Aggregator

A vulnerability described as critical has been identified in WAGO 0852-1322 and 0852-1328 up to 2.64. Affected by this issue is some unknown functionality of the file /js/../cgi-bin/post.cgi of the component CGI Endpoint. Such manipulation leads to path traversal. This vulnerability is uniquely identified as CVE-2026-22905. The attack can be launched remotely. No exploit exists.

A vulnerability marked as critical has been reported in WAGO 0852-1322 and 0852-1328 up to 2.64. Affected by this vulnerability is an unknown functionality of the component Cookie Handler. This manipulation causes stack-based buffer overflow. This vulnerability is handled as CVE-2026-22904. The attack can be initiated remotely. There is not any exploit available.

A vulnerability labeled as critical has been found in WAGO 0852-1322 and 0852-1328 up to 2.64. Affected is an unknown function of the component Cookie Handler. The manipulation of the argument SESSIONID results in stack-based buffer overflow. This vulnerability is known as CVE-2026-22903. It is possible to launch the attack remotely. No exploit is available.

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一起新型供应链攻击事件：npm 和 Python 包索引（PyPI）仓库中的合法包遭攻陷，攻击者推送恶意版本以窃取钱包凭证并实现远程代码执行。 两款遭攻陷的包及其受影响版本如下： ·     @dydxprotocol/v4-client-js (npm) – 3.4.1, 1.22.1, 1.15.2, 1.0.31 ·     dydx-v4-client（PyPI）——1.1.5post1 版本 “@dydxprotocol/v4-client-js（npm）和 dydx-v4-client（PyPI）包为开发者提供与 dYdX v4 协议交互的工具，包括交易签名、下单及钱包管理功能。” Socket 安全研究员 Kush Pandya 指出。“使用这些包的应用会处理高敏感的加密货币相关操作。” dYdX 是一个非托管、去中心化的加密货币交易所，用于交易保证金和永续掉期，同时允许用户完全控制其资产。该 DeFi 交易所在其网站上称，其累计交易量已超过 1.5 万亿美元。 虽然目前尚不清楚这些被下毒的更新是如何被推送的，但怀疑是开发者账户被盗用所致，因为这些恶意版本是使用合法的发布凭证发布的。 研究发现，威胁攻击者针对 JavaScript 和 Python 生态系统植入了不同的恶意载荷。其中 npm 包中的恶意代码为加密货币钱包窃取器，会窃取助记词和设备信息。而 Python 包除钱包窃取功能外，还植入了远程访问木马（RAT）。 该 RAT 组件在包被导入时立即运行，会连接外部服务器（dydx.priceoracle [.] site/py）获取指令，随后在主机上执行。在 Windows 系统中，其利用 “CREATE_NO_WINDOW”  标记确保执行过程中不弹出控制台窗口。 Pandya 说。“攻击者对包的内部结构了如指掌，将恶意代码植入核心注册表文件（registry.ts、registry.js、account.py），这些代码会在包正常使用过程中执行。” “PyPI 版本中采用了 100 轮混淆处理，且跨生态系统的攻击部署高度协同，这表明攻击者直接获取了发布基础设施的访问权限，而非利用仓库自身的技术漏洞。” 2026 年 1 月 28 日研究人员依规披露该事件后，dYdX 在 X 平台发布多篇帖子确认此事，并敦促下载过遭攻陷版本的用户隔离受影响设备、在安全系统中将资产转移至新钱包，同时更换所有 API 密钥和凭证。 “托管在 dydxprotocol Github 中的 dydx-v4-clients 版本不包含恶意软件，” 他补充道。 这并非 dYdX 生态系统首次成为供应链攻击的目标。2022年9月，Mend 和 Bleeping Computer 曾报道过一个类似案例，dYdX 一名员工的 npm 账户被劫持，用于发布多个 npm 软件包的新版本，其中包含窃取凭证和其他敏感数据的代码。 两年后，该交易所还披露，与其现已停止的 dYdX v3 平台相关的网站遭到入侵，将用户重定向到一个旨在清空其钱包的钓鱼网站。 “结合 2022 年的 npm 供应链入侵事件和 2024 年的 DNS 劫持事件来看，这次攻击突显了对手通过受信任的分发渠道瞄准 dYdX 相关资产的持久模式，” Socket 表示。 “跨语言近乎相同的凭证窃取实现表明攻击者进行了周密的计划。威胁行为者保持了一致的数据外传端点、API 密钥和设备指纹逻辑，同时部署了针对特定生态系统的攻击向量。npm 版本专注于凭证窃取，而 PyPI 版本则增加了对系统的持久访问权限。” 不存在的软件包带来的供应链风险 此次披露之际，Aikido 详细说明了 README 文件和脚本中引用但从未实际发布的 npm 软件包如何构成了一个有吸引力的供应链攻击载体，允许威胁行为者以这些名称发布软件包来分发恶意软件。 