HackerNews 编译，转载请注明出处： 爱尔兰一名高级官员本周表示，爱尔兰政府计划起草一项立法，使执法部门使用间谍软件合法化。 爱尔兰司法、内政与移民事务部长吉姆·奥卡拉汉于周二表示，爱尔兰有必要加强“合法拦截权”，并“为使用隐蔽监视软件建立法律依据”，以更有效地打击严重犯罪与安全威胁。 公告称，该法案将要求所有的拦截请求必须获得法院授权。 根据公告，该法律还将包含一项条款，允许使用电子扫描设备，这类设备可精确定位并记录移动设备的识别数据，从而将其追踪至特定区域。 奥卡拉汉在声明中表示：“新立法还将包含有力的法律保障措施，以持续确保这些权力的使用是必要且适度的。” 公告指出，司法部将与爱尔兰总检察长办公室及其他国家机构合作，共同制定该法律框架。 奥卡拉汉称这项计划中的立法“早该出台”。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，英国政府罕见地公开承认，其多年来对政府系统网络安全的管理方式存在根本缺陷，并坦言“到2030年让所有政府机构免受已知网络漏洞与攻击手段影响”的原定目标已不可能实现。 这份由科学、创新与技术部（DSIT）提交给议会的《政府网络行动计划》被视为一次重大政策重置。文件直言，现行问责机制使英国政府“从中央到地方、再到供应链”普遍暴露在攻击风险之下，责任归属“各级都不清晰”。 “为保护关键国家基础设施、捍卫公共机构并维持民众对核心服务的信任，我们必须彻底改变做法、显著加快节奏。”行动计划写道。文件警告，尽管多年投入，公共部门面临的网络风险仍“极高”，且“绝非假设，而是反复出现的现实”，例如导致至少一名患者死亡的 Synnovis 勒索软件事件，就是系统性失灵的缩影。 一、设立“政府网络部队” 新路线摒弃过去“只发指导性建议、无强制力”的模式，转向集中化、强制性管理。2026 年底前将组建“政府网络部队”（Government Cyber Unit），统一制定政策方向、协调落地并作为唯一问责主体。 重大事件响应也将集中化：定期举行跨政府演习，提升大规模中断的应对能力。 面向政府的战略供应商，合同中将写入更严格的网络安全条款，以堵住第三方风险。 二、人才与薪酬 2023 年一份被嘲“薪水过低”的招聘广告让政府饱受诟病。此次官方同步推出“政府网络职业体系”，希望吸引并留住顶尖人才。 皇家联合军种研究院（RUSI）网络研究员 Joe Jarnecki 认为，这能提高岗位吸引力，“但政府永远给不出私营企业的价码”。他质疑：“既然是内部战略，为何公开？透明度值得欢迎，可受众到底是谁？” 三、立法层面 同一天，《网络安全与韧性法案》（CSRB）迎来二读。批评者担心该法案对私营关键服务设下重罚，却给公共部门留“后门”，形成“双轨制”。 RUSI 研究员 Jamie MacColl 指出，欧盟 NIS2 指令把公共部门一并纳入，而英国 CSRB 目前并未做到；行动计划此时发布，正是为了缓解这类批评。 文件承诺“让高级官员对网络结果负责，而非把安全当成纯技术问题”，但未写明若做不到将如何处罚。MacColl 直言：“我没看到任何有牙齿的执行机制。” 四、失败根源：老旧 IT + 资金缺口 行动计划承认，政府防御能力远落后于威胁升级速度。GCHQ 局长去年警告，国家正面临几十年来最“复杂拥挤”的威胁环境，攻击量一年增长四倍。 全国审计署（NAO）早已指出，各部门依赖的遗留系统“难以甚至无法达到现代安全标准”。数十年投资不足，使“技术债”越滚越大。 新计划并不打算一次性替换所有老旧资产，而是先建立“关键数字资产清单”，摸清家底与漏洞。 MacColl 总结：“最大的潜台词是钱。NAO 报告说得直白——IT 预算缺口不补，光靠一份网络行动计划无法根治。没有额外资金，内阁办公室或 DSIT 能推动的幅度终究有限。” 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在Python包索引（PyPI）仓库中发现两个新的恶意软件包，其设计目的是在Windows系统上投放名为“SilentSync”的远程访问木马。 Zscaler威胁实验室研究员玛尼莎·拉姆查兰·普拉贾帕蒂和萨蒂亚姆·辛格表示：“该木马具备远程命令执行、文件窃取和屏幕截图捕获能力，还能从Chrome、Brave、Edge和Firefox等浏览器提取凭据、历史记录、自动填充数据和cookie等浏览器数据。” 