Aggregator

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CTEKが提供するChargeportalには、複数の脆弱性が存在します。

IGL-Technologiesが提供するeParking.fiには、複数の脆弱性が存在します。

Automated Logicが提供するWebCTRL Premium Serverには、複数の脆弱性が存在します。

HackerNews 编译，转载请注明出处： Trivy，这款由 Aqua Security 维护的热门开源漏洞扫描器，在短短一个月内再次遭到攻击，被用于传播恶意软件以窃取敏感的 CI/CD 机密信息。 最新这次事件影响了 GitHub Actions 中的 “aquasecurity/trivy – action” 和 “aquasecurity/setup – trivy”。其中，“aquasecurity/trivy – action” 用于扫描 Docker 容器镜像中的漏洞，而 “aquasecurity/setup – trivy” 则用于使用特定版本的扫描器设置 GitHub Actions 工作流程。 Socket 安全研究员 Philipp Burckhardt 表示：“我们发现，攻击者对 aquasecurity/trivy – action 存储库中的 76 个版本标签中的 75 个进行了强制推送。该存储库是用于在 CI/CD 管道中运行 Trivy 漏洞扫描的官方 GitHub Action。这些标签被修改以提供恶意有效载荷，实际上将受信任的版本引用变成了信息窃取程序的分发机制。” 该有效载荷会在 GitHub Actions 运行器内执行，目的是从 CI/CD 环境中提取有价值的开发者机密，如 SSH 密钥、云服务提供商的凭证、数据库信息、Git 信息、Docker 配置、Kubernetes 令牌以及加密货币钱包信息等。 这是涉及 Trivy 的第二起供应链事件。在 2026 年 2 月底到 3 月初，一个名为 hackerbot – claw 的自动机器人利用 “pull_request_target” 工作流程窃取了个人访问令牌（PAT），随后该令牌被用于控制 GitHub 存储库，删除了多个发布版本，并将其 Visual Studio Code（VS Code）扩展的两个恶意版本推送到 Open VSX。 安全研究员 Paul McCarty 在 “aquasecurity/trivy”GitHub 存储库发布了一个新的受感染版本（0.69.4 版）后，首先发现了入侵迹象。该恶意版本随后已被删除。据 Wiz 称，0.69.4 版本会同时启动合法的 Trivy 服务和负责一系列任务的恶意代码： 通过扫描系统中的环境变量和凭证进行数据窃取，加密数据，并通过 HTTP POST 请求将其泄露到 scan.aquasecurtiy [.] org。 在确认运行在开发者机器上后，通过使用 systemd 服务设置持久性。该 systemd 服务被配置为运行一个 Python 脚本（“sysmon.py”），该脚本会轮询外部服务器以检索有效载荷并执行。 Aqua Security 开源副总裁 Itay Shakury 在一份声明中表示，攻击者滥用了一个被泄露的凭证来发布恶意的 trivy、trivy – action 和 setup – trivy 版本。就 “aquasecurity/trivy – action” 而言，攻击者强制推送了 75 个版本标签，使其指向包含 Python 信息窃取有效载荷的恶意提交，而没有像标准做法那样创建新的版本发布或推送到分支。同样，“aquasecurity/setup – trivy” 的 7 个标签也被以相同方式强制推送。 Burckhardt 告诉《黑客新闻》：“在这种情况下，攻击者无需利用 Git 本身的漏洞。他们拥有具有足够权限的有效凭证来推送代码和重写标签，这就是我们所看到的标签中毒得以实现的原因。