HackerNews 编译，转载请注明出处： GreyNoise 在发布的报告中称：“2025 年圣诞假期期间，GreyNoise 监测到一场针对 Adobe ColdFusion 服务器的协同漏洞利用攻击活动。此次攻击似乎由单一威胁行为者发起，其使用的基础设施位于日本（归属 CTG Server Limited 公司）。该攻击源贡献了约 98% 的攻击流量，系统性地利用了 2023 – 2024 年间披露的 10 余个 ColdFusion 相关 CVE 漏洞。” 这名单一威胁行为者借助日本的基础设施，产生了约 98% 的攻击流量，且利用了 2023 – 2024 年间的 10 余个 ColdFusion CVE 漏洞。攻击采用 ProjectDiscovery Interactsh 工具进行带外验证，主要攻击向量为 JNDI/LDAP 注入。大部分攻击活动发生在圣诞节当天，这一刻意选择的时间点，显然是为了利用假期期间安全监控力度减弱的漏洞。 研究人员共监测到 5940 条利用 2023 – 2024 年间 ColdFusion 漏洞的恶意请求，攻击峰值出现在 12 月 25 日。 这些请求的攻击目标主要集中在美国（4044 次）、西班牙（753 次）和印度（128 次）的服务器。 GreyNoise 已锁定该主导威胁行为者所使用的两个 IP 地址（134.122.136 [.] 119、134.122.136 [.] 96），这两个 IP 均由 CTG Server Limited 公司（自治系统编号 AS152194）托管，几乎所有已监测到的 ColdFusion 漏洞利用流量都来自这两个 IP。它们占总请求量的 98% 以上，在多数情况下同步运作，共享 Interactsh 会话，展现出自动化、协同化的行为特征，会循环使用多种攻击类型。少量攻击活动来自加拿大、印度、美国及 Cloudflare 网络中的其他几个次要 IP。CTG Server Limited 是一家在香港注册的服务商，其 IP 地址资源近期增长迅速，且此前就与钓鱼攻击、垃圾邮件、伪造路由以及薄弱的滥用行为管控存在关联，这使其作为 “纵容性托管环境” 的角色引发担忧。 以下是此次攻击所针对的 ColdFusion 漏洞清单： 分析表明，此次 ColdFusion 相关攻击活动，仅占这两个 IP 所发起的大规模漏洞扫描活动的约 0.2%。总体而言，该操作共产生超过 250 万条请求，针对 2001 – 2025 年间披露的 767 个 CVE 漏洞，涉及 1200 余种攻击特征码，以及数千个独特指纹和带外应用安全测试（OAST）域名。 该攻击活动以侦察为主要目的，随后开展漏洞利用、本地文件包含（LFI）及远程代码执行（RCE）尝试。攻击目标涵盖 47 余种技术栈，包括 Java 应用服务器、Web 框架、内容管理系统（CMS）平台、网络设备及企业级软件。从活动规模、覆盖漏洞的广度以及自动化特征来看，这是一场系统性、基于模板的侦察行动，覆盖了全球范围内的漏洞环境。 专家已发布此次攻击活动的入侵指标（IOC），供相关方参考防御。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Adobe Commerce平台中的 “SessionReaper” 严重漏洞（CVE-2025-54236）发起攻击，目前已记录到数百次攻击尝试。 该攻击活动由电商安全公司 Sansec 发现，该公司研究人员此前称，“SessionReaper” 是 Adobe Commerce 产品史上最严重的安全漏洞之一。 Adobe 于 9 月 8 日就 CVE-2025-54236 发布预警，称这是一个输入验证不当漏洞，影响 Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 及更早版本。 攻击者成功利用该漏洞后，无需用户任何交互操作即可控制账户会话。Adobe 解释道：“潜在攻击者可通过 Commerce REST API 接管 Adobe Commerce 中的客户账户。” Sansec 此前表示，漏洞能否成功利用，很大程度上取决于会话数据是否存储在文件系统中 —— 这是大多数商户使用的默认配置；此外，Adobe 泄露的热修复程序可能为黑客提供了利用漏洞的线索。 “SessionReaper” 应急补丁发布约六周后，Sansec 确认该漏洞已出现野外活跃攻击。其公告中写道：“Adobe 针对 SessionReaper（CVE-2025-54236）的应急补丁发布六周后，该漏洞已进入活跃利用阶段。” 研究人员表示：“Sansec Shield 今日检测并拦截了首批真实攻击，这对数千家仍未打补丁的商户而言是坏消息。” 就在发布当天，Sansec 拦截了 250 多次针对多家商户的 “SessionReaper” 漏洞攻击尝试，多数攻击来自以下 5 个 IP 地址：34.227.25.444.212.43.3454.205.171.35155.117.84.134159.89.12.166 截至目前，攻击手段包括植入 PHP Webshell（网页后门），或通过 phpinfo 探针检查系统配置设置、查找系统中的预定义变量。 同日，Searchlight Cyber 的研究人员发布了关于 CVE-2025-54236 的详细技术分析报告，这可能导致后续攻击尝试次数增加。 