这两个目前已从PyPI下架的软件包由用户“CondeTGAPIS”上传，具体信息如下： sisaws (201次下载) secmeasure (627次下载) Zscaler指出，sisaws包模仿了阿根廷国家卫生信息系统Sistema Integrado de Información Sanitario Argentino（SISA）官方Python包sisa的行为。该库中包含一个位于初始化脚本（init.py）中的“gen_token()”函数，其功能是下载下一阶段恶意软件。该函数会发送硬编码令牌作为输入，并以类似合法SISA API的方式接收二级静态令牌响应。 “当开发者导入sisaws包并调用gen_token函数时，代码将解码一个包含curl命令的十六进制字符串，该命令用于获取额外Python脚本。从PasteBin获取的Python脚本会以helper.py为名写入临时目录并执行。” 同样地，secmeasure包伪装成“用于字符串清理和安全措施应用的库”，但暗藏投放SilentSync远控木马的功能。虽然该木马主要针对Windows系统，但同样具备Linux和macOS系统感染能力——在Windows上修改注册表、在Linux上修改crontab文件实现开机自启动、在macOS上注册LaunchAgent。 该软件包依赖二级令牌向硬编码端点(“200.58.107[.]25”)发送HTTP GET请求以获取内存中直接执行的Python代码。其服务器支持四个不同端点： /checkin：验证连接 /comando：请求执行命令 /respuesta：发送状态消息 /archivo：发送命令输出或窃取数据 该恶意软件能窃取浏览器数据、执行shell命令、捕获屏幕截图、窃取文件，还能以ZIP压缩包形式泄露整个目录文件。数据传输完成后，所有痕迹都会从主机删除以规避检测。 Zscaler强调：“恶意包sisaws和secmeasure的发现，揭示了公共软件仓库中软件供应链攻击风险的日益增长。通过利用拼写错误和仿冒合法软件包，威胁行为者能够获取个人身份信息（PII）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约州发布了一系列针对全州供水和废水处理系统的网络安全法规提案。 州长凯茜·霍楚（Kathy Hochul）在7月22日的公开声明中宣布了这些提案。提案包含由纽约州卫生部（DOH）和纽约州环境保护部（DEC）分别制定的、针对水务管理公司的运营技术（OT）安全要求。 同时，纽约州公共服务部（DPS）发布了针对自来水公司、其他公用事业公司及有线电视公司的信息技术安全法规提案。 这些现已开放公众评议的拟议规则，旨在加强关键水务系统的网络弹性，以应对该领域日益增多的攻击。 各机构共同努力，协调统一了每套要求中的定义和条款，并尽量减少重复和冲突的规则。 这些法规旨在与包括美国环境保护署（EPA）和网络安全与基础设施安全局（CISA）在内的联邦机构发布的相关指南保持一致。 除法规外，环境设施公司（EFC）将建立一个新的资助项目，并为保障水务系统安全提供技术援助。 霍楚州长评论道：“针对关键基础设施的网络攻击可能对社区造成毁灭性影响，我们必须立即行动起来，以应对其他关键领域同样的紧迫性和严谨性来保卫我们的供水和废水处理系统。”她接着说：“这些新法规和资助项目反映了我们的承诺，即在帮助资源不足的实体实现现代化的同时，保护公众健康和安全。” 公众可在以下截止日期前提交评议：DEC的评议期至2025年9月3日，DOH至9月14日，DPS至9月14日。 一旦采用，受监管实体须在2027年1月1日前遵守DEC和DOH的法规，并在2026年1月1日前遵守公共服务委员会（PSC）的法规。 新要求内容概要 卫生部 (DOH) DOH规则适用于服务超过3300人的社区供水系统，其中对服务5万人的系统有特定条款。 提案包括建立网络安全漏洞分析的要求。 规则还概述了网络安全计划的基线要求。该计划必须能够履行监管报告要求、提供身份验证和访问管理、维护网络资产清单以及监控和记录网络活动等功能。 所有适用的供水系统必须制定网络安全事件响应计划，并在事件发生后24小时内向DOH报告。此外，相关人员必须每三年至少接受一小时的网络安全培训。 环境保护部 (DEC) DEC条款适用于全州的废水处理设施。它们包含多项基线网络安全控制措施，包括符合最小权限原则的访问控制和身份验证程序。 其他控制措施涉及密码安全、多因素认证（MFA）以及实施网络安全漏洞管理流程。 废水处理设施还必须将OT系统与IT系统分离。 