奇安信代码卫士-优快云博客

转载谷歌修复GCP Cloud Run 中的提权漏洞

研究人员解释称，“如果攻击者获得受害者项目中的某些权限，具体说是 run.services.update 和 iam.serviceAccounts.actAs 权限，则可修改 Cloud Run 服务并部署新的版本。Tenable 公司的安全研究员 Liv Matan 在报告中提到，“该漏洞本可导致这类身份滥用其 Google Cloud Run 校订编辑权限，在相同账号中拉取非公开的 Google Artifact Registry 和 Google Container Registry 镜像。

2025-04-03 18:20:47 61

转载 Jan AI 系统中存在多个漏洞，可遭远程操纵

研究人员在2月18日报送漏洞，Menlo 已在3月6日修复所有漏洞，它们是：CVE-2025-2446（通过路径遍历实现任意文件写）、CVE-2025-2439（位于GGUF 解析器中的界外读）、CVE-2025-2445（Python 引擎模型更新中的命令注入）和CVE-2025-2447（缺少 CSRF 防护措施）。攻击者通过利用跨源任意文件写漏洞，可将构造的 GGUF 文件写入服务器，之后利用缺少 CSRF 防护措施的事实导入并处罚界外读，从而导致攻击者将数据读取到受其控制的元数据字段。

2025-04-03 18:20:47 61

转载佳能打印机驱动中存在严重漏洞

佳能在上周发布安全公告表示，与多个生产打印机、办公室多功能打印机和激光打印机相关联的驱动受界外漏洞CVE-2025-1268的影响。该漏洞的CVSS评分为9.4，影响 Generic Plus PCL6、UFR II、LIPS4、LIPSXL和PS打印机驱动的EMF 重编码处理的影响，尤其是3.12及之前版本。佳能告知客户称，“当打印由恶意应用操纵时”，攻击者可利用该漏洞阻止打印或执行任意代码。微软提醒称，佳能的一些打印机驱动受严重漏洞 (CVE-2025-1268) 的影响。觉得不错，就点个 “

2025-04-02 18:35:52 102

转载 Apache Parquet Java 中存在CVSS满分漏洞

该严重的任意代码执行漏洞位于 Apache Parquet Java 库中，编号为CVE-2025-30065，CVSS评分为10分。Apache Parquet 为有效存储和检索数据而设计，因高性能的压缩和解码计划而为人所知，适用于批量处理复杂数据。与列存储相关的开源数据文件格式 Apache Parquet 中被指存在一个严重漏洞，为使用 Apache Parquet Java 库的系统造成严重风险。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2025-04-02 18:35:52 94

转载黑客滥用 WordPress MU-Plugins 隐藏恶意代码

该公司的安全分析师 Puja Srivastava 解释称，“我们在mu-plugins 中看到如此多的感染情况，是因为攻击者正在积极攻击该目录，将其作为一个长久的立足点。这些插件是存储在 “wp-content/mu-plugins/” 目录中的PHP 文件，当页面加载时会自动执行，而且除非勾选了 “Must-Use” 过滤器，否则不会列入常规的 “Plugins” 管理员页面。安全研究员发现了攻击者在 mu-plugins 目录中植入的三个payload，而它似乎是受经济利益驱动的操作的一部分。

2025-04-01 18:38:16 125

转载微软利用AI从开源引导加载器中找到20个0day漏洞

微软在 GRUB2 中发现了11个漏洞，包括位于文件系统解析器中的整数和缓冲区溢出漏洞、命令漏洞以及加密比对中的侧信道漏洞。微软解释称，“虽然威胁者可能需要具备设备物理访问权限才能利用 U-boot 或 Barebox 中的漏洞，但在 GRUB2 中，这些漏洞可被进一步用于绕过 Secure Boot 并安装隐秘 bootkit 或者可能绕过其它安全机制如 BitLocker。本文由奇安信编译，不代表奇安信观点。CVE-2025-0677 – 位于UFS 符号链接处理中的整数溢出漏洞，可导致缓冲区溢出。

2025-04-01 18:38:16 124

转载 Oracle Health数据泄露事件影响美国多家医院

虽然所见到的通知并未有Oracle的抬头，但是由 Oracle Heath 的执行副总裁兼总经理 Seema Verma 签名的。通知中提到，“我们通知您，在2025年2月20日或前后的时间，我们发现您存储在一台老旧服务器尚未迁移到 Oracle Cloud 中的某些Cerner数据遭越权访问。然而，多个消息来源表示，已证实病患数据是在攻击期间被盗的。虽然 Oracle Health 尚未公开披露该事件，但从向受影响客户发送的非公开通信和与相关人员的会话来看，美国多家医院的病患数据被盗。

2025-03-31 18:32:52 153

转载 NetApp SnapCenter 缺陷可用于获得插件系统的远程管理员访问权限

SnapCenter 公司在本周发布的一项安全公告中提到，“SnapCenter 早于6.0.1P1和6.1P1的版本易受一个漏洞攻击，它可导致SnapCenter的认证用户在已安装 SnapCenter 插件的远程系统上成为管理员用户。SnapCenter 是一款企业软件，用于管理应用、数据库、虚拟机和文件系统中的数据防护，提供备份、恢复和克隆数据资源。本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。觉得不错，就点个 “

2025-03-31 18:32:52 140

转载 Firefox 存在严重漏洞，类似于 Chrome 已遭利用0day

Mozilla 公司修复的漏洞编号是CVE-2025-2857，是一个不正确的句柄，可导致沙箱逃逸。Mozilla 在安全公告中提到，“根据最近的Chrome 沙箱逃逸漏洞 (CVE-2025-2783)，多名Firefox 开发人员在我们的IPC（进程间通信）代码中发现了一个类似模式。受攻陷的子进程可导致父进程返回预期之外的强大句柄，从而导致沙箱逃逸。Mozilla 公司发布更新，修复了影响其 Firefox Windows 版本的一个严重漏洞，而该漏洞与此前已遭利用的 Chrome 0day类似。

