HackerNews 编译，转载请注明出处：

Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。

...

HackerNews 编译，转载请注明出处：

一名安全研究人员因对微软安全响应中心（MSRC）处理漏洞披露流程不满，公开了未修补Windows权限提升漏洞的利用代码，攻击者可借此获取SYSTEM或提升的管理员权限。

...

HackerNews 编译，转载请注明出处：

美国网络安全机构CISA周五警告称，威胁行为体正在野外利用一个关键级别的F5 BIG-IP漏洞。

该漏洞编号CVE-2025-53521（CVSS评分9.3），最初于2025年10月作为高严重性拒绝服务（DoS）问题公开披露，但上周被重新归类为远程代码执行（RCE）漏洞。

F5已更新原始公告以反映漏洞严重性，指出攻击者可在配置了访问策略的虚拟服务器上的BIG-IP APM系统上利用该漏洞。

F5指出："该漏洞允许未经认证的攻击者执行远程代码。设备模式下的BIG-IP系统同样存在漏洞。这是数据平面问题，控制平面未暴露。"

CVE-2025-53521影响BIG-IP APM版本17.5.0-17.5.1、17.1.0-17.1.2、16.1.0-16.1.6及15.1.0-15.1.10，已在17.5.1.3、17.1.3、16.1.6.1和15.1.10.8版本中修复。

F5在公告中表示："我们已获悉该漏洞在易受攻击的BIG-IP版本中遭利用。原始CVE修复方案经验证可解决修复版本中的RCE问题。"

周五，CISA将该CVE加入已知被利用漏洞（KEV）目录，敦促联邦机构在三日内完成修补。

同时，F5发布了针对易受攻击BIG-IP系统的恶意活动相关入侵指标（IOC），包括：存在恶意文件、文件哈希不匹配、文件大小或时间戳不匹配，以及不同版本和工程热修复（EHF）版本间的文件大小和时间戳差异。

特定日志条目和命令输出，以及包含CSS内容类型和HTTP 201响应代码的出站HTTP/S流量，也表明系统已成功遭入侵。

建议各类组织立即应用CVE-2025-53521修复补丁，并优先处理CISA KEV列表中的所有漏洞缓解措施。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

Ubuntu 的 CVE-2026-3888 漏洞使得攻击者能够通过 systemd 定时机制漏洞获取 root 权限，该漏洞对 Ubuntu 桌面版 24.04 及更高版本造成严重影响。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

网络安全研究员Gjoko Krstic披露霍尼韦尔IQ4楼宇管理控制器存在高危漏洞，但厂商对严重性提出异议。

Krstic指出，该产品出厂默认配置未认证即暴露基于网页的人机界面。若配置不当且设置时未启用用户模块，远程攻击者可在合法用户前创建管理员账户，“有效锁定合法操作员的本地及网页端配置管理权限"。该漏洞可能影响学校、商业建筑等设施。

研究员于2025年12月向霍尼韦尔报告，但厂商拒绝发布补丁，称IQ4设计用于本地部署，不应暴露于互联网。"设备交付时未配置，由 trained 技术人员安装后才运行，"霍尼韦尔声明称，"所述场景仅可能在系统激活前的短暂安装阶段，或故意禁用安全设置时出现。此时设备无法监控或控制任何设备，不影响运营。"

Krstic反驳称发现近7500个互联网暴露实例，约20%无需认证即可访问，并否认厂商"未完全设置则无法控制设备"的说法："我遇到过未创建用户账户的安装环境，能够写入照明、温度等组件变更，关闭锅炉或制冷机。"

SecurityWeek确认大量IQ4界面实例暴露于互联网，但未核实其他说法。Krstic表示该漏洞CVE编号待分配，并已联系卡内基梅隆大学CERT协调中心介入调解。

...