目前尚不清楚在这一特定步骤中使用的确切凭证（例如维护者的 PAT 还是自动化令牌），但根本原因现已明确是早期事件遗留的凭证泄露问题。” 这家安全供应商也承认，最新的攻击源于对 hackerbot – claw 事件的不完全遏制。Shakury 说：“我们轮换了机密和令牌，但这个过程不是原子性的，攻击者可能知晓了新刷新的令牌。我们现在正在采取更严格的方法，锁定所有自动化操作和任何令牌，以彻底消除该问题。” 该窃取程序分三个阶段运行：从运行器进程内存和文件系统中收集环境变量，加密数据，然后将其泄露到攻击者控制的服务器（“scan.aquasecurtiy [.] org”）。 如果数据泄露尝试失败，受害者自己的 GitHub 账户会被滥用，利用捕获的 INPUT_GITHUB_PAT（这是 GitHub Actions 中用于通过 GitHub PAT 进行 GitHub API 身份验证的环境变量），将窃取的数据存储在一个名为 “tpcp – docs” 的公共存储库中。 目前尚不清楚此次攻击的幕后黑手是谁，不过有迹象表明，被称为 TeamPCP 的威胁行为者可能与此有关。这一判断基于以下事实：该凭证窃取程序在源代码中自称是 “TeamPCP Cloud stealer”。该组织也被称为 DeadCatx3、PCPcat、PersyPCP、ShellForce 和 CipherForce，以作为一个云原生网络犯罪平台而闻名，其目的是入侵现代云基础设施，以便进行数据盗窃和勒索。 Socket 表示：“此有效载荷中的凭证目标与该组织更广泛的云原生盗窃和货币化特征相符。对 Solana 验证器密钥对和加密货币钱包的高度关注，虽然较少被记录为 TeamPCP 的标志，但与该组织已知的财务动机相符。这种自我标识可能是一种误导，但与 TeamPCP 先前工具的技术重叠使得这种归因具有一定合理性。” 建议用户确保使用以下最新的安全版本： trivy 0.69.3 trivy – action 0.35.0 setup – trivy 0.2.6 Shakury 说：“如果您怀疑自己运行的是受感染版本，请将所有管道机密视为已泄露并立即轮换。” 其他缓解措施包括在网络层面阻止数据泄露域及其关联的 IP 地址（45.148.10 [.] 212），并检查 GitHub 账户中是否有名为 “tpcp – docs” 的存储库，这可能表明通过备用机制成功进行了数据泄露。 Wiz 研究员 Rami McCarthy 说：“将 GitHub Actions 固定到完整的 SHA 哈希值，而不是版本标签。正如这次攻击所展示的，版本标签可以被移动以指向恶意提交。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周五将五个影响苹果、Craft CMS 和 Laravel Livewire 的安全漏洞添加到其已知被利用漏洞（KEV）目录中，并敦促联邦机构在 2026 年 4 月 3 日前修复这些漏洞。 以下是已遭利用的漏洞： CVE – 2025 – 31277（CVSS 评分：8.8）：苹果 WebKit 中的一个漏洞，在处理恶意制作的网页内容时可能导致内存损坏。（2025 年 7 月已修复） CVE – 2025 – 43510（CVSS 评分：7.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致进程间共享内存发生意外变化。（2025 年 12 月已修复） CVE – 2025 – 43520（CVSS 评分：8.8）：苹果内核组件中的内存损坏漏洞，恶意应用程序可借此导致系统意外终止或写入内核内存。（2025 年 12 月已修复） CVE – 2025 – 32432（CVSS 评分：10.0）：Craft CMS 中的代码注入漏洞，远程攻击者可借此执行任意代码。（2025 年 4 月已修复） CVE – 2025 – 54068（CVSS 评分：9.8）：Laravel Livewire 中的代码注入漏洞，在特定场景下，未经身份验证的攻击者可借此实现远程命令执行。