这一发现是软件供应链威胁日益复杂化的最新体现，攻击者利用与开源仓库相关的信任，可以一次性危害大量用户。 “复杂的攻击者正在向软件供应链的上游移动，因为它为进入下游环境提供了一条深入、低噪声的初始访问路径，” Sygnia 的 Omer Kidron 说。 “同样的方法既支持精准入侵（特定的供应商、维护者或构建身份），也支持通过广受信任的生态系统进行大规模的机会主义攻击——这使得它与所有组织都相关，无论它们是否认为自己是主要目标。” Aikido 的分析发现，在 2025 年 7 月至 2026 年 1 月期间，这 128 个幽灵软件包总共获得了 121,539 次下载，平均每周 3,903 次下载，上个月达到了 4,236 次下载的峰值。下载量最大的软件包列表如下 – ·     openapi-generator-cli (48,356 次下载)，模仿 @openapitools/openapi-generator-cli ·     cucumber-js (32,110 次下载)，模仿 @cucumber/cucumber ·     depcruise (15,637 次下载)，模仿 dependency-cruiser ·     jsdoc2md (4,641 次下载) ·     grpc_tools_node_protoc (4,518 次下载) ·     vue-demi-switch (1,166 次下载) “仅在过去七天，openapi-generator-cli 就获得了 3,994 次下载，” 安全研究员 Charlie Eriksen 说。“这相当于在一周内，有近 4,000 次有人试图运行一个不存在的命令。” 这些发现凸显了 npm 在仿冒域名保护方面的一个盲点。npm 虽然会主动阻止注册与现有软件包名称拼写相似的企图，但不会阻止用户创建那些原本就未曾注册过的名称的软件包，因为根本没有任何东西可以比对。 为了降低由 npx 混淆带来的这种风险，Aikido 建议采取以下步骤： ·     使用 “npx –no-install” 来阻止回退到仓库下载，如果本地找不到软件包，则安装失败 ·     明确安装 CLI 工具 ·     如果文档要求用户运行某个软件包，请验证该软件包是否存在 ·     注册明显的别名和拼写错误的名称，以防止攻击者抢占 “npm 生态系统有数百万个软件包，” Eriksen 说。“开发者每天运行数千次 npx 命令。‘便捷的默认设置’与‘任意代码执行’之间，只差一个未被认领的软件包名称。” 消息来源:thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司 Anthropic 公布，其最新大语言模型 Claude Opus 4.6 在 Ghostscript、OpenSC、CGIF 等开源库中发现了 500 余个此前未知的高危安全漏洞。 于周四发布的 Claude Opus 4.6 升级了代码能力，涵盖代码审查与调试功能，同时在金融分析、研究、文档生成等任务上也有所优化。 Anthropic 表示，该模型在无需专用工具、自定义框架或特定提示词的情况下，发现高危漏洞的能力“显著提升”，目前已将其用于开源软件漏洞的发现与修复辅助工作。 该公司补充道：“Opus 4.6 能像人类研究员一样阅读和推理代码——通过查看过往修复记录寻找未解决的同类漏洞，识别易引发问题的代码模式，或充分理解程序逻辑，精准判断何种输入会导致程序异常。” 正式发布前，Anthropic 的前沿红队在虚拟化环境中对该模型进行了测试，并为其配备调试器、模糊测试器等必要工具，用于发现开源项目中的漏洞。公司称，测试目的是评估模型的开箱即用能力，全程不提供工具使用指导，也不提供任何有助于漏洞识别的额外信息。 该公司还表示，已对所有发现的漏洞进行验证，确保其并非模型虚构（即幻觉生成），并利用该大模型对已识别的最严重内存破坏漏洞进行优先级排序。 以下为 Claude Opus 4.6 识别出的部分安全漏洞，相关维护方已完成修复： ·     通过解析 Git 提交记录，发现 Ghostscript 中一处因缺失边界检查可导致程序崩溃的漏洞 ·     通过检索 `strrchr()`、`strcat()` 等函数调用，发现 OpenSC 中的缓冲区溢出漏洞 ·     CGIF 中的堆缓冲区溢出漏洞（已在 0.5.1 版本修复） 谈及 CGIF 漏洞时，Anthropic 表示：“该漏洞尤为特殊，触发它需要理解 LZW 算法及其与 GIF 文件格式的关联逻辑。传统模糊测试器（甚至覆盖引导式模糊测试器）很难触发此类漏洞，因为其需要特定的分支执行路径。” “事实上，即便 CGIF 实现 100% 行覆盖与分支覆盖，该漏洞仍可能无法被发现——其需要极为特定的操作序列才能触发。” 该公司将 Claude 等 AI 模型定位为网络防御方“实现力量平衡”的关键工具。但同时强调，会根据潜在威胁的发现调整并更新安全防护机制，增设额外约束以防范模型滥用。 此次披露发布的数周前，Anthropic 曾表示，其现有 Claude 模型仅通过标准开源工具，就能发现并利用已知安全漏洞，对包含数十台主机的网络实施多阶段攻击。 该公司称：“这表明 AI 在自主化网络安全工作流程中的应用门槛正快速降低，也凸显出及时修复已知漏洞等安全基础工作的重要性。”     消息来源:thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability identified as critical has been detected in Fluent Forms Pro Add On Pack Plugin up to 6.1.12 on WordPress. This impacts the function saveDataSource. The manipulation leads to server-side request forgery. This vulnerability is traded as CVE-2026-0632. It is possible to initiate the attack remotely. There is no exploit available.