据 Sansec 统计，目前网上 62% 的 Magento 商户仍未安装 Adobe 的安全更新，面临 “SessionReaper” 漏洞攻击风险。 研究人员指出，补丁发布 10 天后，修复进度依旧缓慢，仅三分之一的网站完成更新；目前，每 5 家商户中就有 3 家存在漏洞风险。 研究人员强烈建议网站管理员尽快安装补丁，或采用 Adobe 推荐的缓解措施。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe警告称，其Commerce和Magento开源平台存在一个严重的安全漏洞，如果被成功利用，可能会使攻击者能够接管客户账户。 该漏洞被追踪为CVE-2025-54236（也称为SessionReaper），其CVSS评分为9.1（满分10.0），被描述为一个不当输入验证漏洞。Adobe表示，目前尚未发现有针对该漏洞的野外利用情况。 “潜在攻击者可以通过Commerce REST API在Adobe Commerce中接管客户账户。”Adobe在今天发布的一份咨询报告中表示。 该问题影响以下产品和版本： Adobe Commerce（所有部署方式）： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 – 2.4.4-p15及更早版本 Adobe Commerce B2B： – 1.5.3-alpha2及更早版本 – 1.5.2-p2及更早版本 – 1.4.2-p7及更早版本 – 1.3.4-p14及更早版本 – 1.3.3-p15及更早版本 Magento开源： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 自定义属性可序列化模块： – 0.1.0至0.4.0版本 除了发布针对该漏洞的热修复程序外，Adobe还表示，已部署网络应用防火墙（WAF）规则，以保护使用Adobe Commerce云基础设施的商家免受可能的利用尝试。 “SessionReaper是Magento历史上更严重的漏洞之一，可与2015年的Shoplift、2019年的Ambionics SQLi、2022年的TrojanOrder和2024年的CosmicSting相提并论。”电子商务安全公司Sansec表示。 这家总部位于荷兰的公司表示，已成功复现了利用CVE-2025-54236的一种可能方式，但指出还有其他可能的途径可以利用该漏洞。 “该漏洞遵循去年CosmicSting攻击的熟悉模式。”它补充道，“该攻击结合了恶意会话和Magento REST API中的嵌套反序列化漏洞。” “特定的远程代码执行向量似乎需要基于文件的会话存储。然而，我们建议使用Redis或数据库会话的商家也立即采取行动，因为有多种方式可以滥用这个漏洞。” Adobe还发布了修复程序，以修复ColdFusion中的一个关键路径遍历漏洞（CVE-2025-54261，CVSS评分：9.0），该漏洞可能导致任意文件系统写入。它影响所有平台上的ColdFusion 2021（更新21及更早版本）、2023（更新15及更早版本）和2025（更新3及更早版本）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件公司Adobe发布多款产品安全更新，修复至少39个漏洞，并警告存在远程代码执行漏洞利用风险。此次“补丁星期二”的重点是Adobe ColdFusion（冷聚变）的重大更新，解决多个可导致代码执行和权限提升的关键漏洞。 根据安全公告，Adobe ColdFusion修复的7个高危漏洞（CVSS评分9.1）可能引发任意文件读取、代码执行及权限提升攻击。此外： Adobe Photoshop：修复3个可导致代码执行的高危漏洞。 Adobe Illustrator：紧急修补1个关键漏洞。 Adobe Lightroom/Dreamweaver/Connect/InDesign：修复代码执行漏洞，攻击成功可引发拒绝服务。 其他受影响产品包括Adobe Substance 3D Painter、Adobe Bridge和Adobe Dimension，均存在高危漏洞。此次更新与微软安全公告同期发布，后者披露5个在野利用的零日漏洞，涉及脚本引擎和Windows通用日志文件系统驱动（CLFS）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在推广恶意的Microsoft OAuth应用，这些应用伪装成Adobe和DocuSign应用，用于分发恶意软件和窃取Microsoft 365账户凭证。 Proofpoint的研究人员发现了这些活动，并在X上的一条推文中将其描述为“高度针对性”的攻击。 此次活动中，恶意OAuth应用伪装成Adobe Drive、Adobe Drive X、Adobe Acrobat和DocuSign等应用。 这些应用请求访问相对不敏感的权限，如“个人资料”、“电子邮件”和“开放ID”，以避免被检测和引起怀疑。 如果用户授予这些权限，攻击者将获得以下访问权限： – 个人资料：姓名、用户ID、个人资料图片、用户名 – 电子邮件：主要电子邮件地址（无收件箱访问权限） – 开放ID：允许确认用户身份并获取Microsoft账户详细信息 Proofpoint告诉BleepingComputer，这些钓鱼活动通过被攻陷的电子邮件账户（很可能是Office 365账户）从慈善机构或小公司发送。 