Aggregator

A vulnerability was found in Linux Kernel up to 6.6.94/6.12.34/6.15.3/6.16-rc1. It has been classified as critical. Affected by this vulnerability is the function netif_rx of the file net/ipv6/ip6_input.c. The manipulation leads to null pointer dereference. This vulnerability is listed as CVE-2025-38192. The attack must be carried out from within the local network. There is no available exploit. Upgrading the affected component is recommended.

A vulnerability has been found in Linux Kernel up to 6.12.34/6.15.3/6.16-rc2 and classified as critical. Affected by this vulnerability is the function v3d_job_update_stats of the component File Descriptor Handler. Performing manipulation results in null pointer dereference. This vulnerability is cataloged as CVE-2025-38189. The attack must originate from the local network. There is no exploit available. The affected component should be upgraded.

A vulnerability marked as problematic has been reported in Linux Kernel up to 6.16-rc2. This affects the function atm_account_tx of the file net/atm/common.c of the component atm. The manipulation leads to privilege escalation. This vulnerability is uniquely identified as CVE-2025-38190. The attack can only be initiated within the local network. No exploit exists. It is suggested to upgrade the affected component.

A vulnerability identified as critical has been detected in Linux Kernel up to 6.1.141/6.6.94/6.12.34/6.15.3/6.16-rc2. This impacts the function ksmbd_krb5_authenticate of the component ksmbd. The manipulation of the argument User leads to null pointer dereference. This vulnerability is traded as CVE-2025-38191. Access to the local network is required for this attack to succeed. There is no exploit available. You should upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.12.34/6.15.3/6.16-rc2. It has been classified as critical. Affected is the function bnxt_ulp_stop/bnxt_ulp_start of the component RoCE Driver. Performing manipulation results in null pointer dereference. This vulnerability is reported as CVE-2025-38186. The attacker must have access to the local network to execute the attack. No exploit exists. Upgrading the affected component is recommended.

A vulnerability marked as critical has been reported in Linux Kernel up to 6.15.3/6.16-rc2. Impacted is the function r535_gsp_rpc_push of the component nouveau. Performing manipulation results in use after free. This vulnerability was named CVE-2025-38187. The attack needs to be approached within the local network. There is no available exploit. It is suggested to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.12.34/6.15.3/6.16-rc2. It has been classified as critical. Impacted is the function CP_RESET_CONTEXT_STATE. This manipulation causes denial of service. This vulnerability is registered as CVE-2025-38188. The attack requires access to the local network. No exploit is available. Upgrading the affected component is recommended.

A vulnerability was found in Linux Kernel up to 6.16-rc2 and classified as problematic. This impacts the function atmtcp_c_send of the component atm. Such manipulation leads to privilege escalation. This vulnerability is documented as CVE-2025-38185. The attack requires being on the local network. There is not any exploit available. It is suggested to upgrade the affected component.

Новое исследование показывает, что большинство людей выбирают согласие только потому, что не хотят платить

Singularity is a powerful Linux Kernel Module (LKM) rootkit designed for modern 6.x kernels. It provides comprehensive stealth capabilities

