Aggregator

A vulnerability classified as problematic was found in Bold Page Builder Plugin up to 4.8.8 on WordPress. Affected by this vulnerability is the function bt_bb_price_list of the component Shortcode Handler. The manipulation leads to cross site scripting. This vulnerability is known as CVE-2024-3267. The attack can be launched remotely. There is no exploit available.

A vulnerability, which was classified as problematic, was found in Bold Page Builder Plugin up to 4.8.8 on WordPress. This affects an unknown part of the component Widget URL Attribute. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2024-3266. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability was found in shapedplugin Carousel, Slider, Gallery Plugin up to 2.6.3 on WordPress. It has been declared as problematic. Affected by this vulnerability is an unknown functionality. The manipulation leads to cross site scripting. This vulnerability is known as CVE-2024-2949. The attack can be launched remotely. There is no exploit available.

A vulnerability was found in bdthemes Element Pack Elementor Addons Plugin up to 5.3.2 on WordPress. It has been rated as problematic. Affected by this issue is some unknown functionality. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2024-0837. The attack may be launched remotely. There is no exploit available.

How CIOs and CISOs Can Navigate With Balance
Tariff wars may hit technology leaders hard in 2025 as the Trump administration's 10% import tax, plus reciprocal tariffs, spikes costs. CIOs and CISOs face supply chain disruption and heightened cyber risks. But they can adapt with cloud shifts, smart deals and better advocacy.

Rising Attacks Mask Lowering Profits, Attention Economy Competition
Ransomware groups' collective power to command victims' attention and compel extortion is waning, notwithstanding the disruption and chaos that continues to be their hallmark. The criminal underground powering ransomware is a world in flux where old, established groups are giving way to new brands.

Gartner's Pete Redshaw on Why the CISO or CRO Should Take the Lead
Cybersecurity, IAM, fraud and compliance will converge across financial institutions in the next five to six years. This transformation will follow a phased path, beginning with data integration, followed by tool alignment and eventually team restructuring.

Hoxhunt Predicts Phishing-as-a-Service Will Adopt AI Spear Phishing Agents
AI surpassed human red teams in crafting phishing attacks, at scale and with alarming success, asserts research from cybersecurity training firm Hoxhunt. The company's proprietary AI spear phishing agent, outperformed human counterparts by 24%, a turnaround from a31% deficit in 2023.

Analysts Praise FedRAMP's Speed Goals, but Worry About Unclear Execution Details
The General Services Administration is aiming to speed up cloud approvals by automating security assessments for FedRAMP, but experts tell Information Security Media Group that key questions remain on its execution, with concerns over vague directives and the impact on existing processes.

Hackers Use Credential Stuffing to Steal AU$500,000, Breach 20,000 Member Accounts
Australia's largest pension funds faced coordinated credential attacks last week that compromised thousands of user accounts and led to the theft of at least AU$500,000 from four superannuation accounts. The affected funds included AustralianSuper, Rest and Australian Retirement Trust.

