Aggregator

A vulnerability, which was classified as critical, has been found in Dell Device Management Agent up to 26.01. This impacts an unknown function. The manipulation leads to incorrect authorization. This vulnerability is uniquely identified as CVE-2026-26949. Local access is required to approach this attack. No exploit exists. It is advisable to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Craft CMS. The impacted element is the function create of the component Twig SSTI. This manipulation causes path traversal. This vulnerability is registered as CVE-2026-28695. Remote exploitation of the attack is possible. No exploit is available. It is advisable to upgrade the affected component.

A vulnerability described as critical has been identified in Silabs Zigbee Stack up to 4.3.4/2024.6.2. This vulnerability affects unknown code. The manipulation results in unchecked return value. This vulnerability was named CVE-2025-1394. The attack needs to be approached within the local network. There is no available exploit.

U.S. Cybersecurity and Infrastructure Security Agency (CISA) adds Apple, Rockwell, and Hikvision flaws to its Known Exploited Vulnerabilities catalog. The U.S. Cybersecurity and Infrastructure Security Agency (CISA) added Apple, Rockwell, and Hikvision flaws to its Known Exploited Vulnerabilities (KEV) catalog. Below are the flaws added to the catalog: CVE-2023-43000 is a use-after-free issue in the WebKit component. Apple […]

ADPulse — Active Directory Security Scanner ADPulse is an open-source Active Directory security auditing tool that connects to

The post Beyond the Perimeter: Auditing Active Directory Security with ADPulse’s 35-Point Automated Scan appeared first on Penetration Testing Tools.

复旦大学系统软件与安全实验室在跨设备认证安全领域取得新进展

Developers and analysts are using more AI tools to produce code and to test both the performance and security of the finished products. They are also embedding AI functionality in their products directly. But just how secure are these AI tools and routines themselves? Recent reports show they suffer from vulnerabilities just like any other code. For example, Google recently provided an update for CVE-2026-0628, associated with Gemini AI implemented in the Chrome browser. This … More →

The post March 2026 Patch Tuesday forecast: Is AI security an oxymoron? appeared first on Help Net Security.

A China-linked advanced persistent threat (APT) actor has been targeting critical telecommunications infrastructure in South America since 2024, targeting Windows and Linux systems and edge devices with three different implants. The activity is being tracked by Cisco Talos under the moniker UAT-9244, describing it as closely associated with another cluster known as FamousSparrow. It's worth

Новый вирус GHOSTFORM запускается в памяти компьютера и скрывается от антивирусов.

活动期间全线业务限时升级为高系数，更有新人启航礼・伯乐引荐礼！

Currently trending CVE - Hype Score: 1 - Stack buffer overflow vulnerability in D-Link DIR-513 v1.10 via the curTime parameter to goform/formSetWAN_Wizard55.

Currently trending CVE - Hype Score: 2 - Insecure permissions in App-Auto-Patch v3.4.2 create a race condition which allows attackers to write arbitrary files.

BBC technology reporter Thomas Germain recounted in an interview how he personally tested the ease with which ubiquitous

The post The “Hot Dog” Hack: How a BBC Reporter Fooled Google and ChatGPT with a Single Blog Post appeared first on Penetration Testing Tools.

A critical vulnerability has been unearthed within the widely utilized Java authentication library, pac4j-jwt, empowering a malicious actor