The post Singularity: Advanced Linux Kernel Rootkit Uses ftrace to Bypass EDR and eBPF appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： Apache Tika 曝出一处高危安全漏洞，该漏洞可能导致 XML 外部实体注入攻击。 此漏洞编号为 CVE – 2025 – 66516，在通用漏洞评分系统（CVSS）中的得分为 10.0，属于最高危险等级。 漏洞公告指出：“Apache Tika 的核心模块（tika – core，版本 1.13 – 3.2.1）、PDF 解析模块（tika – pdf – module，版本 2.0.0 – 3.2.1）以及解析器模块（tika – parsers，版本 1.13 – 1.28.5）在全平台均存在高危 XML 外部实体注入漏洞。攻击者可借助 PDF 文件中植入的恶意交互式表单文件实施 XML 外部实体注入攻击。” 该漏洞影响以下 Maven 软件包： org.apache.tika:tika – core：版本 1.13 至 3.2.1（3.2.2 版本已修复） org.apache.tika:tika – parser – pdf – module：版本 2.0.0 至 3.2.1（3.2.2 版本已修复） org.apache.tika:tika – parsers：版本 1.13 至 1.28.5（2.0.0 版本已修复） XML 外部实体注入漏洞是一种网络安全漏洞，攻击者可利用该漏洞干扰应用程序对 XML 数据的处理流程。进而非法访问应用服务器文件系统中的文件，部分情况下甚至能够实现远程代码执行。 经证实，CVE – 2025 – 66516 与 CVE – 2025 – 54988 为同一类型的 XML 外部实体注入漏洞（后者 CVSS 评分为 8.4）。后者作为 Apache Tika 内容检测与分析框架中的漏洞，已于 2025 年 8 月由项目维护团队完成修复。Apache Tika 团队表示，此次新编号漏洞在两方面扩大了受影响软件包的范围： 尽管 CVE – 2025 – 54988 中记录的漏洞触发入口是 PDF 解析模块，但漏洞根源及修复代码实则位于核心模块中。若用户仅升级了 PDF 解析模块，却未将核心模块升级至 3.2.2 及以上版本，系统仍会处于高危状态。 最初的漏洞报告遗漏了一项关键信息，即在 Apache Tika 1.x 系列版本中，PDF 解析器属于解析器模块（org.apache.tika:tika – parsers）。 鉴于该漏洞的高危属性，官方提醒用户务必尽快安装更新补丁，以降低潜在安全风险。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本网络安全应急响应中心（JPCERT/CC）本周发布警报称，Array Networks AG 系列安全接入网关存在的命令注入漏洞，自 2025 年 8 月起已被黑客在实际攻击中利用。 该漏洞暂未分配 CVE 编号，Array 公司已于 2025 年 5 月 11 日推出修复方案。漏洞根源在于 Array 的远程桌面访问解决方案 DesktopDirect，该功能允许用户从任意位置安全访问工作电脑。 JPCERT/CC 表示：“利用此漏洞，攻击者可执行任意命令。启用了提供远程桌面访问的‘DesktopDirect’功能的系统，均会受到该漏洞影响。” 该机构透露，已确认日本境内有多起相关攻击事件。攻击者自 2025 年 8 月起利用该漏洞，向易受攻击的设备植入网页后门，攻击源头 IP 地址为 194.233.100 [.] 138。 目前，关于此次漏洞利用攻击的规模、攻击武器细节以及威胁行为者的身份，尚未有更多公开信息。 不过，该产品曾存在另一项身份验证绕过漏洞（CVE-2023-28461，CVSS 评分 9.8），去年被网络间谍组织利用。该组织至少自 2019 年起就有针对日本机构的攻击历史，但目前尚无证据表明，此次攻击事件与该组织存在关联。 该命令注入漏洞影响 ArrayOS 9.4.5.8 及更早版本，ArrayOS 9.4.5.9 版本已修复此问题。JPCERT/CC 建议用户尽快安装最新更新以降低潜在威胁；若无法立即打补丁，应禁用 DesktopDirect 服务，并启用 URL 过滤功能，拒绝访问包含分号的 URL。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

NVIDIA has announced the most significant update to the CUDA platform since its inception in 2006. With CUDA

The post NVIDIA CUDA 13.1: ‘CUDA Tile’ Abstraction Simplifies High-Level GPU Programming appeared first on Penetration Testing Tools.

The latest cycle of updates within the Linux distribution ecosystem closes the year with a notable milestone: Alpine

The post Alpine Linux 3.23 Released: Adopts 6.18 LTS Kernel & Unveils APK 3.0 Package Manager appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： LockBit 5.0 的核心基础设施遭到曝光，泄露的信息包括 IP 地址 205.185.116.233，以及用于托管该勒索软件组织最新泄露站点的域名 karma0.xyz。 安全研究员拉克什・克里希南透露，该服务器隶属于编号为 AS53667 的网络（即由 FranTech Solutions 运营的 PONYNET 网络），这一网络常被非法活动滥用。服务器显示的分布式拒绝服务（DDoS）防护页面带有 “LOCKBITS.5.0” 标识，证实其为该组织的运营资产。 此次运营安全漏洞曝光之际，LockBit 组织正凭借增强的恶意软件攻击能力卷土重来。 克里希南于 2025 年 12 月 5 日通过 X 平台（前身为推特）首次公开相关发现，指出该域名注册时间较新，且与 LockBit 5.0 的活动存在直接关联。 WHOIS 域名注册信息显示，karma0.xyz 注册于 2025 年 4 月 12 日，有效期至 2026 年 4 月，使用 Cloudflare 的域名服务器（iris.ns.cloudflare.com和tom.ns.cloudflare.com），并通过 Namecheap 的隐私保护服务将联系地址标注为冰岛雷克雅未克。 该域名状态显示 “禁止客户转移”，表明该组织在受到审查的情况下，正试图巩固对域名的控制权。 扫描结果显示，IP 地址 205.185.116.233 开放了多个端口，包括存在漏洞的远程访问端口，这使得服务器面临被入侵干扰的潜在风险。 端口号 协议 对应组件 21 TCP FTP 服务器 80 TCP Apache/2.4.58（Win64）OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg 3389 TCP 远程桌面协议（RDP）（设备名：WINDOWS-401V6QI） 5000 TCP HTTP 服务 5985 TCP Windows 远程管理（WinRM） 47001 TCP HTTP 服务 49666 TCP 文件服务器 其中，3389 端口的远程桌面协议（RDP）是高风险攻击入口，可能导致攻击者未经授权访问这台 Windows 主机。 LockBit 5.0 于 2025 年 9 月左右问世，支持 Windows、Linux 和 ESXi 操作系统，具备随机文件扩展名、基于地理位置的规避机制（跳过俄罗斯相关系统）等特性，并通过 XChaCha20 加密算法提升加密速度。 此次基础设施曝光凸显了该组织持续存在的运营安全漏洞。尽管 LockBit 多次遭到打击，但仍顽固活跃。防御方应立即封禁相关 IP 地址和域名，研究人员可对后续潜在泄露信息进行持续监控。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Researchers at Striker STAR Labs have detailed a new attack against agent-based browsers that can turn an ordinary

