Aggregator

CVE-2025-23283 | NVIDIA GPU Display Driver R535/R570 on Linux Virtual GPU Manager stack-based overflow (EUVD-2025-23444 / Nessus ID 243281)

Vuldb Updates
2 weeks 4 days ago
A vulnerability was found in NVIDIA GPU Display Driver R535/R570 on Linux. It has been classified as critical. This affects an unknown part of the component Virtual GPU Manager. The manipulation leads to stack-based buffer overflow. This vulnerability is uniquely identified as CVE-2025-23283. The attack needs to be approached locally. There is no exploit available.
vuldb.com

CVE-2025-7710 | Brave Conversion Engine Pro Plugin up to 0.7.7 on WordPress improper authentication (EUVD-2025-23435)

Vuldb Updates
2 weeks 4 days ago
A vulnerability, which was classified as critical, has been found in Brave Conversion Engine Pro Plugin up to 0.7.7 on WordPress. This issue affects some unknown processing. The manipulation leads to improper authentication. The identification of this vulnerability is CVE-2025-7710. The attack may be initiated remotely. There is no exploit available.
vuldb.com

CVE-2025-54589 | 9001 copyparty up to 1.18.6 /?ru cross site scripting (GHSA-8mx2-rjh8-q3jq / EDB-52390)

Vuldb Updates
2 weeks 4 days ago
A vulnerability was found in 9001 copyparty up to 1.18.6. It has been classified as problematic. This affects an unknown part of the file /?ru. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2025-54589. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2025-41373 | TESI Gandia Integra Total prior 4.4.2236.1 hislistadoacciones.php idestudio sql injection (EDB-52388)

Vuldb Updates
2 weeks 4 days ago
A vulnerability was found in TESI Gandia Integra Total. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file /encuestas/integraweb[_v4]/integra/html/view/hislistadoacciones.php. The manipulation of the argument idestudio leads to sql injection. This vulnerability is known as CVE-2025-41373. The attack can be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2025-8191 | macrozheng mall up to 1.0.3 Swagger UI /swagger-ui/index.html configUrl cross site scripting (EUVD-2025-22797 / EDB-52392)

Vuldb Updates
2 weeks 4 days ago
A vulnerability, which was classified as problematic, was found in macrozheng mall up to 1.0.3. Affected is an unknown function of the file /swagger-ui/index.html of the component Swagger UI. The manipulation of the argument configUrl leads to cross site scripting. This vulnerability is traded as CVE-2025-8191. It is possible to launch the attack remotely. Furthermore, there is an exploit available. The vendor deleted the GitHub issue for this vulnerability without any explanation. Afterwards the vendor was contacted early about this disclosure via email but did not respond in any way.
vuldb.com

时尚巨头 Chanel 遭 Salesforce 攻击,美国客户个人信息被窃

HackerNews
2 weeks 4 days ago
HackerNews 编译,转载请注明出处: 法国时尚巨头香奈儿成为Salesforce数据窃取攻击的最新受害者。据《女装日报》率先报道,香奈儿表示威胁行为者通过第三方服务提供商入侵其数据库,事件于7月25日首次被发现。此次泄露仅影响美国客户,涉及个人联系信息。 香奈儿发言人声明:“调查显示,未经授权的外部方仅获取了美国客户服务中心部分联系人的有限信息——具体包括姓名、电子邮箱、邮寄地址和电话号码。数据库未包含其他信息,受影响客户已获告知。”尽管香奈儿未回应媒体问询且未透露第三方服务商名称,网络安全媒体BleepingComputer确认数据是从该公司Salesforce实例窃取。 此次攻击被归因于黑客组织ShinyHunters发起的Salesforce数据窃取攻击浪潮。据Mandiant首次披露,攻击者通过语音钓鱼(vishing)攻击定向入侵Salesforce客户:诱骗员工授权恶意OAuth应用或窃取凭证访问其Salesforce门户。一旦侵入系统,便窃取数据库并以此勒索客户。 Salesforce向BleepingComputer强调其平台未被攻破,问题源于客户账户遭社工攻击:“Salesforce自身无安全漏洞,事件均由钓鱼攻击和社交工程导致。我们持续建议客户启用多因素认证(MFA)、实施最小权限原则并严格管理关联应用。”截至目前,攻击者尚未公开泄露任何企业数据,仅通过电子邮件实施勒索。 除香奈儿外,此轮攻击的受害者还包括阿迪达斯、澳洲航空、安联人寿,以及LVMH集团旗下路易威登、迪奥和蒂芙尼。BleepingComputer知悉其他未公开的潜在受害企业,但尚未能独立核实。       消息来源:bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