（2025 年 7 月已修复） 谷歌威胁情报小组（GTIG）、iVerify 和 Lookout 报告称，存在一款代号为 DarkSword 的 iOS 漏洞利用工具包，利用上述三个苹果漏洞以及另外三个缺陷，来部署 GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER 等恶意软件家族进行数据窃取，在此之后，这三个苹果漏洞被列入 KEV 目录。 据 Orange Cyberdefense SensePost 称，自 2025 年 2 月起，未知威胁行为者就将 CVE – 2025 – 32432 作为零日漏洞进行利用。从那时起，被追踪为 Mimo（又名 Hezb）的入侵组织也被观察到利用该漏洞来部署加密货币挖矿程序和住宅代理软件。 列表中的最后一个漏洞 CVE – 2025 – 54068，其被利用情况最近被 Ctrl – Alt – Intel 威胁研究团队标记，这是伊朗国家支持的黑客组织 MuddyWater（又名 Boggy Serpens）发动攻击的一部分。 本周早些时候发布的一份报告中，帕洛阿尔托网络 Unit 42 指出，该对手持续针对中东地区的外交和关键基础设施，包括能源、海事和金融领域，以及全球其他战略目标。 Unit 42 表示：“虽然社会工程仍然是其主要特征，但该组织也在不断提升其技术能力。其多样的工具集包括结合了反分析技术以实现长期潜伏的人工智能增强型恶意软件植入程序。这种社会工程与快速开发工具的结合，形成了强大的威胁态势。” Unit 42 还称：“为支持其大规模的社会工程活动，Boggy Serpens 使用了一个定制的基于网络的编排平台。该工具使操作人员能够在对发件人身份和目标列表保持精细控制的同时，实现大规模电子邮件的自动发送。” 该组织隶属于伊朗情报和安全部（MOIS），主要专注于网络间谍活动，不过它还通过采用 DarkBit 勒索软件身份，与针对以色列理工学院的破坏性行动有关联。 MuddyWater 攻击手法的一个显著特点是，在鱼叉式网络钓鱼攻击中使用劫持的政府和企业官方账户，并滥用信任关系来规避基于信誉的拦截系统并传播恶意软件。 在 2025 年 8 月 16 日至 2026 年 2 月 11 日期间，针对阿联酋一家未具名的国家海洋和能源公司的持续攻击活动中，该威胁行为者据称发动了四轮不同的攻击，导致部署了包括 GhostBackDoor 和 Nuso（又名 HTTP_VIP）在内的各种恶意软件家族。该威胁行为者武器库中的其他一些知名工具包括 UDPGangster 和 LampoRAT（又名 CHAR）。 Unit 42 表示：“Boggy Serpens 最近的活动体现了其威胁态势的成熟，该组织将其既定方法与更完善的持续运营机制相结合。通过使其开发渠道多样化，纳入 Rust 等现代编程语言和人工智能辅助工作流程，该组织创建了并行路径，确保维持高运营节奏所需的冗余性。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability identified as problematic has been detected in IBM InfoSphere Information Server 11.7. Affected is an unknown function. This manipulation causes cross-site request forgery. The identification of this vulnerability is CVE-2023-38268. It is possible to initiate the attack remotely. There is no exploit available. You should upgrade the affected component.