这些电子邮件针对美国和欧洲的多个行业，包括政府、医疗保健、供应链和零售业。网络安全公司看到的一些电子邮件使用了请求建议书和合同诱饵，以诱使收件人点击链接。 虽然接受Microsoft OAuth应用所提供的权限仅向攻击者提供了有限的数据，但这些信息仍可能被用于更具针对性的攻击。 此外，一旦用户授予OAuth应用权限，它会将用户重定向到显示Microsoft 365凭证钓鱼表单或分发恶意软件的登录页面。 “受害者在授权O365 OAuth应用后，经历了多次重定向和阶段，最终被呈现恶意软件或钓鱼页面，”Proofpoint告诉BleepingComputer。 “在某些情况下，受害者被重定向到一个‘O365登录’页面（托管在恶意域名上）。在授权后不到一分钟，Proofpoint检测到账户上有可疑的登录活动。” Proofpoint表示，他们无法确定所分发的恶意软件，但攻击者利用了过去一年变得非常流行的ClickFix社会工程攻击。 用于恶意OAuth活动的ClickFix登录页面 来源：Proofpoint 这些攻击与多年前报道的攻击相似，表明OAuth应用仍然是劫持Microsoft 365账户的有效方式，而无需窃取凭证。 建议用户在批准OAuth应用权限请求时保持谨慎，并始终验证其来源和合法性。 要检查现有的批准权限，可以前往“我的应用”（myapplications.microsoft.com）→“管理你的应用”，并在该页面上撤销任何未识别的应用。 Microsoft 365管理员还可以通过“企业应用”→“同意和权限”→将“用户可以同意应用”设置为“否”，以完全限制用户对第三方OAuth应用请求的权限。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cofense 的网络钓鱼防御中心（PDC）发现了一起网络钓鱼活动，该活动利用合法的 Microsoft 登录页面诱骗用户授予对恶意 “Adobe Drive X” 应用的访问权限。该应用随后将受害者重定向到一个伪造的 Microsoft 登录页面，旨在窃取其凭据。 攻击从一封伪装成 Office 365 密码重置请求的网络钓鱼邮件开始。邮件中包含一个链接，指向一个真正的 Microsoft 认证页面，使攻击显得更具说服力。然而，一旦用户在该合法页面输入凭据，他们就会被提示授予对一个名为 “Adobe Drive X” 的自定义 Microsoft 365 应用的权限。 攻击者的狡猾策略在此处显现。通过请求通过一个看似无害的与 Adobe 相关的应用程序访问，他们利用了用户对 Microsoft 和 Adobe 的信任。该应用请求访问用户的电子邮件地址和基本个人资料信息，进一步增加了其合法性的伪装。 如果用户接受了这些权限，他们将被重定向到一个旨在模仿 Microsoft 登录页面的凭据网络钓鱼页面。该页面并未托管在 Microsoft 域名上，但不知情的用户可能会忽略这一关键细节，尤其是在之前通过合法的 Microsoft 页面成功登录后。 “攻击者很可能将此凭据网络钓鱼尝试放在一个合法的 Microsoft 365 登录页面之后，以出其不意地攻击用户，”Cofense 在其报告中解释道。“不太警惕的用户可能不会验证第二个登录页面的 URL，并成为凭据网络钓鱼攻击的受害者。” 用户应始终仔细检查 URL，警惕授予未知应用程序的权限，并报告任何可疑活动。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe公司在周二发布了针对多个产品中至少45个已记录漏洞的补丁，并警告称这些软件缺陷会使用户面临远程代码执行攻击的风险。 其中最严重的问题是Adobe Commerce中存在的一大批关键漏洞，可能导致任意代码执行、安全功能绕过和权限提升。 位于加利福尼亚州圣何塞的软件供应商对Adobe Commerce的安全公告给出了“严重”评级，并敦促企业客户紧急应用可用的补丁。 该公司还为Adobe InDesign修复了至少4个严重级别的漏洞，警告称内存安全问题（如越界写入和缓冲区溢出）会带来重大的代码执行风险。 Adobe Illustrator、Adobe InCopy和Substance 3D Designer产品也获得了安全更新，以修复多个关键的远程代码执行漏洞。 在周二的补丁更新中，Adobe还涉及了广受欢迎的Adobe Photoshop和Photoshop Elements应用程序，并警告存在权限提升风险。 此外，Adobe公司还警告称其Substance 3D Stager工具容易受到拒绝服务攻击的影响。 Adobe表示，目前尚未发现这些已记录漏洞在现实环境中被利用的情况，但强烈建议用户和IT管理员通过Creative Cloud桌面应用程序或使用每个产品的内置更新机制安装修复补丁。 对于托管企业部署，组织应利用Adobe管理控制台或Creative Cloud打包器，迅速将修复程序推送给最终用户。 鉴于本月披露的漏洞严重性，安全专家建议安全团队在打补丁后进行后续评估，包括常规系统监控和应用程序测试。   