The post The Null-Signature Trap: Unmasking the 10.0 CVSS Authentication Bypass in pac4j-jwt appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 维基媒体基金会今日遭遇安全事件，一款自传播 JavaScript 蠕虫篡改用户脚本并破坏 Meta-Wiki 页面。 维基编辑首先在 “村舍水泵（技术版）” 板块上报该事件，用户发现大量自动化编辑行为向随机页面植入隐藏脚本并实施破坏。 维基媒体工程师暂时限制全平台编辑功能，同时调查攻击并回滚篡改内容。 JavaScript 蠕虫细节 据维基媒体 Phabricator 问题追踪系统显示，事件源于俄文维基上的恶意脚本被执行，导致维基百科全局 JavaScript 脚本被植入恶意代码。 该恶意脚本存储于 User:Ololoshka562/test.js[存档]，最早上传于 2024 年 3 月，据称与此前维基项目攻击所使用的脚本相关。 BleepingComputer 分析编辑记录发现，该脚本今日早些时候首次被维基媒体员工账号执行，当时该账号正在测试用户脚本功能。目前尚不清楚脚本是被故意执行、测试中意外加载，还是因账号被盗触发。 BleepingComputer 分析存档的 test.js 脚本发现，其通过向登录用户的 common.js 和维基百科全局 MediaWiki:Common.js（所有用户共用） 注入恶意 JavaScript 加载器实现自传播。 MediaWiki 支持全局和用户专属 JavaScript 文件（如 MediaWiki:Common.js、User:<用户名>/common.js），这些文件在编辑者浏览器中执行，用于自定义维基界面。 当 test.js 脚本在登录编辑者的浏览器中加载后，会利用该编辑者的会话和权限尝试修改两个脚本： ·     用户级持久化：覆盖 User:<用户名>/common.js，植入加载器 —— 该用户登录浏览维基时会自动加载 test.js 脚本。 ·     全站级持久化：若用户拥有对应权限，脚本会编辑全局 MediaWiki:Common.js，使所有使用该全局脚本的编辑者都执行恶意代码。 向 MediaWiki:Common.js 注入自传播 JavaScript 蠕虫的代码（来源：BleepingComputer） 若全局脚本被成功篡改，所有加载该脚本的用户都会自动执行加载器，进而重复相同步骤（包括感染自身 common.js）。 遭感染的维基媒体用户 common.js 脚本（来源：BleepingComputer） 该脚本还能通过 Special:Random 维基指令获取随机页面，编辑页面插入图片及以下隐藏 JavaScript 加载器： BleepingComputer 分析显示，事件中约 3996 个页面被篡改，85 名用户的 common.js 文件被替换，被删除的页面数量尚未可知。 遭 JavaScript 蠕虫篡改的页面（来源：BleepingComputer） 随着蠕虫扩散，工程师暂时限制全平台编辑功能，同时回滚恶意修改、移除注入脚本的引用。清理过程中，维基媒体基金会员工还回滚了平台上大量用户的 common.js 文件。被篡改的页面现已被 “屏蔽”，不再显示在修改记录中。 截至发稿，注入代码已被清除，编辑功能恢复正常。但维基媒体尚未发布详细事后报告，说明休眠脚本被执行的具体原因，以及蠕虫被控制前的扩散范围。 更新内容：维基媒体基金会向 BleepingComputer 发布声明称，恶意代码仅活跃 23 分钟，期间仅篡改 / 删除 Meta-Wiki 内容（现已恢复）。 声明全文：“今日早些时候，维基媒体基金会员工正对维基百科上用户编写的代码进行安全审查。审查过程中激活了一段休眠代码，随后发现该代码具有恶意性质。作为预防措施，我们暂时禁用维基百科及其他维基媒体项目的编辑功能，同时清除恶意代码并确认平台可安全使用。此次故障的安全问题现已解决。 恶意代码仅活跃 23 分钟，期间篡改 / 删除 Meta-Wiki 内容（现已恢复），未造成永久性损害。无证据表明维基百科遭蓄意攻击，也无个人信息泄露。我们正制定额外安全措施，降低同类事件再次发生的风险。相关更新将通过基金会公开事件日志持续发布。”   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一个影响 Context7 MCP Server 的高危漏洞，该工具被广泛用于向 AI 编程助手提供开发文档。 该漏洞被命名为 ContextCrush，攻击者可通过受信任的文档渠道，向 AI 开发工具注入恶意指令。 漏洞由 Noma Labs 研究人员在 Upstash 运营的 Context7 平台中发现。Context7 让开发者在集成开发环境中，直接为 Cursor、Claude Code、Windsurf 等 AI 助手提供最新的库文档。 该服务拥有约 5 万 GitHub Star、超过 800 万 npm 下载量，已成为 AI 辅助开发流程中的常见基础组件。 ContextCrush 漏洞原理 漏洞源于平台的 Custom Rules（自定义规则） 功能，库维护者可通过该功能向 AI 提供专用指令，帮助助手更好地解析文档。研究人员发现，这些指令会原样下发给 AI，不经过任何过滤或净化。 由于指令通过受信任的 MCP 服务器传输，AI 会将其视为合法指引，并以开发者电脑的权限执行。 这意味着攻击者可在文档注册库中植入恶意规则，并借助 Context7 的基础设施分发给开发者的 AI 工具，且无需与受害者系统直接交互。 研究人员概述了一种典型的攻击链： ·     使用 GitHub 账号在 Context7 注册新库 ·     在 Custom Rules 中插入恶意指令 ·     等待开发者通过 AI 编程助手查询该库 ·     触发后，AI 会利用现有系统权限执行有害操作 已验证的影响与安全风险 测试中，研究人员成功演示了被投毒的库条目如何攻陷开发环境。 