必须制定事件响应计划，在24小时内口头向区域水务工程师报告事件，并在30天内提交书面报告。 公共服务部 (DPS) DPS规则适用于所有服务5万或以上客户的公用事业公司和有线电视公司。 这些组织必须制定网络安全政策，该政策应实施数据屏蔽、多因素认证（MFA）和访问控制等措施，并包含应对网络攻击和从中恢复的计划。 此外，受监管实体必须聘用一名首席信息安全官（CISO），由其每年向公司领导层报告网络安全准备状况。 水务领域威胁上升 专家近年来强调了水务领域日益增长的网络安全风险，威胁范围涵盖出于经济动机的组织到国家支持组织的破坏性攻击。 Semperis在2025年4月的一份报告发现，过去一年中，超过五分之三的美国和英国水电企业成为网络攻击的目标，其中大多数遭受了严重干扰。 2024年8月，美国政府问责署（GAO）敦促环境保护署（EPA）解决供水和废水处理系统面临的网络风险。GAO强调了该领域存在的重大安全风险，包括普遍存在的难以更新网络安全防护的老旧技术，以及OT与IT系统之间日益增长的连接性。 影响供水服务的重大事件包括2024年10月对泽西岛运营商American Water的攻击，该攻击扰乱了计费系统。 2024年9月，堪萨斯州阿肯色城报告其水处理设施遭遇网络安全事件，促使该设施暂时切换为手动操作模式。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 你是否曾在工作时点击过钓鱼链接？如果有，那么你可能会犯下更多网络安全错误，而你的雇主应当采取“正确干预措施”。最新数据显示，仅一小部分员工造成了绝大多数的网络安全风险行为。 根据人力风险管理平台Living Security的报告，仅10%的员工将导致近四分之三（73%）的网络安全风险。该公司的数据来源于100多家企业和数亿用户事件。 Living Security首席执行官兼联合创始人阿什利·罗斯（Ashley Rose）在新闻稿中表示：“安全团队始终清楚人为因素在安全漏洞中的关键作用，但过去缺乏采取行动的可视化依据。网络安全已不仅是技术问题，更是行为问题。”世界经济论坛此前估计，95%的网络安全问题可追溯至人为失误。 Living Security详细说明，采用“正确干预措施”的企业可将高风险用户数量减少50%，并将高风险行为的持续时间缩短60%。该公司将其平台定位为风险评估和针对性培训工具，聚焦于教育与行为改进。报告中指出：“显然，2025年保护企业的关键在于管理人而不仅是系统。”建议通过数据驱动的行动计划来削减高风险用户群体。 关键发现： 极少数员工（超过1%）触发了其所在组织的大部分安全警报，这意味着不存在“通过改造或解雇单个人就能解决”人为风险问题的可能。 10%的员工将导致： 超过75%的数据丢失事件 超过65%的恶意软件威胁 超过50%的钓鱼邮件、身份验证及访问相关事件 由Cyentia Institute进行的该研究还发现，与普遍认知相反，远程和兼职员工的实际风险低于办公室员工。报告指出：“承包商和远程员工常被视为安全隐患，但其实际风险低于整体平均水平（灰色菱形标识）。就承包商而言，他们更警惕的表现可能源于诸如强制要求所有访问启用多因素认证（MFA），以及必须完成培训以维持有效状态等政策。”此外，五分之四的员工实际上对风险防控的贡献大于其引发的风险。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fitify公开可访问的谷歌云存储桶暴露了数十万个文件。其中部分文件是用户上传的进度照片，用于追踪身体随时间的变化。在Cybernews联系该公司后，未受保护的实例被关闭。 5月初，Cybernews研究团队发现了一个Fitify拥有且公开可访问的谷歌云存储桶。虽然该未受保护实例中暴露的大部分文件是锻炼计划和指导视频，但研究人员也注意到用户与应用的“AI教练”分享的照片以及他们的身体扫描图。 该应用的目标用户是希望减肥、塑形或以其他方式改善体态的人群。身体扫描允许用户根据健身计划锻炼或节食后追踪身体随时间的变化。Fitify在Google应用商店的描述中明确声明“数据在传输中加密”，向用户保证他们的私人照片不会被泄露。 然而，Cybernews团队或任何其他人，无需任何密码或安全密钥即可访问该云存储。 “值得注意的是，‘进度照片’和‘身体扫描’通常穿着较少的衣物拍摄，以便更好地展示减肥和增肌的进展。因此，大多数泄露的图像可能是用户通常希望保持私密、不与互联网上任何人分享的类型。”研究团队表示。 