HackerNews 编译，转载请注明出处： 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响，该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中，可以被任何具有“订阅者”（Subscriber）级别或更高权限的登录用户利用，从而增加了未经授权访问数据的风险。 Quiz and Survey Master（也称为QSM）被广泛用于创建测验、调查和表单。其功能集包括多媒体支持和拖放式测验构建器，这促成了其庞大的安装基数。 该漏洞无需管理员权限即可利用，意味着大量普通用户账号均可能被滥用，进而触发漏洞风险。 漏洞如何暴露站点数据库 该漏洞位于一个负责检索测验题目数据的REST API函数中。一个名为is_linking的请求参数被假定为数字标识符，并在没有经过适当验证的情况下被插入到数据库查询中。该参数值在与其他题目 ID 拼接、作为 SQL 语句执行前，未经过任何数据净化处理。 这种处理方式使得恶意用户可提交特制输入内容，其中包含额外 SQL 命令。由于查询语句未采用预处理语句构建，数据库会将注入的恶意内容当作查询语句的一部分执行，进而导致数据窃取或其他恶意操作风险。 该漏洞已被分配编号 CVE-2025-67987。虽然没有迹象表明该漏洞曾被积极利用，但其存在凸显了信任请求数据的风险，即使这些数据本意并非由用户直接控制。 负贵披露后发布补丁 Patchstack在上周发布的一份公告中表示，该漏洞已在Quiz and Survey Master版本10.3.2中修复。 该更新通过 intval 函数强制将 is_linking 参数转换为整数，确保数据库查询仅处理数字类型值，以此实现漏洞缓解。 该漏洞由Patchstack Alliance社区成员Doan Dinh Van发现并报告。 Patchstack于2025年11月21日收到报告并通知了插件供应商。修复版本于2025年12月4日发布，相关公告于2026年1月下旬公开。 此事件再次凸显了在WordPress插件中处理数据库查询时，进行输入验证和使用预编译语句的重要性。 消息来源: infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一份最新安全公告披露，Johnson Controls 旗下多款工业控制系统（ICS）产品存在一个严重的SQL注入漏洞。 该漏洞编号为CVE-2025-26385，其通用漏洞评分系统（CVSS v3）的严重性评分达到满分10.0，意味着对受影响基础设施构成最高级别的风险。 漏洞成因是命令注入中特殊元素的中和处理不当，远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后，可篡改、删除或窃取受影响系统中的敏感数据。 该漏洞影响Johnson Controls  6 款产品，这些产品在全球关键基础设施领域广泛部署。该公司产品部署于商业楼宇、关键制造、能源生产、政府运营及交通系统等多个关键行业。由于这家总部位于爱尔兰的公司在全球范围内业务众多，此次漏洞引发全球性关注。 美国网络安全和基础设施安全局（CISA）建议各组织采取以下防御措施以降低风险：控制系统网络必须与公网隔离，部署在防火墙后方，且与业务网络基础设施实现物理隔离 受影响产品范围 该漏洞影响以下应用产品： 确需远程访问的机构，应部署搭载最新安全补丁的虚拟专用网络（VPN），同时需明确 VPN 安全性依赖于接入设备的完整性。对于无法立即打补丁的老旧系统，网络分段与物理隔离是核心防护手段。 截至2026年1月27日该公告发布之日，CISA尚未监测到该漏洞在野利用的公开报告。但鉴于该漏洞的高危等级及产品的广泛部署，系统管理员及安全团队需立即重点关注。 这份编号为 ICSA-26-027-04 的公告，是Johnson Controls 初始安全公告 JCI-PSA-2026-02 的重新发布版本。观察到任何可疑活动的组织，应向CISA报告，以便进行事件关联分析和全局威胁追踪。 此次漏洞由Johnson Controls 主动报告给CISA，遵循了协调披露流程，为安全团队在潜在攻击发生前争取了应对时间。各机构在部署防护措施前，应优先开展影响分析与风险评估，避免造成业务运营中断。 消息来源:cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

今年6月，文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞，能让远程攻击者访问其数据库并执行任意代码。最近，MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。 这三个漏洞分别是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934，其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞有关。 SQL 注入漏洞能让攻击者利用它操纵数据库并运行他们想要的任何代码。攻击者可以将专门设计的有效负载发送到受影响应用程序的某些端点，从而更改或暴露数据库中的敏感数据。 这其中最为严重的漏洞为CVE-2023-36934，能够无需登录即被利用，意味着即使没有有效凭证的攻击者也有可能利用该漏洞，但到目前为止，还没有关于攻击者积极利用此漏洞的报告。 而CVE-2023-36932能让登录的攻击者利用该漏洞来获得对 MOVEit Transfer 数据库的未经授权的访问；CVE-2023-36933 则是一个允许攻击者意外关闭 MOVEit Transfer 程序的漏洞。 MOVEit于今年6月披露的漏洞显示它们已经被Clop 勒索软件组织利用，数千家使用该服务的企业组织受到影响。一直在跟踪局势的 Emsisoft 威胁分析师布雷特·卡洛 (Brett Callow) 表示，至少有 20 所美国学校和超过 1750 万人的信息受到影响。 其他企业，石油巨头壳牌曾在6月15日证实自己受到了MOVEit漏洞的影响，英国广播公司BBC 和英国航空公司 (BA) 、南非零售巨头Clicks等企业也表示自己是受害者。 此次新批露的漏洞影响多个 MOVEit Transfer 版本，但目前均已被MOVEit Transfer修复。Progress Software 已为所有主要 MOVEit Transfer 版本提供了必要的更新，强烈建议用户更新到 MOVEit Transfer 的最新版本，以降低这些漏洞带来的风险。     转自Freebuf，原文链接：https://www.freebuf.com/news/371525.html 封面来源于网络，如有侵权请联系删除