HackerNews 编译，转载请注明出处： Flickr 表示，一家第三方邮件服务提供商存在一处漏洞，可能导致用户姓名、邮箱地址、IP 地址及账户活动信息泄露。Flickr 是 SmugMug 旗下的图片分享平台，拥有超过 1 亿注册用户及数百万活跃摄影师。 Flickr 就一起可能由第三方邮件服务漏洞引发的数据泄露事件向用户发出警告。该问题可能泄露了姓名、邮箱地址、IP 地址及账户活动信息。公司指出，此次安全漏洞未导致密码或支付数据外泄。Flickr 在数小时内便切断了受影响系统的访问。 发送给受影响用户的数据泄露通知中写道：“我们特此告知您一起涉及我方某第三方服务提供商的安全事件，该事件可能影响了您的部分个人信息。以下是需要了解的内容。”“2026年2月5日，我们获悉由我方一家邮件服务提供商运营的系统存在一处漏洞。此漏洞可能允许未授权方访问部分 Flickr 会员信息。我们在得知此事后数小时内，便切断了对该受影响系统的访问。”该公司未说明涉及哪家提供商，亦未透露受影响用户数量。 Flickr 表示，在发现问题后已迅速做出反应。他们立即切断了对受影响系统的访问、移除了指向存在漏洞端点的链接，并警示了该第三方提供商，要求其进行全面调查。与此同时，公司启动了更广泛的安全审查，并开始加强围绕第三方服务的管控措施。公司也已通知相关数据保护机构。 公司建议用户保持警惕，注意防范伪装成与账户相关的钓鱼邮件，检查账户设置中是否存在异常活动，如果在其他服务中重复使用了相同密码，应及时更新。 “对于此次事件及其可能引起的担忧，我们深表歉意。我们极度重视您数据的隐私与安全，目前正在采取立即行动，通过进行彻底调查、强化系统架构及进一步加强对第三方服务提供商的监控，以防止任何类似问题再次发生。”通知最后总结道。     消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）警告称，勒索软件攻击者正利用 SmarterMail 中的高危漏洞 CVE-2026-24423，该漏洞可实现无认证远程代码执行。 SmarterMail 是 SmarterTools 公司推出的一款基于 Windows 系统的自托管邮件服务器与协作平台。该产品提供 SMTP/IMAP/POP 邮件服务，同时搭载网页邮箱、日历、通讯录及基础群件功能。 该产品普遍部署于托管服务提供商（MSP）、中小企业及提供邮件服务的托管公司。据 SmarterTools 公司数据，其产品在全球 120 个国家拥有约 1500 万用户。 CVE-2026-24423漏洞影响SmarterTools SmarterMail版本9511之前的构建版本，成功利用可通过ConnectToHub API导致远程代码执行（RCE）。 该漏洞由watchTowr、CODE WHITE和VulnCheck网络安全公司的安全研究人员发现并负责任地披露给了SmarterTools。 供应商于1月15日在SmarterMail Build 9511中修复了该漏洞。 CISA现已将该漏洞纳入已知被利用漏洞（KEV）目录，并标记其在勒索软件攻击活动中遭积极利用。 该联邦机构警示称：“SmarterTools SmarterMail 的 ConnectToHub 接口方法存在关键功能未做身份认证的漏洞。” “该漏洞可使攻击者将 SmarterMail 实例指向搭载恶意操作系统指令的恶意 HTTP 服务器，进而引发指令执行风险。” CISA要求受 22-01 号强制性运营指令约束的联邦机构及实体，需在 2026 年 2 月 26 日前完成安全更新部署、落实厂商建议的缓解措施，或停止使用该产品。 