最新文章

Top News
安装量 90 万的 WordPress 插件存在高危远程代码执行漏洞

安装量 90 万的 WordPress 插件存在高危远程代码执行漏洞

作者: hackernews 日期: 2026-02-13 分类: 漏洞

HackerNews 编译,转载请注明出处:

WordPress 的 WPvivid 备份与迁移插件存在高危漏洞,该插件安装于超 90 万个网站,攻击者可利用此漏洞无需身份验证上传任意文件,实现远程代码执行

...

CISA 警告 SmarterMail 远程代码执行漏洞遭勒索软件攻击利用

CISA 警告 SmarterMail 远程代码执行漏洞遭勒索软件攻击利用

作者: hackernews 日期: 2026-02-09 分类: 网络攻击, 漏洞

HackerNews 编译,转载请注明出处:

美国网络安全和基础设施安全局(CISA)警告称,勒索软件攻击者正利用 SmarterMail 中的高危漏洞 CVE-2026-24423,该漏洞可实现无认证远程代码执行


SmarterMail 是 SmarterTools 公司推出的一款基于 Windows 系统的自托管邮件服务器与协作平台。该产品提供 SMTP/IMAP/POP 邮件服务,同时搭载网页邮箱、日历、通讯录及基础群件功能。


该产品普遍部署于托管服务提供商(MSP)、中小企业及提供邮件服务的托管公司。据 SmarterTools 公司数据,其产品在全球 120 个国家拥有约 1500 万用户


CVE-2026-24423漏洞影响SmarterTools SmarterMail版本9511之前的构建版本,成功利用可通过ConnectToHub API导致远程代码执行(RCE)。


该漏洞由watchTowr、CODE WHITE和VulnCheck网络安全公司的安全研究人员发现并负责任地披露给了SmarterTools。


供应商于1月15日在SmarterMail Build 9511中修复了该漏洞。


CISA现已将该漏洞纳入已知被利用漏洞(KEV)目录,并标记其在勒索软件攻击活动中遭积极利用。


该联邦机构警示称:“SmarterTools SmarterMail 的 ConnectToHub 接口方法存在关键功能未做身份认证的漏洞。”


“该漏洞可使攻击者将 SmarterMail 实例指向搭载恶意操作系统指令的恶意 HTTP 服务器,进而引发指令执行风险。”


CISA要求受 22-01 号强制性运营指令约束的联邦机构及实体,需在 2026 年 2 月 26 日前完成安全更新部署、落实厂商建议的缓解措施,或停止使用该产品


就在 SmarterTools 公司修复 CVE-2026-24423 漏洞同期,watchTowr 研究人员发现另一处身份认证绕过漏洞,内部编号为 WT-2026-0001。


该未分配公开编号的漏洞可实现无验证重置管理员密码,且在厂商发布补丁后不久便遭黑客利用。


研究人员依据匿名线索、受攻陷系统日志中的特定调用记录,以及与漏洞代码路径完全匹配的端点得出该结论。


此后,SmarterMail 又修复了多项标注为 “高危” 的安全漏洞,建议系统管理员将产品升级至最新版本,即 1 月 30 日发布的 9526 版本。

...

HPE OneView 漏洞被评为CVSS 10.0,允许未经身份验证的远程代码执行

HPE OneView 漏洞被评为CVSS 10.0,允许未经身份验证的远程代码执行

作者: hackernews 日期: 2025-12-19 分类: 漏洞

HackerNews 编译,转载请注明出处:

HPE已修复其OneView软件中的一个最高严重性安全漏洞,如果被成功利用,可能导致远程代码执行。


这个被标记为CVE-2025-37164的关键漏洞,其CVSS评分为10.0。HPE OneView是一款IT基础设施管理软件,旨在简化IT运营并通过集中式仪表板界面控制系统。


HPE在本周发布的公告中表示:"已在慧与OneView软件中发现一个潜在的安全漏洞。该漏洞可能被利用,允许远程未经身份验证的用户执行远程代码执行。"


该漏洞影响11.00版本之前的所有软件版本,而11.00版本已修复此漏洞。该公司还提供了一个可应用于OneView 5.20至10.20版本的热修复补丁。


值得注意的是,从6.60或更高版本升级到7.00.00版本后,或在执行任何HPE Synergy Composer重镜像操作后,必须重新应用此热修复补丁。针对OneView虚拟设备和Synergy Composer2,提供了单独的热修复补丁。


尽管HPE未提及该漏洞在野外被利用的情况,但用户尽快应用补丁以获得最佳保护至关重要。


今年6月初,该公司还发布了更新,修复了其StoreOnce数据备份和重复数据删除解决方案中的八个漏洞,这些漏洞可能导致身份验证绕过和远程代码执行。此外,还发布了OneView 10.00版本,以修复Apache Tomcat和Apache HTTP Server等第三方组件中的多个已知漏洞。

...

Drupal 出现第三个严重远程代码执行漏洞, Drupal 7、8 核心遭受影响

作者: 榆榆 日期: 2018-04-27 分类: 漏洞事件, 今日推送

近日,Drupal 发布了新版本的软件,以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行(RCE)漏洞(CVE-2018-7602),这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。

Drupal 是一个流行的开源内容管理系统(CMS)软件,为数百万个网站提供支持。但不幸的是,自从披露了一个高度关键的远程代码执行漏洞以来,其 CMS 一直处于被攻击状态。

这个新的漏洞是在探索先前暴露的 RCE 漏洞(名为 drupalddon2 (CVE-2018-7600))时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉, drupalddon2 已在 3 月 28 日被修复。

...

Electron 框架现严重 RCE 漏洞影响 Windows 多个应用程序

作者: 榆榆 日期: 2018-01-26 分类: 漏洞事件, 今日推送

外媒 1 月 24 日报道,流行软件构建框架 Electron 中存在一个严重的远程代码执行( RCE )漏洞(CVE-2018-1000006),可能会影响大量热门桌面应用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron  表示目前只有 Windows 的应用程序会受到漏洞影响。

Electron 由 GitHub 团队开发,是一个基于 Node.js 和 Chromium 引擎的开源框架,允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows,MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。

electron

...