权限的已登录用户能够以 n8n 进程相同权限在宿主机上执行任意操作系统命令。 n8n 官方说明 自 1.111.0 起已提供“基于 task runner 的原生 Python 运行器”可选功能，用于加强隔离；需手动设置环境变量 N8N_RUNNERS_ENABLED 与 N8N_NATIVE_PYTHON_RUNNER 开启。 在 2.0.0 中该实现被设为默认，彻底移除旧有 Pyodide 路径。 临时缓解方案（无法立即升级时） 禁用整个 Code Node NODES_EXCLUDE: "[\"n8n-nodes-base.code\"]" 仅关闭 Python 支持 N8N_PYTHON_ENABLED=false 强制使用新 runner 沙箱 N8N_RUNNERS_ENABLED=true N8N_NATIVE_PYTHON_RUNNER=true 此外，n8n 本月还修复了另一处 9.9 分漏洞 CVE-2025-68613，同样可导致任意代码执行，建议用户尽快升级至 2.0.0 及以上版本。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国 CERT 协调中心（CERT/CC）披露了一个尚未修补的安全漏洞，影响 TOTOLINK EX200 无线中继器。该漏洞可让已远程通过身份验证的攻击者直接获得设备完整控制权。 漏洞编号 CVE-2025-65606（CVSS 评分暂缺），成因在于固件上传环节的错误处理逻辑缺陷：当触发特定错误时，设备会意外启动一个无需任何认证的 root 级 Telnet 服务。漏洞发现者 Leandro Kogan 已向 CERT/CC 报告此问题。 CERT/CC 指出：“已登录管理界面的攻击者可通过构造畸形固件包，令固件上传处理程序进入异常错误状态，从而在设备上启动无认证的 root Telnet 服务，获得完整系统权限。” 成功利用该漏洞的前提，是攻击者必须先取得 Web 管理界面的合法身份，才能使用固件上传功能。 CERT/CC 解释称，当固件上传模块解析到特定格式错误的固件文件时，会进入“异常错误状态”，随即以 root 权限拉起 Telnet 服务且不做任何身份校验。这条意料之外的远程管理通道可被用来劫持受影响设备，进而篡改配置、执行任意命令或植入持久化后门。 截至目前，TOTOLINK 尚未发布任何补丁，且该产品已处于停止维护状态。TOTOLINK 官网显示，EX200 最后一次固件更新停留在 2023 年 2 月。 在官方修复方案出炉前，CERT/CC 建议用户： 仅允许受信任网络访问管理界面 禁止未授权用户登录设备后台 持续监控异常活动 尽快更换为仍在支持列表的新型号设备 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MongoDB 披露了一个高危安全漏洞，可能允许未认证用户读取未初始化的堆内存。 该漏洞编号为 CVE-2025-14847（CVSS 评分：8.7），被描述为“长度参数不一致处理不当”的问题。当程序未能正确处理长度字段与实际数据长度不一致的情况时，就会触发该漏洞。 根据 CVE.org 的描述：“Zlib 压缩协议头中的长度字段不匹配，可能允许未认证客户端读取未初始化的堆内存。” 受影响的数据库版本包括： MongoDB 8.2.0 至 8.2.3 MongoDB 8.0.0 至 8.0.16 MongoDB 7.0.0 至 7.0.26 MongoDB 6.0.0 至 6.0.26 MongoDB 5.0.0 至 5.0.31 MongoDB 4.4.0 至 4.4.29 所有 MongoDB Server v4.2 版本 所有 MongoDB Server v4.0 版本 所有 MongoDB Server v3.6 版本 该问题已在以下 MongoDB 版本中得到修复： 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 MongoDB 官方表示：“攻击者可在未认证的情况下，通过客户端利用服务器的 zlib 实现，返回未初始化的堆内存。我们强烈建议尽快升级至已修复版本。” 如果无法立即更新，建议通过启动 mongod 或 mongos 时设置 networkMessageCompressors 或 net.compression.compressors 参数，显式排除 zlib 来禁用 MongoDB 服务器的 zlib 压缩。MongoDB 支持的替代压缩算法包括 snappy 和 zstd。 安全公司 OP Innovate 指出：“CVE-2025-14847 允许远程、未认证的攻击者触发 MongoDB 服务器返回其堆中的未初始化内存。这可能导致敏感内存数据泄露，包括内部状态信息、指针或其他有助于进一步攻击的数据。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 本周三表示，在特定配置下，已观察到五年前披露的一个 FortiOS SSL VPN 安全缺陷（CVE-2020-12812）被“近期滥用”。该漏洞评分 5.2，属于认证不当：若登录时改变用户名大小写，可在启用 2FA 的情况下跳过第二因素验证。 Fortinet 早在 2020 年 7 月就解释过：当用户本地启用 2FA，且认证类型指向远程 LDAP 时，本地与远程对大小写敏感度不一致，即可触发绕过。该漏洞随后被多家威胁组织利用，美国政府也在 2021 年将其列入“边界设备被武器化漏洞”清单。 2025 年 12 月 24 日，Fortinet 更新公告，给出精确触发条件： 1. FortiGate 上存在引用 LDAP 并启用 2FA 的本地用户条目； 2. 这些用户同时是 LDAP 服务器某组成员； 3. FortiGate 配置了对应 LDAP 组，并把它用在管理、SSL 或 IPsec VPN 等认证策略中。 一旦满足，LDAP 用户即可绕过 2FA，直接走 LDAP 完成登录。原因在于 FortiGate 把用户名当大小写敏感，而 LDAP 不区分。若用户用 “Jsmith”“jSmith” 等非完全匹配的大小写形式登录，FortiGate 找不到本地条目，就会按其他策略继续匹配，最终落到 LDAP 组，凭正确密码即可成功，无视本地 2FA 或禁用状态。 Fortinet 已在 2020 年 7 月发布 6.0.10、6.2.4、6.4.1 修复。若无法升级，可为所有本地账户执行： set username-case-sensitivity disable 对于 6.0.13、6.2.10、6.4.7、7.0.1 及更高版本，应使用： set username-sensitivity disable 关闭后，FortiGate 会把所有大小写形式视为同一用户，避免回落到错误配置的 LDAP 组。进一步缓解可删除不必要的 LDAP 组，彻底阻断攻击路径。 新公告未透露攻击细节或是否得手，仅建议客户如发现管理员或 VPN 用户未经 2FA 成功登录，立即联系支持并重置全部凭据。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）已将影响 Digiever DS-2105 Pro 网络硬盘录像机（NVR）的安全漏洞（CVE-2023-52163，CVSS 8.8）列入“已知被利用漏洞”目录，并指出已有活跃攻击证据。 该漏洞属于命令注入类，可在认证后实现远程代码执行。CISA 公告称：“Digiever DS-2105 Pro 存在缺失授权漏洞，攻击者可通过 time_tzsetup.cgi 注入命令。” Akamai 与 Fortinet 的多份报告显示，该漏洞已被用于投递 Mirai、ShadowV2 等僵尸网络。TXOne Research 安全研究员颜达伦指出，由于设备已进入生命周期终止（EoL）状态，CVE-2023-52163 及其伴随的任意文件读取漏洞（CVE-2023-52164，CVSS 5.1）均未获得官方补丁。 成功利用需先登录设备并发送特制请求。在补丁缺失的情况下，用户应避免将设备暴露于互联网，并立即修改默认口令。 CISA 同时要求联邦文职行政机构（FCEB）在 2025 年 1 月 12 日前采取缓解措施或停用该产品，以抵御持续威胁。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文