Fitify Workouts（该应用背后的公司）在收到Cybernews研究人员的联系后作出回应，关闭了暴露的实例，将其从公开访问中移除。 Fitify数据泄露的范围有多大？ 现已关闭的谷歌云存储桶总共包含37.3万个文件。其中20.6万是用户个人资料照片，另有13.8万被标记为进度照片。1.3万个文件是通过应用AI教练消息附件共享的，还有6000个被标记为“身体扫描”数据，包括图片和AI元数据。 身体扫描功能允许用户进行身体的3D扫描，应用会提供其瘦体重、体脂、姿势及其他他们可能希望改善或追踪方面的详细分析。 “此次泄露表明，应用实施的数据访问控制不足以保护用户数据，而该数据无需任何密码或密钥即可被访问的事实，证明用户数据在静态时未加密。”研究团队解释道。 在发现暴露的实例后，研究人员交叉核对了Fitify的名称是否包含在他们用来调查苹果应用商店应用实际安全性的随机选取数据集中。 Cybernews研究人员下载了15.6万个iOS应用（约占苹果应用商店所有应用的8%），发现开发者经常在应用代码中留下任何人都可访问的明文凭证。 调查结果显示，71%的被分析应用至少泄露一个机密凭证，平均每个应用代码暴露5.2个机密凭证。事实证明，Fitify也不例外。 “在调查了暴露的凭证后，我们发现了可能用于访问更多客户数据和应用后端基础设施的凭证。”该团队解释道。 “这也表明，配置错误的云存储桶访问控制并非应用开发者的唯一失误，因为许多API密钥和敏感端点位置也被硬编码在应用前端中。” Fitify应用暴露了哪些硬编码机密凭证？ 开发者硬编码机密凭证有多种原因。虽然有时是应用正常运行所必需的，但某些凭证和密钥不应保持可访问状态，因为它们会让攻击者深入应用内部，并可能访问私人用户数据。 研究团队注意到开发环境和生产环境之间存在不同类型的机密凭证。Fitify的开发环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) 攻击者可以利用ID和密钥访问谷歌和Firebase基础设施组件，收集信息，然后深入挖掘应用，可能获取敏感用户数据。 例如，暴露谷歌客户端ID和安卓客户端ID可能使恶意行为者能够冒充合法的应用实例，从而可能获得用户账户的访问权限。同时，存储桶可能使攻击者能够注入恶意文件或修改现有内容。 与此同时，Fitify的生产环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) Facebook应用ID (Facebook App ID) Facebook客户端令牌 (Facebook Client Token) Firebase动态自定义域名 (Firebase Dynamic Custom Domains) Algolia API密钥 (Algolia API Key) 结合先前泄露的信息，硬编码的凭证可能使攻击者能够通过Fitify访问用户的社交媒体数据。与谷歌凭证结合使用，这为影响健身数据和社交媒体档案的多种攻击场景创造了多个攻击途径。 该团队声称，虽然Fitify在解释他们使用的第三方供应商及其用途方面比大多数应用做得更好，但其隐私政策并未提及使用Algolia。 “Algolia仅以软件即服务（SaaS）模式提供，没有自托管选项，这意味着数据库中的数据由Algolia或其第三方供应商托管。”研究人员表示。 如何修复易泄露的应用？ 我们的研究人员认为，要有效缓解此问题，最好分别处理暴露的实例和硬编码的凭证。为了解决云存储桶相关问题，团队建议： 配置云存储桶内置的身份验证功能，将访问权限限制在仅限应访问存储数据的员工和系统。 同时，为防止应用机密凭证落入错误的人手中，团队建议采取以下措施： 泄露的凭证需要撤销，新凭证应在公司控制的服务器内安全地生成和存储，需要对暴露端点的访问控制设置进行审查，并建议执行审计以确定这些漏洞和错误配置是否已被恶意行为者利用。应用需要更新以兼容新的、更安全的基础设施。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）宣布启动全新漏洞研究计划（VRI），旨在强化与外部网络安全专家的协作关系。该机构虽持续开展内部技术漏洞研究，但VRI计划将建立并行机制，加速关键漏洞发现的共享进程。 作为英国核心网络安全机构，NCSC承担着保护国家关键基础设施、政府系统、企业及公民网络安全的职责，日常通过发布威胁警报、安全指南、事件响应支持及国际协作履行使命。 VRI计划将构建NCSC与外部研究员的系统化合作框架，以提升英国在软硬件漏洞识别与分析领域的能力。