HackerNews 编译，转载请注明出处： TP-Link 已针对旗下 Archer BE230 Wi-Fi 7 路由器发布紧急固件更新，修复多款高危安全漏洞. 这些漏洞可使经过身份验证的攻击者执行任意操作系统（OS）命令，从而完全掌控设备管理权。 受影响的设备为 Archer BE230 v1.2 型号，其固件版本早于 1.2.4 Build 20251218 rel.70420。漏洞涉及 VPN 模块、云通信服务及配置备份功能等多个系统组件。 TP-Link OS命令注入漏洞分析 所有相关CVE漏洞的核心均为操作系统命令注入问题。该类漏洞的成因在于，应用程序将未经安全处理的用户输入数据（如表单数据、Cookie 或 HTTP 头）直接传递至系统 shell 执行。 具体而言，已获取高权限（即通过认证）的攻击者能够注入恶意命令，并由路由器以 root 权限执行。尽管攻击复杂度被评定为较低（AC:L），但其利用前提是攻击者需具备高权限（PR:H）。 然而，若攻击者已通过弱密码或会话劫持等方式获得初步管理员权限，便可利用这些漏洞实现权限升级，从基础管理访问跃升至对设备底层操作系统的完全控制。 尽管这些漏洞造成的最终影响相似，但它们源自不同的代码路径（具体CVE编号如下表所示）。成功利用后，攻击者能够篡改路由器配置、拦截网络流量、中断服务，甚至将受控设备作为跳板，攻击网络内的其他设备。 为应对威胁，TP-Link 已发布修复固件。网络管理员及用户务必立即更新设备固件。 用户可访问对应区域（美国、国际英文或新加坡）的 TP-Link 官方支持页面下载最新固件。如未能及时安装更新，网络基础设施将面临被攻陷的风险。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom 已修复一个严重安全漏洞（编号 CVE-2026-22844），该漏洞可能导致远程代码执行。 云端视频会议与在线协作平台 Zoom 发布了安全更新，修复了多个漏洞，其中包括存在于 Zoom Node 多媒体路由器中的命令注入漏洞。该漏洞编号为 CVE-2026-22844，CVSS 评分高达 9.9，攻击者可借此在远程执行任意代码。 Zoom 在安全公告中表示： “在 5.2.1716.0 版本之前的 Zoom Node 多媒体路由器（MMR）中存在一项命令注入漏洞，可能允许会议参与者通过网络访问对 MMR 执行远程代码。使用 Zoom Node Meetings Hybrid 或 Meeting Connector 部署的客户，建议其管理员尽快更新至最新可用的 MMR 版本。” 该漏洞由 Zoom 攻防安全团队发现。 受影响产品 该漏洞影响以下产品版本： Node Meeting Connector（MC） 的 MMR 模块 版本 低于 5.2.1716.0 Node Meetings Hybrid（ZMH） 的 MMR 模块 版本 低于 5.2.1716.0 Zoom 表示，目前尚未发现该漏洞在现实环境中被利用的迹象。 相关历史漏洞 2025 年 8 月，Zoom 曾修复另一个严重安全漏洞 CVE-2025-49457（CVSS 评分 9.6），该漏洞存在于 Windows 版 Zoom 客户端中。 攻击者可在无需身份验证的情况下，通过网络访问方式利用该漏洞实现权限提升。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了影响开源自托管平台 Coolify 的多个高危安全漏洞的详细信息，这些漏洞可能导致身份验证绕过和远程代码执行。 漏洞列表如下： CVE-2025-66209 (CVSS评分: 10.0) – 数据库备份功能中的命令注入漏洞，允许任何具有数据库备份权限的已认证用户在主机服务器上执行任意命令，导致容器逃逸和服务器完全被入侵。 CVE-2025-66210 (CVSS评分: 10.0) – 数据库导入功能中的已认证命令注入漏洞，允许攻击者在受管理的服务器上执行任意命令，导致整个基础设施被入侵。 CVE-2025-66211 (CVSS评分: 10.0) – PostgreSQL 初始化脚本管理中的命令注入漏洞，允许具有数据库权限的已认证用户在服务器上以 root 身份执行任意命令。 CVE-2025-66212 (CVSS评分: 10.0) – 动态代理配置功能中的已认证命令注入漏洞，允许具有服务器管理权限的用户在受管理的服务器上以 root 身份执行任意命令。 CVE-2025-66213 (CVSS评分: 10.0) – 文件存储目录挂载功能中的已认证命令注入漏洞，允许具有应用/服务管理权限的用户在受管理的服务器上以 root 身份执行任意命令。 CVE-2025-64419 (CVSS评分: 9.7) – 通过 docker-compose.yaml 触发的命令注入漏洞，使攻击者能在 Coolify 实例上以 root 身份执行任意系统命令。 CVE-2025-64420 (CVSS评分: 10.0) – 信息泄露漏洞，允许低权限用户查看 Coolify 实例上 root 用户的私钥，从而通过 SSH 获得对服务器的未授权访问，并使用该密钥以 root 用户身份进行身份验证。 