乌克兰宣称:成功入侵克里米亚服务器,获取俄方劫持儿童证据

HackerNews
2 weeks 4 days ago
HackerNews 编译,转载请注明出处: 乌克兰国防部情报总局(HUR)宣称成功入侵俄罗斯占领的克里米亚地区政府服务器,获取了俄方强制迁移乌克兰儿童的确凿证据。该机构上周表示,已掌握数千份被转移儿童的身份文件,包括:无监护人看护儿童的个人信息、任命俄罗斯公民作为其新法定监护人的法律文书,以及儿童被转移后的安置地址。 这些数据已移交乌克兰执法部门审查,并将纳入正在进行的刑事诉讼程序。HUR发言人安德烈·尤索夫声明:“相关信息将协助我们寻回被绑架儿童,并追究责任方。”据乌克兰官方“战争儿童”数据库统计,自战争爆发以来,已有近2万名乌克兰儿童被强行带至俄罗斯或其占领区。官员警告实际数字可能更高。 HUR未明确具体入侵的服务器,但泄露文件似乎来源于辛菲罗波尔地区当局——该地区属于2014年被俄非法吞并、仍获国际社会广泛承认为乌克兰领土的克里米亚半岛。文件真实性暂无法独立核实,克里米亚当局也未就泄露事件公开置评。此前HUR曾声称对俄罗斯最大航空公司、军用无人机供应商及国有飞机制造商发动网络攻击。 此次针对克里米亚政务系统的网络行动,疑似由相对神秘的黑客组织Kiberkorpus协同完成。该组织自称隶属HUR,并在Telegram频道披露攻击细节。其由IT专家在战争爆发后组建,宣称使命为“在敌方网络空间收集情报并执行任务”。HUR未公开回应与该组织的关系。据当地媒体报道,Kiberkorpus此前曾宣称对克里米亚电信基础设施实施攻击,导致部分服务中断。 在过往行动中,HUR表示曾与BO Team、Blackjack等亲乌黑客组织合作。这些组织虽声称独立运作,但研究人员认为其与政府机构存在关联。       消息来源:therecord; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

AI 网站流量激增 50%,安全风险同步攀升

HackerNews
2 weeks 4 days ago
HackerNews 编译,转载请注明出处: 人工智能相关网站的流量激增,标志着用户与AI互动方式的重大转变。Menlo Security最新研究显示,2024年2月至2025年1月期间,AI工具平台访问量从70亿次增至105.3亿次,增幅达50%。这一转变主要源于用户持续依赖浏览器访问生成式AI(GenAI)工具。尽管部分AI部署已转向桌面或私有应用,约80%的生成式AI使用仍发生在浏览器环境中。 该趋势的持续源于三大核心因素:浏览器具备跨设备普适性,可无缝集成其他服务平台,并支持开发者快速大规模部署AI工具。Acuvity联合创始人兼CEO Satyam Sinha指出:“过去一年中,关于AI风险和威胁的认知显著提升。客户反馈表明,他们正为如何优先处理这些问题感到困扰。” 当前生成式AI生态现状 Menlo Security通过分析2025年5-6月全球数百家企业30天内的AI交互数据,揭示关键洞察: • 单月生成式AI网站访问量达560万次 • 活跃GenAI域名6500个,远超应用数量(3000个) • ChatGPT周活用户超4亿,95%以上使用免费版 • 亚太区75%企业已采用生成式AI • 由AI驱动的零时差钓鱼攻击同比激增130% Darktrace高级副总裁Nicole Carignan强调:“理解不断演变的威胁态势及攻击者操纵AI的技术,对有效防护AI系统至关重要。网络安全是AI安全的基石。” 安全风险随普及率同步攀升 报告指出,“影子AI”使用加剧了安全隐患:68%员工通过个人账户使用ChatGPT等免费工具,57%曾输入敏感数据。Mimoto CEO Kris Bondi警告:“生成式影子AI缺乏防护机制,其潜在危害远超传统影子IT。隐蔽性更放大了风险。” Zimperium的Krishna Vishnubhotla补充道:“生成式AI正使钓鱼攻击的速度与逼真度急剧升级。依赖过时防御已不足够——安全策略必须与威胁同步进化。”随着AI生态的快速扩张,防护策略亦需加速迭代。       消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad