HackerNews 编译，转载请注明出处： WordPress 的 WPvivid 备份与迁移插件存在高危漏洞，该插件安装于超 90 万个网站，攻击者可利用此漏洞无需身份验证上传任意文件，实现远程代码执行。 该安全漏洞编号为 CVE-2026-1357，严重性评分为 9.8 分，影响该插件 0.9.123 及之前的所有版本，可能导致网站被完全接管。 尽管漏洞危害性极高，但 WordPress 安全公司 Defiant 的研究人员表示，仅启用了非默认 “从其他站点接收备份” 选项的网站会受到严重影响。 此外，攻击者的利用窗口期为 24 小时 —— 这是其他站点发送备份文件所需生成密钥的有效期。 该限制虽降低了实际受攻击风险，但该插件常被用于站点迁移和主机间备份传输，因此网站管理员很可能在某些时候（至少临时）启用该功能。 研究人员 Lucas Montes（NiRoX）于 1 月 12 日向 Defiant 报告了该漏洞，其根本原因是 RSA 解密的错误处理不当，加之缺乏路径清理机制。 具体而言，当openssl_private_decrypt()函数解密失败时，插件并未终止执行，反而将失败结果（false）传递至 AES（Rijndael）算法程序。 加密库会将该失败结果视为一串空字节，生成可预测的加密密钥，攻击者可借此构造插件会接受的恶意载荷。 此外，该插件未对上传的文件名进行恰当清理，导致目录遍历漏洞。 攻击者可借此将文件写入预设备份目录之外的位置，并上传恶意 PHP 文件以实现远程代码执行。 Defiant 在验证了提交的概念验证利用程序后，于 1 月 22 日通知了插件开发商 WPVividPlugins。1 月 28 日发布的 0.9.124 版本包含针对 CVE-2026-1357 的安全更新。 修复措施包括：新增 RSA 解密失败时终止执行的校验机制、增加文件名清理功能、仅允许上传 ZIP、GZ、TAR、SQL 等指定备份文件类型。 WPvivid 备份与迁移插件的用户需警惕该漏洞风险，并尽快升级至 0.9.124 版本。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已修复 Windows 11 记事本中的一处 “远程代码执行” 漏洞，该漏洞可使攻击者诱骗用户点击特制的 Markdown 链接，从而执行本地或远程程序，且不会弹出任何 Windows 安全警告。 自 Windows 1.0 发布起，微软推出了记事本这款简单易用的文本编辑器，多年来，它被广泛用于快速记录笔记、阅读文本文件、创建待办事项，或作为简易代码编辑器使用。 若用户需要支持不同字体、字号，以及粗体、斜体、列表等格式工具的富文本格式（RTF）编辑器，可使用 Windows 写字板，后续则是 WordPad。 但随着 Windows 11 的发布，微软决定停止维护 WordPad 并将其从系统中移除。 微软转而对记事本进行现代化重写，使其兼具简易文本编辑器与富文本编辑器功能，并新增 Markdown 支持，用户可实现文本格式化与插入可点击链接。 Markdown 支持意味着记事本可打开、编辑并保存 Markdown 文件（.md），这类纯文本文件通过简易符号实现文本格式化、列表与链接展示。 微软修复 Windows 记事本远程代码执行漏洞 在 2026 年 2 月补丁星期二更新中，微软披露已修复记事本的一处高危远程代码执行漏洞，漏洞编号为 CVE-2026-20841。 微软安全公告说明：“Windows 记事本应用对命令中特殊元素处理不当（命令注入），可使未授权攻击者通过网络执行代码。” 微软将该漏洞发现归功于 Cristian Papa、Alasdair Gorniak 与 Chen，并称攻击者可通过诱骗用户点击恶意 Markdown 链接实施利用。 微软解释：“攻击者可诱骗用户点击记事本中打开的 Markdown 文件内的恶意链接，使应用启动未验证的协议，加载并执行远程文件。” 公告补充：“恶意代码将以打开该 Markdown 文件的用户安全上下文执行，攻击者将获得与该用户相同的权限。” 该漏洞的新颖性迅速引发社交媒体关注，网络安全研究人员快速摸清其原理与简易的利用方式。 攻击者只需创建 test.md 这类 Markdown 文件，构造指向可执行文件的 file:// 链接，或 ms-appinstaller:// 等特殊统一资源标识符（URI）即可。 用于创建可执行文件或应用安装链接的 Markdown（来源：BTtea） 若用户在 11.2510 及更早版本的 Windows 11 记事本中打开该 Markdown 文件，并以 Markdown 模式查看，上述文本会显示为可点击链接。按住 Ctrl 键点击该链接，文件会自动执行，且系统不会向用户弹出警告。 程序无警告执行，正是微软认定的远程代码执行漏洞核心问题。 Windows 11 命令提示符无警告启动（来源：BTtea） 该漏洞还可能使攻击者构造指向远程 SMB 共享文件的链接，实现无警告执行。 经科技媒体 BleepingComputer 测试，微软现已修复该 Windows 11 记事本漏洞，对非 http:// 或 https:// 协议的链接点击行为弹出警告。 Windows 11 记事本打开非标准 URL 时弹出警告（来源：BleepingComputer） 如今点击 file:、ms-settings:、ms-appinstaller、mailto:、ms-search: 等其他类型 URI 链接时，记事本均会弹出上述对话框。 但目前尚不清楚微软为何未直接禁用非标准链接，攻击者仍可通过社会工程学诱骗用户在提示框中点击 “是”。 好消息是，Windows 11 会通过微软应用商店自动更新记事本，该漏洞除技术新颖性外，大概率不会造成实际影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）警告称，勒索软件攻击者正利用 SmarterMail 中的高危漏洞 CVE-2026-24423，该漏洞可实现无认证远程代码执行。 SmarterMail 是 SmarterTools 公司推出的一款基于 Windows 系统的自托管邮件服务器与协作平台。该产品提供 SMTP/IMAP/POP 邮件服务，同时搭载网页邮箱、日历、通讯录及基础群件功能。 该产品普遍部署于托管服务提供商（MSP）、中小企业及提供邮件服务的托管公司。据 SmarterTools 公司数据，其产品在全球 120 个国家拥有约 1500 万用户。 CVE-2026-24423漏洞影响SmarterTools SmarterMail版本9511之前的构建版本，成功利用可通过ConnectToHub API导致远程代码执行（RCE）。 该漏洞由watchTowr、CODE WHITE和VulnCheck网络安全公司的安全研究人员发现并负责任地披露给了SmarterTools。 供应商于1月15日在SmarterMail Build 9511中修复了该漏洞。 CISA现已将该漏洞纳入已知被利用漏洞（KEV）目录，并标记其在勒索软件攻击活动中遭积极利用。 该联邦机构警示称：“SmarterTools SmarterMail 的 ConnectToHub 接口方法存在关键功能未做身份认证的漏洞。” “该漏洞可使攻击者将 SmarterMail 实例指向搭载恶意操作系统指令的恶意 HTTP 服务器，进而引发指令执行风险。” CISA要求受 22-01 号强制性运营指令约束的联邦机构及实体，需在 2026 年 2 月 26 日前完成安全更新部署、落实厂商建议的缓解措施，或停止使用该产品。 就在 SmarterTools 公司修复 CVE-2026-24423 漏洞同期，watchTowr 研究人员发现另一处身份认证绕过漏洞，内部编号为 WT-2026-0001。 该未分配公开编号的漏洞可实现无验证重置管理员密码，且在厂商发布补丁后不久便遭黑客利用。 研究人员依据匿名线索、受攻陷系统日志中的特定调用记录，以及与漏洞代码路径完全匹配的端点得出该结论。 此后，SmarterMail 又修复了多项标注为 “高危” 的安全漏洞，建议系统管理员将产品升级至最新版本，即 1 月 30 日发布的 9526 版本。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员在 OpenClaw（曾用名 Clawdbot 和 Moltbot）中发现一个高危安全漏洞，攻击者可通过特制恶意链接实现远程代码执行（RCE）。 该漏洞编号为 CVE-2026-25253（CVSS 评分：8.8），已于 2026 年 1 月 30 日发布的 2026.1.29 版本中修复。该漏洞被定义为令牌窃取漏洞，可导致网关被完全攻陷。 OpenClaw 创建者兼维护者 Peter Steinberger 在安全公告中表示：“控制界面会信任查询字符串中的 gatewayUrl 参数且不做验证，加载时自动建立连接，并在 WebSocket 连接载荷中发送存储的网关令牌。” “点击特制恶意链接或访问恶意网站，会将该令牌发送至攻击者控制的服务器。