本期活动持续时间：2025年4月9日至2025年4月23日12:00

本期活动持续时间：2025年4月9日至2025年4月23日12:00

Ingress-nginx 恶意配置文件RCE

HackerNews 编译，转载请注明出处： 谷歌在 2025 年 4 月的 Android 安全更新中发布了针对 62 个漏洞的补丁，其中包括两个在针对性攻击中被利用的零日漏洞。 其中一个零日漏洞是 Linux 内核 ALSA 设备 USB 音频驱动中的高严重性权限提升安全漏洞（CVE-2024-53197），据报道，塞尔维亚当局利用了这一漏洞来解锁扣押的 Android 设备，这是以色列数字取证公司 Cellebrite 开发的零日漏洞利用链的一部分。 这一漏洞利用链还包括一个 USB 视频类零日漏洞（CVE-2024-53104，已于 2 月修复）和一个人机接口设备零日漏洞（CVE-2024-50302，上个月修复），该链由大赦国际的安全实验室于 2024 年中期发现，当时他们正在分析塞尔维亚警方解锁设备上的日志。 谷歌在 2 月告诉 BleepingComputer，这些修复程序已于 1 月与原始设备制造商（OEM）合作伙伴共享。 “我们在这些报告之前就已知晓这些漏洞及利用风险，并迅速为 Android 开发了修复程序。修复程序已于 1 月 18 日通过合作伙伴咨询共享，”谷歌发言人告诉 BleepingComputer。 本月修复的第二个零日漏洞（CVE-2024-53150）是 Android 内核信息泄露漏洞，由越界读取弱点引起，使本地攻击者无需用户交互即可访问易受攻击设备上的敏感信息。 2025 年 3 月的 Android 安全更新还修复了另外 60 个安全漏洞，其中大多数是高严重性的权限提升漏洞。 谷歌发布了两组安全补丁，分别是 2025-04-01 和 2025-04-05 安全补丁级别。后者提供了第一批的所有修复程序以及针对封闭源第三方和内核子组件的安全补丁，这些补丁不一定适用于所有 Android 设备。 谷歌 Pixel 设备立即接收这些更新，而其他厂商通常需要更长时间来测试和优化安全补丁，以适应其特定的硬件配置。 2024 年 11 月，谷歌还修复了另一个 Android 零日漏洞（CVE-2024-43047），该漏洞最初于 2024 年 10 月被谷歌 Project Zero 标记为已被利用，并被塞尔维亚政府在 NoviSpy 间谍软件攻击中用于针对活动人士、记者和抗议者的 Android 设备。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

webshell免杀之浅谈phpwebshell中如何控制传入内容

公司战略进行升级，全面拥抱AI

公司战略进行升级，全面拥抱AI

トレンドマイクロ株式会社から、企業向けエンドポイントセキュリティ製品向けのアップデートが公開されました。

PyTorch Lightning 2.4.0およびそれ以前のバージョンにおいて、信頼できないデータのデシリアライゼーションに関係する複数の脆弱性が指摘されています。

HackerNews 编译，转载请注明出处： Everest 勒索软件团伙的暗网泄露网站显然在周末被一名未知攻击者黑掉，现已下线。 未知攻击者将网站内容替换为以下讽刺性信息：“不要犯罪，犯罪很糟糕 xoxo 来自布拉格。” Everest 团伙已将其泄露网站下线，该网站现已无法加载，显示“洋葱网站未找到”错误。 Everest 的被黑泄露网站（Tammy H.） 虽然目前尚不清楚攻击者是如何获得对 Everest 网站的访问权限的，或者该网站是否真的被黑，但一些安全专家，如 Flare 高级威胁情报研究员 Tammy Harper，指出可能是利用了 WordPress 漏洞来篡改勒索软件团伙的泄露网站。 “值得一提的是，Everest 使用了 WordPress 模板来制作他们的博客。我不会对此感到惊讶，”Harper 表示。 自 2020 年首次出现以来，Everest 勒索软件团伙已从仅通过数据窃取进行企业勒索的策略转变为在攻击中加入勒索软件以加密受害者的受损系统。 Everest 的运营者还以作为其他网络犯罪团伙和威胁行为者的初始访问代理而闻名，出售对被攻陷企业网络的访问权限。 在过去的五年中，Everest 已在其暗网泄露网站上添加了超过 230 名受害者，该网站是双倍勒索攻击的一部分，勒索软件团伙试图通过威胁发布包含敏感信息的文件来迫使受害者支付赎金。 其最近的一名受害者是 STIIIZY，这是一家总部位于加利福尼亚州的知名大麻品牌，Everest 在 2024 年 11 月声称对其发起了攻击。今年 1 月，STIIIZY 透露，未知攻击者攻陷了其销售点（POS）供应商，窃取了客户信息，包括购买信息和政府身份证件。 2024 年 8 月，美国卫生与公众服务部还警告称，Everest 勒索软件团伙正越来越多地针对美国各地的医疗机构。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文