A vulnerability labeled as problematic has been found in Amazon AWS-LC and AWS-LC-FIPS 1.69.0. This vulnerability affects unknown code of the component CRL Distribution Point Validation. Executing a manipulation can lead to improper check for certificate revocation. This vulnerability is registered as CVE-2026-4428. It is possible to launch the attack remotely. No exploit is available. The affected component should be upgraded.

A vulnerability was found in Linux Kernel up to 6.19.3. It has been classified as critical. Affected is the function macvlan_common_newlink of the file drivers/net/macvlan.c. This manipulation causes use after free. This vulnerability is handled as CVE-2026-23273. The attack can only be done within the local network. There is not any exploit available. Upgrading the affected component is recommended.

A vulnerability labeled as problematic has been found in Linux Kernel up to 6.18.18/6.19.8/7.0-rc3. This issue affects the function io_ctx_mark_taskrun of the component io_uring. The manipulation results in privilege escalation. This vulnerability is identified as CVE-2026-23275. The attack can only be performed from the local network. There is not any exploit available. The affected component should be upgraded.

A vulnerability was found in Oracle Identity Manager and Web Services Manager 12.2.1.4.0/14.1.2.1.0 and classified as critical. Affected is an unknown function of the component Web Service. The manipulation results in improper authentication. This vulnerability was named CVE-2026-21992. The attack may be performed from remote. There is no available exploit. It is suggested to upgrade the affected component.

A vulnerability was found in Google Chrome. It has been classified as critical. This affects an unknown part of the component ANGLE. The manipulation leads to integer overflow. This vulnerability is documented as CVE-2026-4464. The attack can be initiated remotely. There is not any exploit available. Upgrading the affected component is recommended.

A vulnerability categorized as critical has been discovered in pac4j pac4j-jwt up to 4.5.8/5.7.8/6.3.2. This vulnerability affects unknown code. The manipulation results in improper verification of cryptographic signature. This vulnerability is identified as CVE-2026-29000. The attack can be executed remotely. There is not any exploit available. It is advisable to upgrade the affected component.

A vulnerability labeled as critical has been found in Google Chrome. The impacted element is an unknown function of the component WebRTC. Executing a manipulation can lead to heap-based buffer overflow. This vulnerability is handled as CVE-2026-4463. The attack can be executed remotely. There is not any exploit available. The affected component should be upgraded.