CVE-2025-64424 (CVSS评分: 9.4) – 在某个资源的 Git 源代码输入字段中发现命令注入漏洞，允许低权限用户（成员）在 Coolify 实例上以 root 身份执行系统命令。 CVE-2025-59156 (CVSS评分: 9.4) – 操作系统命令注入漏洞，允许低权限用户注入任意 Docker Compose 指令，并在底层主机上实现 root 级别的命令执行。 CVE-2025-59157 (CVSS评分: 10.0) – 操作系统命令注入漏洞，允许普通用户在部署期间通过 Git 仓库字段注入在底层服务器上执行的任意 shell 命令。 CVE-2025-59158 (CVSS评分: 9.4) – 对数据的不当编码或转义，允许具有低权限的已认证用户在项目创建期间发起存储型跨站脚本（XSS）攻击，当管理员稍后尝试删除该项目或其关联资源时，该攻击会在浏览器上下文中自动执行。 以下版本受这些缺陷影响： CVE-2025-66209, CVE-2025-66210, CVE-2025-66211 – <= 4.0.0-beta.448 （已在 >= 4.0.0-beta.451 中修复） CVE-2025-66212, CVE-2025-66213 – <= 4.0.0-beta.450 （已在 >= 4.0.0-beta.451 中修复） CVE-2025-64419 – < 4.0.0-beta.436 （已在 >= 4.0.0-beta.445 中修复） CVE-2025-64420, CVE-2025-64424 – <= 4.0.0-beta.434 （修复状态不明） CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 – <= 4.0.0-beta.420.6 （已在 4.0.0-beta.420.7 中修复） 根据攻击面管理平台 Censys 的数据，截至 2026 年 1 月 8 日，约有 52,890 个暴露在外的 Coolify 主机，其中大部分位于德国（15,000 个）、美国（9,800 个）、法国（8,000 个）、巴西（4,200 个）和芬兰（3,400 个）。 虽然没有迹象表明这些漏洞在野外被利用，但鉴于其严重性，用户必须尽快应用修复措施。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本网络安全应急响应中心（JPCERT/CC）本周发布警报称，Array Networks AG 系列安全接入网关存在的命令注入漏洞，自 2025 年 8 月起已被黑客在实际攻击中利用。 该漏洞暂未分配 CVE 编号，Array 公司已于 2025 年 5 月 11 日推出修复方案。漏洞根源在于 Array 的远程桌面访问解决方案 DesktopDirect，该功能允许用户从任意位置安全访问工作电脑。 JPCERT/CC 表示：“利用此漏洞，攻击者可执行任意命令。启用了提供远程桌面访问的‘DesktopDirect’功能的系统，均会受到该漏洞影响。” 该机构透露，已确认日本境内有多起相关攻击事件。攻击者自 2025 年 8 月起利用该漏洞，向易受攻击的设备植入网页后门，攻击源头 IP 地址为 194.233.100 [.] 138。 目前，关于此次漏洞利用攻击的规模、攻击武器细节以及威胁行为者的身份，尚未有更多公开信息。 不过，该产品曾存在另一项身份验证绕过漏洞（CVE-2023-28461，CVSS 评分 9.8），去年被网络间谍组织利用。该组织至少自 2019 年起就有针对日本机构的攻击历史，但目前尚无证据表明，此次攻击事件与该组织存在关联。 该命令注入漏洞影响 ArrayOS 9.4.5.8 及更早版本，ArrayOS 9.4.5.9 版本已修复此问题。JPCERT/CC 建议用户尽快安装最新更新以降低潜在威胁；若无法立即打补丁，应禁用 DesktopDirect 服务，并启用 URL 过滤功能，拒绝访问包含分号的 URL。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Figma MCP 漏洞详情 网络安全研究人员披露了热门工具 figma-developer-mcp（模型上下文协议，MCP）服务器中一个现已修复的漏洞。该漏洞可能使攻击者实现代码执行。 此漏洞编号为 CVE-2025-53967，CVSS 评分为 7.5，属于命令注入漏洞，根源在于对用户输入未进行安全处理，从而为攻击者发送任意系统命令打开了方便之门。 该漏洞的 GitHub 安全公告指出：“服务器会直接将未经验证的用户输入嵌入到命令行字符串中，进而构造并执行 Shell 命令。这使得 Shell 元字符注入（如 |、>、&& 等）成为可能。成功利用该漏洞可导致攻击者以服务器进程的权限执行远程代码。” 由于 Framelink Figma MCP 服务器会提供多种工具，供用户借助 Cursor 等人工智能（AI）驱动的编码代理在 Figma 中执行操作，因此攻击者可通过间接提示注入的方式，诱使 MCP 客户端执行非预期操作。 数字取证与事件响应（DFIR）外包服务 网络安全公司 Imperva 于 2025 年 7 月发现并报告了该问题。