The post Zero-Click Threat: New Attacks Turn AI Browsers into Google Drive Wipers appeared first on Penetration Testing Tools.

Chinese phishing groups that inundate users with endless SMS alerts about a “delivery problem” or an “unpaid fine”

The post Phishing Kits Steal Cards, Bind to Apple Pay/Google Wallet via Fake Stores appeared first on Penetration Testing Tools.

The new malicious distribution tool GhostFrame has spread with remarkable speed throughout the cybercriminal ecosystem, becoming the source

The post GhostFrame: Stealthy Iframe Phishing Toolkit Fuels 1 Million+ Covert Attacks appeared first on Penetration Testing Tools.

Two China-linked hacking groups began exploiting a critical vulnerability in React Server Components just hours after it became

The post China APTs Exploiting React Server RCE (CVE-2025-55182) Hours After Disclosure appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 俄罗斯威胁行为者正发起新一轮钓鱼攻击活动，通过伪造欧洲大型安全会议的相关信息，暗中窃取受害者的云服务凭证。 攻击者发送的邀请函看似正规，往往与贝尔格莱德安全会议、布鲁塞尔印太对话会等会议相关联，引导目标用户进入仿冒会议主办方搭建的精致注册页面。 在这一专业伪装的背后，攻击者会将用户导向恶意的微软 365 及谷歌账户登录流程，以此获取对受害者电子邮件与文件的长期访问权限。 沃莱克西蒂安全分析师确认，这些攻击活动与代号为UTA0355的俄罗斯黑客组织有关。该组织在 2025 年持续优化对开放授权协议与设备代码的滥用手段。 该黑客组织并不会在初始阶段发送明显带有恶意的链接，而是先通过电子邮件、即时通讯软件 WhatsApp 或 Signal 建立信任关系，随后再诱导受害者进入看似常规的单点登录 “注册” 流程。 在很多情况下，就连发送钓鱼邮件的账户和即时通讯账号，都是攻击者从真实的政策研究机构或学术网络中攻陷的合法账号。 一旦目标用户点击链接，bsc2025[.]org、brussels-indo-pacific-forum[.]org等仿冒会议网站就会要求用户输入 “企业邮箱”，随后跳转至伪造的微软官方登录页面。 攻击者的核心伎俩在于，从浏览器的网址链接中捕获 OAuth 令牌与设备代码，并对这些信息进行复用。 在部分攻击案例中，攻击者还会以 “完成注册流程” 为借口，要求用户将完整的登录网址粘贴回聊天窗口。 钓鱼攻击得手后，入侵者的技术操作痕迹隐蔽但条理清晰。UTA0355 组织通常会在微软企业身份认证平台（Microsoft Entra ID）中注册一台新设备，并盗用受害者真实的设备名称，以此混入目标机构的资产清单，躲避监测。 攻击者会通过代理节点发起访问请求，部分请求还会携带安卓系统的用户代理字符串，与受害者实际使用的硬件设备并不匹配。这一特征也意味着，对系统日志的细致核查至关重要。 在多数安全信息与事件管理平台（SIEM）中，可通过设置以下简单检测规则标记此类异常匹配情况： SigninLogs | where DeviceDetailOperatingSystem startswith "Android" | where DeviceDetailDisplayName has "iPhone" 上述检测逻辑也可转化为基于 Python 语言的日志筛选脚本： if "Android" in ua and "iPhone" in device_name: flag_suspicious(session_id) 一份完整的技术分析报告指出，此类攻击中真正的 “恶意软件” 并非传统的二进制程序，而是被武器化的 OAuth 协议与设备代码登录流程。 攻击的 “有效载荷” 其实是用户在操作过程中提交的授权许可与各类令牌。凭借这些信息，攻击者能够获得应用程序编程接口（API）层面的权限，访问受害者的邮箱、文件及身份数据，且这一过程基本不会被终端安全工具察觉。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文