HackerNews 编译，转载请注明出处： 甲骨文发布了安全更新，以修复影响身份管理器（Identity Manager）和 Web 服务管理器（Web Services Manager）的一个严重安全漏洞，该漏洞可能被利用来实现远程代码执行。 此漏洞编号为 CVE – 2026 – 21992，在满分 10.0 的通用漏洞评分系统（CVSS）中得分 9.8。 甲骨文在一份安全公告中表示：“该漏洞无需身份验证即可远程利用。若成功利用，此漏洞可能导致远程代码执行。” 受 CVE – 2026 – 21992 影响的版本如下： 甲骨文身份管理器 12.2.1.4.0 版和 14.1.2.1.0 版 甲骨文 Web 服务管理器 12.2.1.4.0 版和 14.1.2.1.0 版 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述，它 “极易被利用”，未经身份验证的攻击者通过 HTTP 获得网络访问权限后，可借此危害甲骨文身份管理器和甲骨文 Web 服务管理器，进而成功控制易受攻击的实例。 甲骨文并未提及该漏洞在现实中已被利用的情况。然而，这家科技巨头敦促客户立即应用更新，以获得最佳保护。 2025 年 11 月，美国网络安全与基础设施安全局（CISA）将 CVE – 2025 – 61757（CVSS 评分：9.8）添加到已知被利用漏洞（KEV）目录中，该漏洞是一个影响甲骨文身份管理器的预认证远程代码执行漏洞，CISA 称有证据表明它已被主动利用。 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）周五表示，与俄罗斯情报机构有关联的威胁行为者正在开展网络钓鱼活动，试图入侵 WhatsApp 和 Signal 等商业消息应用程序（CMA），以控制具有高情报价值人员的账户。 FBI 局长卡什・帕特尔在 X 平台（原推特）上发文称：“此次活动的目标是具有高情报价值的人员，包括现任和前任美国政府官员、军事人员、政治人物和记者。在全球范围内，这一行动已导致数千个个人账户遭到未经授权的访问。攻击者获得访问权限后，能够查看消息和联系人列表，以受害者的身份发送消息，并利用受信任身份开展更多网络钓鱼活动。” CISA 和 FBI 称，这一活动已致使数千个个人 CMA 账户遭到入侵。值得注意的是，这些攻击旨在侵入目标账户，并非利用安全漏洞或弱点来破解平台的加密保护。 虽然这些机构并未将该活动归咎于某个特定的威胁行为者，但微软和谷歌威胁情报小组此前的报告已将此类活动与多个与俄罗斯有关的威胁组织联系起来，这些组织包括 “星暴”（Star Blizzard）、UNC5792（又名 UAC – 0195）以及 UNC4221（又名 UAC – 0185）。 法国国家网络安全局（ANSSI）下属的网络危机协调中心（C4）也曾发布类似警报，警告针对政府官员、记者和企业领导人即时通讯账户的攻击活动激增。 C4 表示：“这些攻击一旦成功，恶意行为者就能访问聊天记录，甚至控制受害者的消息账户，并以受害者的身份发送消息。” 此次活动的最终目的是让威胁行为者未经授权访问受害者账户，从而查看消息和联系人列表，代受害者发送消息，甚至通过滥用信任关系对其他目标进行二次网络钓鱼。 正如德国和荷兰的网络安全机构近期所警告的，此次攻击中，攻击者冒充 “Signal 支持” 人员接近目标，敦促他们点击链接（或扫描二维码），或提供 PIN 码或验证码。无论哪种方式，这种社会工程手段都能让威胁行为者获取受害者的 CMA 账户访问权。 不过，根据受害者所采用的不同方式，此次活动会产生两种不同结果： 如果受害者选择向威胁行为者提供 PIN 码或验证码，他们将失去账户访问权，因为攻击者已用其在自己端恢复账户。虽然威胁行为者无法访问过往消息，但这种方法可用于监控新消息，并冒充受害者向他人发送消息。 如果受害者最终点击链接或扫描二维码，受威胁行为者控制的设备就会与受害者账户关联，使其能够访问所有消息，包括过去发送的消息。在这种情况下，除非受害者在应用设置中被明确移除，否则他们仍可继续访问 CMA 账户。 为更好地防范此类威胁，建议用户切勿与任何人分享短信验证码或验证 PIN 码，收到来自未知联系人的意外消息时要谨慎，点击链接前先检查，定期查看已关联设备，并移除可疑设备。 Signal 本月早些时候在 X 平台上发文称：“这些攻击和所有网络钓鱼一样，依赖社会工程手段。攻击者冒充可信联系人或服务（比如虚构的‘Signal 支持机器人’），诱骗受害者交出登录凭证或其他信息。” “为防止此类情况发生，请记住，只有在首次注册 Signal 应用程序时才需要短信验证码。我们还要强调，Signal 支持人员绝不会通过应用内消息、短信或社交媒体主动联系您，索要验证码或 PIN 码。如果有人索要与 Signal 相关的任何代码，那就是诈骗。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in D-Link DIR-513 1.10 and classified as critical. The impacted element is an unknown function of the file /goform/formSysCmd. Executing a manipulation of the argument sysCmd can lead to os command injection. This vulnerability only affects products that are no longer supported by the maintainer. The identification of this vulnerability is CVE-2026-4465. The attack may be launched remotely. Furthermore, there is an exploit available.

A vulnerability was found in Comfast CF-AC100 2.6.0.8. It has been classified as critical. This affects an unknown function of the file /cgi-bin/mbox-config?method=SET&section=ntp_timezone. The manipulation leads to command injection. This vulnerability is referenced as CVE-2026-4466. Remote exploitation of the attack is possible. Furthermore, an exploit is available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability was found in LuckyPennySoftware AutoMapper up to 15.1.0/16.1.0. It has been rated as problematic. This impacts an unknown function of the component Object Graph Handler. Performing a manipulation results in uncontrolled recursion. This vulnerability is known as CVE-2026-32933. Remote exploitation of the attack is possible. No exploit is available. Upgrading the affected component is advised.

A vulnerability identified as problematic has been detected in openVESSL Anchorr up to 1.4.1. This vulnerability affects unknown code of the file /api/config. This manipulation of the argument JELLYFIN_API_KEY causes basic cross site scripting. This vulnerability is handled as CVE-2026-32891. The attack can be initiated remotely. There is not any exploit available. You should upgrade the affected component.