就在 SmarterTools 公司修复 CVE-2026-24423 漏洞同期，watchTowr 研究人员发现另一处身份认证绕过漏洞，内部编号为 WT-2026-0001。 该未分配公开编号的漏洞可实现无验证重置管理员密码，且在厂商发布补丁后不久便遭黑客利用。 研究人员依据匿名线索、受攻陷系统日志中的特定调用记录，以及与漏洞代码路径完全匹配的端点得出该结论。 此后，SmarterMail 又修复了多项标注为 “高危” 的安全漏洞，建议系统管理员将产品升级至最新版本，即 1 月 30 日发布的 9526 版本。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国国内情报机构警告称，疑似国家支持的威胁行为者正通过 Signal 等即时通讯应用，针对高级别人士进行网络钓鱼攻击。 此类攻击结合社会工程学手段与通讯应用的合法功能，窃取德国及欧洲各国政客、军官、外交官和调查记者的相关数据。 该安全警示基于德国联邦宪法保卫局（BfV）与联邦信息安全办公室（BSI）搜集的情报编制。 两家机构通报称：“此次攻击行动的典型特征是，攻击者既未使用恶意软件，也未利用即时通讯服务的技术漏洞。” 警示内容显示，攻击者会直接联系目标对象，伪装成即时通讯应用的客服团队或客服聊天机器人。 “攻击目的是秘密获取受害者的一对一聊天记录、群组聊天记录以及通讯录信息。” 此类攻击分为两种模式：一种是完全劫持账号，另一种是将受害者账号与攻击者设备绑定，以监控聊天活动。 第一种攻击模式中，攻击者伪装成 Signal 客服，发送虚假安全警示以制造紧迫感。 随后诱骗目标泄露 Signal PIN 码或短信验证码，攻击者便可将该账号注册至自己控制的设备上。进而劫持账号并将受害者踢出账号。 攻击者通过私信伪装成 Signal 客服（来源：BSI） 第二种攻击模式中，攻击者通过合理的借口诱骗目标扫描二维码。攻击者滥用 Signal 合法的设备关联功能，该功能本用于将账号绑定至电脑、平板、手机等多台设备。 最终受害者账号会与攻击者控制的设备绑定，攻击者可悄无声息地获取聊天记录与通讯录信息。 用于绑定新设备的二维码（来源：BSI） 尽管 Signal 会在 “设置> 关联设备” 中列出所有绑定账号的设备，但用户极少核查该列表。 此类攻击已在 Signal 平台被观测到，警示公告同时提醒，WhatsApp 也具备类似功能，可能被以相同方式滥用。 去年，谷歌威胁研究人员通报称，俄罗斯国家背景的威胁组织（如沙虫组织）已使用二维码绑定攻击技术。 乌克兰计算机应急响应小组（CERT-UA）也将类似的 WhatsApp 账号攻击事件归咎于俄罗斯黑客。 但此后包括网络犯罪分子在内的多个威胁组织，已在如“GhostPairing”等攻击行动中采用该技术劫持账号，实施诈骗活动。 德国当局建议用户切勿回复自称客服账号发来的 Signal 消息，因该通讯平台不会主动直接联系用户。 建议收到此类消息的用户直接屏蔽并举报相关账号。 作为额外安全防护措施，Signal 用户可在 “设置> 账号” 中开启 “注册锁定” 功能。该功能开启后，任何尝试使用用户手机号注册 Signal 的操作，均需输入用户自行设置的 PIN 码。 没有PIN码，在另一台设备上注册Signal账户将失败。因该验证码是注册必需信息，丢失 PIN 码可能导致用户无法登录自身账号。 同时强烈建议用户定期在 “设置> 关联设备” 中核查 Signal 账号的绑定设备列表，移除未知设备。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国一家主要的支付网关与解决方案服务商BridgePay表示，勒索软件攻击导致其核心系统下线，引发大范围服务中断并波及多项业务。 