官方声明指出：“VRI计划旨在通过顶尖外部研究力量，深化对关键技术的安全认知。”参与合作的研究员需完成三项核心任务： 定向漏洞挖掘：针对特定产品识别安全缺陷 防护机制评估：测试现有防护方案有效性 合规披露流程：通过“公平披露程序”提交漏洞 此外，参与者需向NCSC提交漏洞挖掘工具与方法论文档，协助建立高效研究实践框架。该计划特别关注人工智能驱动的漏洞挖掘等新兴领域，邀请具备相关技能的研究员通过vri@ncsc.gov.uk邮箱提交专业背景资料（注：完整漏洞报告需通过专用门户提交）。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份认证服务商Okta警告称，注册欺诈已达到“惊人”的规模，并声称在2024年，高达46%的客户注册尝试是由机器人发起的。 Okta在其《2025年客户身份趋势报告》中披露了这些数据。该报告基于对全球6750名消费者的调查以及其Auth0平台上的运营遥测数据编写而成。 Okta表示，注册欺诈尝试的激增逆转了近期下降的趋势，这可能是由AI赋能的攻击流程导致的。 “今年的结果凸显了AI如何挑战我们信任数字交互真实性的能力，” Okta EMEA首席安全官Stephen McDermid表示。“我们正在进入一个时代，在这个时代里，我们不仅必须问‘谁’值得信任，更要问‘什么’才能真正信任。这个新的攻击面要求我们为AI时代构建一个安全的基础，从静态策略转向动态策略，并将身份置于核心位置。” 报告指出，欺诈尝试在全年波动显著，在4月6日飙升至近93%，而在2月29日则低至14%。不过，在其他任何一天，该数字都没有低于30%。 零售和电子商务公司受到的打击最为严重，占2024年注册欺诈尝试的69%，其次是金融服务(64%)、能源/公用事业(56%)和制造业(54%)。Okta表示，零售商和金融服务机构提供的注册激励和会员专属优惠可能吸引了欺诈者的关注。 然而，Okta警告称，注册欺诈不仅消耗此类注册奖励。它还可能使网络犯罪分子能够发现现有用户账户，利用沉淀账户在日后绕过安全控制，甚至通过消耗资源来执行拒绝服务(DoS)攻击。 企业面临的挑战在于，如何在加强身份认证安全的同时，不过度增加注册过程的摩擦。 报告还揭示了一个矛盾现象：尽管64%的用户表示担心身份欺诈，72%的用户在注册前会评估公司的安全措施，但仍有近四分之一的用户“总是”或“经常”因注册或登录流程问题而放弃在线购买。填写冗长的登录/注册表单（62%）最常被用户视为注册或登录过程中的烦恼来源。 如何应对暴力破解攻击？ Okta敦促企业采取以下措施来反击此类机器人驱动的欺诈尝试： 投资于DDoS缓解服务； 部署基于行为分析、威胁情报和反馈循环的机器人过滤技术； 实施速率限制控制； 在达到风险阈值时增加验证码(CAPTCHA)要求； 收紧可疑IP阈值，并实施访问控制列表(ACL)以阻止滥用IP； 在边缘使用Web应用防火墙(WAF)规则拦截恶意活动； 鼓励客户使用通行密钥(passkey)进行注册。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技(Trend Micro)已发布安全更新，修复其Apex Central和端点加密策略服务器(TMEE PolicyServer)产品中的多个高危远程代码执行（RCE）及认证绕过漏洞。该安全厂商强调，目前未发现任何漏洞在野利用证据，但仍建议立即应用更新以规避风险。 一、受影响产品及漏洞详情 1. 端点加密策略服务器(TMEE PolicyServer) 该产品为企业级加密管理平台，为受监管行业提供全磁盘加密及移动介质加密服务。此次修复的关键漏洞包括： CVE-2025-49212 认证前RCE漏洞，因PolicyValueTableSerializationBinder类的不安全反序列化引发。攻击者无需登录即可以SYSTEM权限执行任意代码。 CVE-2025-49213 认证前RCE漏洞，源于PolicyServerWindowsService类对不可信数据的反序列化。攻击者无需认证即可获得SYSTEM权限。 CVE-2025-49216 认证绕过漏洞，因DbAppDomain服务的身份验证机制缺陷所致。攻击者可完全绕过登录流程执行管理员级操作。 CVE-2025-49217 认证前RCE漏洞（ZDI评估为高危），由ValidateToken方法的不安全反序列化触发，攻击者仍可以SYSTEM权限运行代码。 