AI 助手被指令搜索敏感 .env 文件、将内容传到攻击者控制的仓库，并以 “清理任务” 为名删除本地文件。由于指令与合法文档一同下发，AI 无法可靠区分。 安全分析师警告，MCP 服务器架构存在固有信任问题。聚合用户生成内容并通过可信渠道分发的工具，可能无意中把文档变成 AI 可执行指令。 Noma Labs 还强调，GitHub 声誉、热度排名、信任评分等指标均可被操纵，恶意库可轻易伪装成可信库。 在 2 月 18 日漏洞披露后，Upstash 次日开始修复，并于 2 月 23 日正式发布补丁，加入规则净化与额外安全防护。目前无证据表明该漏洞已被实际利用。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。 该插件由 WPEverest 开发，提供会员与用户注册管理功能，包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。 该漏洞编号为 CVE-2026-1492，CVSS 评分 9.8 分（高危）。由于插件在注册时允许用户指定角色，黑客可未授权创建管理员账户。 管理员账户拥有网站完全权限，可安装插件 / 主题、编辑 PHP、修改安全配置、篡改内容，甚至锁定合法管理员。 获得该权限的攻击者可窃取用户数据库等数据，并植入恶意代码向访客分发恶意程序。 WordPress 安全公司 Defiant（Wordfence 开发商）在过去 24 小时内，在客户环境中拦截了超过 200 次针对该漏洞的利用尝试。 漏洞影响 5.1.2 及以下所有版本。开发者已在 5.1.3 版本中发布修复。建议网站管理员更新至最新版本 5.1.4（上周发布）。 若无法更新，建议暂时禁用或卸载插件。 据 Wordfence 数据，CVE-2026-1492 是该插件今年披露的最严重漏洞。 黑客持续针对 WordPress 网站，用于恶意活动：分发恶意软件、钓鱼、搭建 C2、代理流量或存储被盗数据。 2026 年 1 月，黑客开始利用 Modular DS 插件的最高危漏洞 CVE-2026-23550，可远程绕过认证并以管理员权限访问受影响网站。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露一起与俄罗斯关联的钓鱼攻击活动，使用两款全新恶意软件家族 BadPaw 和 MeowMeow 针对乌克兰组织。攻击链以携带 ZIP 压缩包链接的钓鱼邮件开始。打开后，一个 HTA 文件会显示一份乌克兰语的边境过境申请诱饵文档，同时在后台秘密启动感染链。 ClearSky 的报告写道：“攻击链始于一封包含 ZIP 压缩包链接的钓鱼邮件。解压后，初始 HTA 文件会显示一份用乌克兰语撰写的关于边境过境申请的诱饵文档，以欺骗受害者。与此同时，感染程序会下载基于.NET 的加载器 BadPaw。在建立 C2 通信后，该加载器会投放功能复杂的后门 MeowMeow。” 研究人员发现，这两款恶意软件均使用.NET Reactor 加壳工具增加分析与逆向难度，表明攻击者意图规避检测并实现长期驻留。 报告继续写道：“BadPaw 采用的另一层防护是使用.NET Reactor，这是一款用于.NET 程序集的商用保护与混淆工具。该加壳工具对底层代码进行混淆，阻碍静态分析与逆向工程。” 该恶意软件还包含多重防御机制。其组件仅在使用特定参数启动时才会激活，否则显示正常界面并执行无害代码。 MeowMeow 后门增加环境检测，扫描系统是否为虚拟机，以及是否存在 Wireshark、ProcMon、Fiddler 等分析工具。若检测到沙箱或研究环境，会立即停止运行以避免被分析。 ClearSky 研究人员高置信度将此次活动归为与俄罗斯相关的网络间谍组织，较低置信度归为 APT28。评估依据三点：针对乌克兰机构、代码中存在俄语痕迹、战术与俄罗斯过往网络行动一致（包括多阶段感染链、.NET 加载器）。 与此同时，攻击链会投放名为 BadPaw 的.NET 加载器，该加载器与远程服务器建立通信，获取并投放高级后门 MeowMeow。 该活动中置信度归为俄罗斯国家级威胁组织 APT28，依据是目标范围、诱饵的地缘政治属性，以及与俄罗斯过往网络行动的技术重合点。 ClearSky 的研究详细描述了多阶段感染链，该感染链始于通过乌克兰服务商 ukr [.] net 发送的钓鱼邮件，该服务商曾在俄罗斯的攻击活动中被滥用。邮件包含一个链接，首先加载追踪像素，受害者点击时通知攻击者，随后跳转到短链接，下载 ZIP 压缩包。 压缩包内是伪装成 HTML 文档的 HTA 文件。执行时会打开关于乌克兰边境过境申请的诱饵文档，同时静默启动恶意流程。该 HTA 通过检查系统安装日期进行反分析，若为新近安装系统则终止运行，这是常见的沙箱规避手段。 报告继续写道：“释放的诱饵文档属于社会工程手段，显示为乌克兰边境过境政府申请的回执确认。该诱饵用于维持合法外观，而 HTA 文件在后台执行后续阶段。” “为规避检测并识别潜在沙箱环境，HTA 文件通过检查以下注册表项进行环境判断：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate 通过查询该值，恶意软件计算操作系统 “年龄”。若系统安装时间距运行不足 10 天，恶意软件直接退出。这是一种常见反分析技术，用于避免在新建虚拟机或自动化分析沙箱中运行。” 若条件满足，会查找原始压缩包，释放额外组件，并通过计划任务实现持久化。随后 VBS 脚本通过隐写术从图片中提取隐藏的载荷数据，释放出 PE 文件，研究人员确认为 BadPaw 加载器，该加载器最终投放 MeowMeow 后门并建立 C2 通信。 研究人员在恶意软件代码中发现俄语字符串，其中包括表示达到运行状态所需时间的内容。这些痕迹表明来源为俄罗斯，可能是操作安全（OPSEC）失误，或未针对乌克兰目标移除开发残留内容。 报告总结道：“这些俄语字符串的存在表明两种可能：威胁组织犯了操作安全错误，未针对乌克兰目标环境做代码本地化；或是在恶意软件制作阶段无意中留下了俄语开发痕迹。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文