该事件始于上周五，并迅速升级为 BridgePay 平台全国性服务瘫痪。 服务中断数小时后确认遭勒索软件攻击 BridgePay Network Solutions于周五晚间证实，导致其支付网关业务中断的事件系勒索软件攻击引发。 该公司在 2 月 6 日发布的更新公告中称，已联络联邦执法机构（包括美国联邦调查局及美国特勤局），并协同外部溯源与系统恢复团队开展处置工作。 公司表示：“初步溯源调查结果显示，支付卡数据未发生泄露”，并补充称所有被访问文件均已被加密，目前 “无证据表明可用数据存在外泄情况”。 科技媒体BleepingComputer已就攻击涉及的具体勒索软件团伙联系BridgePay，该公司尚未披露其具体信息。 商户被迫转为只收现金 就在 BridgePay 披露该事件的同期，美国部分商户及机构告知客户，因全国性银行卡支付处理业务中断，目前仅支持现金付款。 一家餐馆表示，其“信用卡处理公司遭遇网络安全漏洞”，导致全国范围内的刷卡支付无法使用。 佛罗里达州棕榈湾市政府发布公告称： “我方的第三方信用卡处理供应商BridgePay Network Solutions正遭遇全国性服务中断。因此，本市的在线账单支付门户目前无法使用。我们暂时无法提供预计恢复时间。” 为此，市政府建议市民可现场通过现金、银行卡或支票缴纳公共事业费用，特殊情况下可致电市政办公部门办理。 包括 Lightspeed Commerce、ThriftTrac 及德克萨斯州弗里斯科市在内的其他机构均反馈，其业务受到 BridgePay 此次事件的影响。 支付网关服务遭重创 BridgePay的状态页面显示，其核心生产系统出现大面积中断，受影响部分包括： BridgePay网关API（BridgeComm） PayGuardian 云应用程序接口 MyBridgePay虚拟终端及报表系统 托管支付页面 PathwayLink 网关及入驻门户 当日凌晨 3 时 29 分左右已出现预警信号，监控系统检测到多项服务性能下降，首当其冲的是 “Gateway.Itstgate.com—— 虚拟终端、报表系统、应用程序接口” 相关模块。 这种间歇性服务性能下降最终演变为全面系统中断。 几小时内，该公司便披露事件与网络安全相关，随后证实为勒索软件攻击。 受影响系统范围之广，意味着依赖该平台进行卡交易的众多商户和支付集成商将面临大面积的业务中断。 根据最新公告，BridgePay 表示系统恢复工作尚需时日，相关处置正以 “安全、负责的方式” 推进，同时公司的溯源调查仍在持续。 此次事件进一步加剧了针对支付基础设施的勒索软件攻击浪潮，一旦交易通道中断，影响将迅速传导至线下实体商业领域。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Romania’s national oil pipeline operator Conpet said a cyberattack disrupted its business systems and temporarily knocked its website offline. Conpet is a state-controlled company that owns and operates the country’s crude oil, condensate, and liquid petroleum product pipeline network. Its main role is to transport oil from domestic production fields and import points to refineries […]