该公司将 CVE-2025-53967 描述为一种 “设计疏漏”，存在于（服务器的） fallback 机制（故障转移 / 备用机制）中，可能使恶意攻击者实现完全的远程代码执行，导致开发人员面临数据泄露风险。 安全研究员约汉・西拉姆表示，该命令注入漏洞 “发生在构建用于向 Figma API 端点发送流量的命令行指令过程中”。 漏洞利用流程分为以下几个步骤： MCP 客户端向 MCP 端点发送 “初始化（Initialize）” 请求，以获取 mcp-session-id（MCP 会话 ID），该 ID 将用于后续与 MCP 服务器的通信。 客户端向 MCP 服务器发送 JSONRPC 请求，调用 “tools/call” 方法以使用相关工具，例如 “get_figma_data”（获取 Figma 数据）或 “download_figma_images”（下载 Figma 图片）。 该漏洞的核心问题存在于 “src/utils/fetch-with-retry.ts” 文件中。该文件首先尝试使用标准的 fetch API 获取内容，若获取失败，则会通过 child_process.exec（Node.js 中的子进程执行模块）调用 curl 命令 —— 而这一过程恰好引入了命令注入漏洞。 Imperva 指出：“由于 curl 命令是通过将 URL 和标头值直接插入到 Shell 命令字符串中构造而成的，恶意攻击者可精心设计特殊的 URL 或标头值，以注入任意 Shell 命令。这可能导致在主机上执行远程代码（RCE）。” 在概念验证（PoC）攻击中，同一网络中的远程攻击者（例如连接公共 Wi-Fi 的攻击者或已入侵企业设备的攻击者）可通过向存在漏洞的 MCP 发送一系列请求来触发该漏洞。此外，攻击者也可通过 DNS 重绑定攻击，诱骗受害者访问精心构造的恶意网站。 figma-developer-mcp 的 0.6.3 版本已修复该漏洞，该版本于 2025 年 9 月 29 日发布。作为缓解措施，建议避免将 child_process.exec 与不可信输入结合使用，而是改用 child_process.execFile—— 该方法可消除 Shell 解释带来的风险。 这家隶属于泰雷兹（Thales）集团的公司（指 Imperva）表示：“随着人工智能驱动的开发工具不断发展并获得广泛采用，安全考量必须与技术创新保持同步。此漏洞深刻提醒我们，即便是设计用于本地运行的工具，也可能成为攻击者的强大入口。” Center for Internet Security（CIS，互联网安全中心）构建工具包 与此同时，网络安全公司 FireTail 披露，谷歌已决定不修复其 Gemini AI 聊天机器人中一个新的 ASCII 走私攻击漏洞。该漏洞可被利用来构造特殊输入，这些输入能绕过安全过滤机制，并诱导聊天机器人产生不良响应。其他易受此类攻击影响的大型语言模型（LLM）还包括 DeepSeek 和 xAI 的 Grok。 该公司表示：“当 Gemini 等大型语言模型与谷歌 Workspace 等企业平台深度集成时，此漏洞的危险性会尤其突出。这种攻击技术可实现自动化的身份伪造和系统性的数据投毒，将一个用户界面（UI）层面的漏洞转化为潜在的安全噩梦。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用热门TP-Link路由器中的漏洞发动攻击，这些路由器在亚马逊上拥有数万条用户评价。美国网络监管机构紧急呼吁用户停用无法获得安全更新的旧款路由器型号。 美国网络安全与基础设施安全局（CISA）已将TP-Link的一处命令注入漏洞添加到其“已知被利用漏洞目录”中。尽管该漏洞两年前已被发现，但此次目录更新表明网络犯罪分子近期正积极利用此漏洞实施攻击。 该命令注入漏洞被评定为高危级别（CVSS评分为8.8/10），攻击者可借此在未经授权的情况下向路由器执行恶意命令。CISA警告称：“此类漏洞常被恶意攻击者利用，对联邦机构构成重大风险。” 受影响的系列在消费市场广受欢迎： TP-Link TL-WR940N 450Mbps路由器：V2/V4硬件版本已终止支持周期，无法再获得安全更新。该型号新型号仍在亚马逊销售，拥有超9000条好评，其最后固件更新发布于2016年。 TP-Link TL-WR841N：V8/V10版本存在漏洞，最后固件更新发布于2015年。这款诞生于2005年的型号至今仍位居亚马逊路由器销量榜第165位，累计收获超77,000条评价，V11及更早版本均已终止支持。 TP-Link TL-WR740N：V1/V2版本同样存在漏洞，所有型号均已终止支持，相关版本已有15年未获更新。 漏洞原理与风险 概念验证攻击代码已在网络广泛流传。该漏洞存在于路由器网页管理界面——当设备处理GET请求中的特定参数时，未能正确验证用户输入，致使黑客可注入恶意命令。虽然暴露在公网且开启远程访问功能的路由器风险最高，但同一局域网内的攻击者同样可利用此漏洞。 应对措施 CISA严令联邦机构在2025年7月7日前从网络中移除这些路由器，并强烈建议所有机构采取相同措施。CISA强调：“用户应立即停止使用受影响产品。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文