此次更新还修复了4个高危漏洞（含SQL注入及权限提升问题）。所有漏洞影响6.0.0.4013之前所有版本，且无临时缓解措施。 2. 集中安全管理平台(Apex Central) 该产品用于统一监控和管理企业内多款趋势科技产品。修复的2个关键RCE漏洞为： CVE-2025-49219 认证前RCE漏洞（CVSS 9.8），因GetReportDetailView方法的不安全反序列化，攻击者无需认证即可在NETWORK SERVICE权限下执行代码。 CVE-2025-49220 认证前RCE漏洞（CVSS 9.8），由ConvertFromJson方法反序列化时的输入验证缺陷导致，攻击者可远程执行任意代码。 二、修复方案 TMEE PolicyServer：升级至版本6.0.0.4013（Patch 1 Update 6） Apex Central 2019（本地版）：应用补丁B7007 Apex Central（云服务版）：漏洞修复已自动完成 三、背景关联 此次漏洞集中于反序列化机制缺陷，与此前趋势科技产品漏洞（如2023年Apex Central的SQL注入漏洞CVE-2023-32529）存在相似攻击面。企业需警惕此类漏洞在供应链攻击中的串联风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现Salesforce行业云（Salesforce Industries）存在20多项配置相关风险，可能导致敏感数据被未授权的内外部人员获取。这些缺陷影响FlexCards、数据映射器、集成程序（IProcs）、数据包、OmniOut及OmniScript会话存储等多个组件。 “Salesforce行业云等低代码平台虽简化了应用构建流程，但若忽视安全则可能付出代价。”AppOmni SaaS安全研究主管Aaron Costello向The Hacker News表示。这些配置疏漏若未修复，将允许攻击者访问加密的员工与客户机密数据、用户交互会话记录、Salesforce及其他系统的凭证，以及核心业务逻辑。 经负责任披露后，Salesforce已修复其中3项缺陷，并为另外2项发布配置指南，其余16项需客户自行修复。已分配CVE编号的漏洞包括： CVE-2025-43697（CVSS评分：暂无）：若未启用“Extract”和“Turbo Extract数据映射器”的字段级安全检查，将绕过“查看加密数据”权限验证，导致加密字段明文泄露 CVE-2025-43698（CVSS评分：暂无）：SOQL数据源获取数据时绕过所有字段级安全控制 CVE-2025-43699（CVSS评分5.3）：FlexCard未强制执行OmniUlCard对象的“必需权限”字段 CVE-2025-43700（CVSS评分7.5）：FlexCard未验证“查看加密数据”权限，返回经典加密字段的明文值 CVE-2025-43701（CVSS评分7.5）：FlexCard允许访客用户访问自定义设置值 攻击者可利用这些漏洞绕过安全控制窃取关键信息。AppOmni指出，CVE-2025-43967和CVE-2025-43698已通过新增的“EnforceDMFLSAndDataEncryption”安全设置修复，客户启用后能确保仅具权限用户可查看数据映射器返回的明文。 “对于需遵守HIPAA、GDPR等合规要求的企业，这些漏洞构成实质性监管风险，”该公司警告，“由于安全配置责任在客户方，单点配置失误可能导致数千条记录泄露，且供应商不承担责任。” Salesforce发言人回应称多数问题“源于客户配置问题”，非应用固有漏洞。“所有问题均已解决，补丁已推送客户，官方文档同步更新。目前未发现相关漏洞在客户环境中的利用证据。” 与此同时，安全研究员Tobia Righi（代号MasterSplinter）披露了未分配CVE编号的SOQL注入漏洞。该零日漏洞存在于所有Salesforce部署的默认Aura控制器中，攻击者通过操控“contentDocumentId”参数注入恶意SOQL语句，可窃取敏感用户数据。结合公开的ID暴力破解脚本（利用Salesforce ID可预测性），攻击者还能获取非公开文档信息。 Salesforce确认：“收到报告后已及时修复该漏洞，未观察到利用迹象。我们感谢Tobia的负责任披露，并持续鼓励通过官方渠道报告安全问题。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文