攻击者随后可连接受害者本地网关，修改配置（沙箱、工具策略），调用特权操作，最终实现一键远程代码执行。” OpenClaw 是一款开源自主人工智能个人助手，可在用户设备本地运行，且能与多款即时通讯平台集成。该工具虽于 2025 年 11 月首次发布，但近几周热度快速攀升，截至本文撰写时，其 GitHub 代码仓库星标数已突破 14.9 万。 Steinberger 介绍称：“OpenClaw 是一款开源智能体平台，可部署在你的设备上，且能通过你日常使用的聊天应用运行。与数据存储在他人服务器的软件即服务（SaaS）类助手不同，OpenClaw 可部署在你指定的设备上 —— 笔记本电脑、家庭实验室服务器或虚拟专用服务器，你的基础设施、你的密钥、你的数据，全程由你掌控。” 此漏洞的发现者、depthfirst 创始安全研究员 Mav Levin 指出，攻击者可借此构造一键 RCE 利用链，受害者仅需访问一次恶意网页，攻击过程即可在数毫秒内完成。 核心问题在于，OpenClaw 服务器未验证 WebSocket 来源请求头，点击恶意网页链接即可触发跨站 WebSocket 劫持攻击。这导致服务器会接受任意网站的请求，直接绕过本地环路网络限制。 恶意网页可利用该漏洞，在受害者浏览器中执行客户端 JavaScript 脚本，获取身份验证令牌、与服务器建立 WebSocket 连接，再通过窃取的令牌绕过身份验证，登录受害者的 OpenClaw 实例。 更严重的是，攻击者可利用令牌拥有的 operator.admin 和 operator.approvals 特权权限，通过 API 将 “exec.approvals.set” 设为 “off” 关闭用户确认机制，同时将 “tools.exec.host” 设为 “gateway”，突破运行 shell 工具的容器隔离。 Levin 解释道：“这会强制智能体直接在宿主设备上执行命令，而非在 Docker 容器内运行。最终，攻击者通过 JavaScript 执行 node.invoke 请求，实现任意命令执行。” 当被问及 OpenClaw 通过 API 管理安全功能是否存在架构缺陷时，Levin 在邮件中表示：“这些防护机制（沙箱、安全防护壁垒）的设计初衷，是抵御大语言模型因提示注入等问题产生的恶意行为。用户可能以为这些机制能保护其免受此漏洞影响（或限制危害范围），但实际并非如此。” Steinberger 在安全公告中指出：“即便 OpenClaw 实例配置为仅监听本地环路，该漏洞仍可被利用，因为出站连接由受害者的浏览器发起。” “任何用户已通过控制界面完成认证的 Moltbot 部署均会受到影响。攻击者将获得网关 API 的操作员级访问权限，从而能够任意修改配置并在网关主机上执行代码。即使网关绑定于环回地址，攻击依然有效，因为受害者的浏览器充当了中间桥梁。” 消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： HPE已修复其OneView软件中的一个最高严重性安全漏洞，如果被成功利用，可能导致远程代码执行。 这个被标记为CVE-2025-37164的关键漏洞，其CVSS评分为10.0。HPE OneView是一款IT基础设施管理软件，旨在简化IT运营并通过集中式仪表板界面控制系统。 HPE在本周发布的公告中表示：”已在慧与OneView软件中发现一个潜在的安全漏洞。该漏洞可能被利用，允许远程未经身份验证的用户执行远程代码执行。” 该漏洞影响11.00版本之前的所有软件版本，而11.00版本已修复此漏洞。该公司还提供了一个可应用于OneView 5.20至10.20版本的热修复补丁。 值得注意的是，从6.60或更高版本升级到7.00.00版本后，或在执行任何HPE Synergy Composer重镜像操作后，必须重新应用此热修复补丁。针对OneView虚拟设备和Synergy Composer2，提供了单独的热修复补丁。 尽管HPE未提及该漏洞在野外被利用的情况，但用户尽快应用补丁以获得最佳保护至关重要。 今年6月初，该公司还发布了更新，修复了其StoreOnce数据备份和重复数据删除解决方案中的八个漏洞，这些漏洞可能导致身份验证绕过和远程代码执行。此外，还发布了OneView 10.00版本，以修复Apache Tomcat和Apache HTTP Server等第三方组件中的多个已知漏洞。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文