消息来源：Security Week, 编译：zhongx； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 软件制造商Adobe于周二针对多款产品中的十多个安全缺陷推出了修复措施，并警告称，恶意黑客可以利用这些漏洞发动远程代码执行攻击。 该公司表示，这些漏洞影响了Adobe Photoshop、Substance 3D Stager、iPad版Illustrator、Adobe Animate以及Adobe Substance 3D Designer。 根据Adobe的文档，Photoshop的更新适用于Windows和macOS系统，鉴于通过陷阱文件利用代码执行的风险，用户应尽快安装此更新。 具体细节如下： Adobe Photoshop——此次更新修复了两个关键严重级别的任意代码执行漏洞（CVE-2025-21127和CVE-2025-21122）。 Adobe Substance 3D Stager——此公告记录了五个关键严重级别的内存安全漏洞，这些漏洞可能导致在当前用户上下文中执行任意代码。这些漏洞的CVSS严重级别评分为7.8/10，影响Windows和macOS用户。 iPad版Illustrator——此次更新涵盖了两个独立的内存安全问题，这些问题使Apple iPad用户面临代码执行攻击的风险。两个漏洞均被评为关键级别，CVSS严重级别评分为7.8/10。 Adobe Animate——此次更新修复了一个可能导致任意代码执行漏洞的整数下溢问题。该更新适用于Windows和macOS用户。 Adobe Substance 3D Designer——此次更新包含针对影响所有平台的四个关键内存安全漏洞的补丁。成功利用这些漏洞可能导致在当前用户上下文中执行任意代码。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

12月23日，Adobe发布紧急安全更新，以解决一个ColdFusion严重漏洞，已存在概念验证（PoC）漏洞利用。 漏洞被标识为CVE-2024-53961，影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件，暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的，源于对受限目录的路径名限制不当。通过利用这个缺陷，攻击者可以绕过安全限制，未经授权地访问预期目录之外的文件。 概念验证PoC漏洞利用已存在 令人担忧的是，Adobe已确认CVE-2024-53961的概念验证漏洞利用已经存在。这意味着攻击者有可能积极利用这个漏洞，因此用户必须立即更新ColdFusion安装。 受影响的版本和补救措施 以下ColdFusion版本受到影响： ColdFusion 2023：更新11及更早版本 ColdFusion 2021：更新17及更早版本 Adobe已发布更新解决漏洞，强烈建议用户升级到最新版本： ColdFusion 2023：更新12 ColdFusion 2021：更新18 Adobe尚未披露此漏洞是否已被广泛利用。公司建议客户查看Adobe更新的串行过滤器文档，以便获取更多关于如何阻止不安全的Wddx反序列化攻击的信息。     转自E安全，原文链接：https://mp.weixin.qq.com/s/oO5YQIVgwD5yicAeY8z3kw 封面来源于网络，如有侵权请联系删除

软件制造商 Adobe 周二推出了面向企业的 Illustrator、Substance 3D Sampler 和 After Effects 产品中代码执行缺陷的修复程序。 作为预定的补丁星期二更新的一部分，Adobe 记录了至少207个安全漏洞，并警告 Windows 和 macOS 系统上的用户存在代码执行、内存泄漏和拒绝服务攻击的风险。 以下是关键严重性问题的片段： Adobe Substance 3D Sampler —此更新解决了至少六（6）个漏洞，这些漏洞可能导致在当前用户的上下文中执行任意代码。受影响的软件包括所有平台上的 Adobe Substance 3D Sampler 4.2.1及早期版本。 Adobe Illustrator —此更新解决了三（3）个可能导致任意代码执行和内存泄漏的严重漏洞。影响 Windows 和 macOS 平台上的 Illustrator 2023和 Illustrator 2024。 Adobe After Effects —此更新修复了四（4）个严重和中等安全漏洞，这些漏洞可能导致当前用户上下文中的任意代码执行和内存泄漏。影响 Windows 和 macOS 用户。 Adobe 还推出了一个重要的Adobe Experience Manager (AEM) 补丁，修复了多达185个已记录的错误，该公司警告称，这些错误可能会被利用来执行任意代码和绕过安全功能。 该公司还发布了针对 Adobe Prelude 软件中的错误、Adobe InDesign 中的内存泄漏和拒绝服务问题、Adobe Dimension 中的内存损坏问题以及 Adobe Animate 中的内存泄漏问题的修复程序。   转自安全客，原文链接https://www.anquanke.com/post/id/291857 封面来源于网络，如有侵权请联系删除