Cybersecurity researchers have called attention to a "massive campaign" that has systematically targeted cloud native environments to set up malicious infrastructure for follow-on exploitation. The activity, observed around December 25, 2025, and described as "worm-driven," leveraged exposed Docker APIs, Kubernetes clusters, Ray dashboards, and Redis servers, along with the recently disclosed

Дональд Трамп стал целью почти половины всех агрессивных сообщений в соцсетах за последние годы.

Вебинар Positive Technologies состоится 12 февраля, в 12:00 мск

2020 年春天，COVID-19 疫情导致全球工业和旅游业停滞，卫星记录到二氧化氮——内燃机和重工业的副产品——浓度急剧下降，全球空气质量为数十年以来最佳。然而与此同时，温室气体甲烷的浓度出现飙升，当年的甲烷增长率达到了 16.2ppb，创 1980 年代有记录以来最高。根据发表在《科学》期刊上的一项研究，北京大学研究人员认为部分原因就是大气中的氮氧化物减少所致。大气中的甲烷会被羟基自由基分解，转变为水蒸气和二氧化碳。羟基自由基作为大气甲烷清除剂必须通过一系列由太阳光引发的化学反应不断补充，而反应的关键成分是氮氧化物，疫情期间采取的封锁政策导致全球氮氧化物浓度下降约 15%-20%，进而导致羟基自由基生成速度急降，甲烷因此在大气中停留的时间延长，加剧全球暖化。增加的甲烷排放主要来自微生物。新冠疫情期间恰逢拉尼娜现象，它通常会导致热带地区降雨量增加，在水涝缺氧的环境中，微生物产甲烷菌大量繁殖，加速产生甲烷。研究人员利用卫星数据跟踪到新增甲烷主要来自热带非洲和东南亚的大片湿地，这些地区的湿地导致 2020-2022 年间全球甲烷排放量增加约 30%。

Госсистема идентификации граждан Сенегала оказалась полностью парализована в результате взлома.

A vulnerability categorized as critical has been discovered in HGiga C&Cm@il package olln-base up to 7.0-977. This affects an unknown function. Executing a manipulation can lead to sql injection. This vulnerability appears as CVE-2026-2236. The attack may be performed from remote. There is no available exploit. It is advisable to upgrade the affected component.

A vulnerability was found in HGiga C&Cm@il package olln-base up to 7.0-977. It has been rated as critical. The impacted element is an unknown function. Performing a manipulation results in sql injection. This vulnerability is reported as CVE-2026-2235. The attack is possible to be carried out remotely. No exploit exists. Upgrading the affected component is advised.

A vulnerability was found in HGiga C&Cm@il package olln-base up to 7.0-977. It has been declared as critical. The affected element is an unknown function. Such manipulation leads to missing authentication. This vulnerability is documented as CVE-2026-2234. The attack can be executed remotely. There is not any exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Oki Electric Industry/Ricoh Company/Murata Machinery Device. It has been classified as problematic. Impacted is an unknown function of the component Windows Service. This manipulation causes unquoted search path. This vulnerability is registered as CVE-2026-24466. The attack needs to be launched locally. No exploit is available.