2025-03-28 17:41:07 233

转载 NPM新型攻击通过后门投毒本地包

该攻击的危险性在于，即使卸载了“ethers-provider2”，ethers 包上的后门也不会被删除，因此合法包仍然是受影响的。第一个包在本文成文之时仍然可从npm上找到，它基于热门的npm包 “ssh2”，但具有一个修改过的 “install.js” 脚本，从外部来源下载第二阶段的payload。总体而言，从包索引如 PyPI 和 npm 中下载程序包时，建议仔细审查它们的合法性（及发布者的合法性），并检查代码中的风险指标如混淆代码和外部服务器的调用。为此，我们推出“供应链安全”栏目。

2025-03-27 18:28:30 223

转载 OpenAI 严重漏洞最高赏金提高至10万美元

OpenAI提到，该计划还以API积分的形式引入微资助，帮助研究人员快速做出创造性安全解决方案的模型。该公司还与风投支持的创业公司 SpecterOps 合作，在企业、云和生产环境中开展可持续的竞争性红队活动。该漏洞奖励计划是OpenAI 公司设立的多项安全计划之一，这些安全计划包括资助安全研究项目、持续的竞争红队以及参与开源软件社区。人工智能技术巨头OpenAI 将最高漏洞赏金从2万美元提高至10万美元，而这是该公司设立发现基础设施和产品中严重和高危漏洞外包计划的一部分。觉得不错，就点个 “

2025-03-27 18:28:30 246

转载谷歌紧急修复已遭利用的0day

研究人员提到，“在所有情况中，感染是在受害者点击钓鱼邮件中的连接后立即发生的，攻击者的网站通过 Chrome 浏览器打开，无需任何其它操作即可导致受害者受感染。该漏洞的核心在于 Chrome 和 Windows 操作系统的交集的逻辑错误，可导致浏览器的沙箱防护措施遭绕过。值得注意的是，CVE-2025-2783是2025年以来首个遭活跃利用的 Chrome 0day漏洞。该漏洞的编号是CVE-2025-2783，是“对Windows 上 Mojo 中未明确情境中提供的错误句柄”情况。觉得不错，就点个 “

2025-03-26 18:20:49 289

转载博通：注意 Vmware Windows Tools 中的认证绕过漏洞

例如，博通公司在去年11月提醒称攻击者正在利用两个 VMware vCenter Server 中的多个漏洞：一个提权至root的漏洞（CVE-2024-38813）和一个严重的RCE漏洞（CVE-2024-38812）。本月早些时候，博通还修复了三个Vmware 0day漏洞（CVE-2025-22224、CVE-2025-22225和CVE-2025-22226），它们已遭利用，由微软威胁情报中心报送。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2025-03-26 18:20:49 277

转载 Ingress NGINX 控制器中存在严重漏洞可导致RCE

这些漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098和CVE-2025-1974）的CVSS评分为9.8，被Wiz 公司命名为 “IngressNightmare”。Wiz 公司的云安全研究员 Hillai Ben-Sasson 提到，该攻击链主要涉及注入恶意配置，并利用它读取敏感文件和运行任意代码，从而导致攻击者滥用强Service Account，读取 Kubernetes 机密并最终导致接管集群。觉得不错，就点个 “

2025-03-25 17:56:18 896

转载全球DrayTek 路由器进入重启循环

受影响的ISPs（包括位于英国及其它各地的Gamma、Zen Internet、ICUK和A&A）证实了这些故障报告，并认为互联网连接问题与各种攻击活动有关：针对未知漏洞的攻击、路由器宕机、DrayTek 推送的软件更新有问题而导致受影响设备进入重启循环。事件最初由 ISPreview 报送，受影响的客户（包括位于澳大利亚和英国以外地区的客户）被告知需要将设备升级至最新固件版本、禁用SSLVPN/远程访问，甚至如问题未修复则需更换路由器。DrayTek 还建议关闭“远程访问控制”页面上的所有VPN特性。

2025-03-25 17:56:18 310

转载速修复Next.js中严重的授权绕过漏洞

在这种情况下，安全公告提供了一个重要的应变措施：“如果无法打补丁到安全版本，则建议阻止包含 x-middleware-subrequest 标头的外部用户请求触及 Next.js 应用。”该标头显然在该漏洞的利用过程中发挥了重要作用而阻止包含该漏洞的请求可能会形成一种临时的防护层。Next.js 在安全公告中提到，“如果授权检查发生在中间件中，那么很可能在一个 Next.js 应用中绕过授权检查。Next.js 中的中间件在请求到达应用路由之前对其进行拦截和处理中，发挥着重要作用。觉得不错，就点个 “

2025-03-24 18:35:20 349

转载思科智能许可证实用程序中的严重漏洞已遭利用

思科发布的CVE-2024-20439和CVE-2024-20440安全公告中仍然提到，未有证据表明这些安全漏洞已遭利用。思科在去年9月修复了该漏洞 (CVE-2024-20439)，指出该漏洞是“管理员账户的未记录静态用户凭据”，可导致未认证的攻击者以 CSLU app 的API 的管理员权限远程登录到未修复系统。思科此前还修复了CLSU 中的第二个严重的信息泄露漏洞CVE-2024-20440，可导致未认证攻击者通过向易受攻击设备发送构造的HTTP请求，访问包含敏感数据（包括API凭据）的日志文件。

2025-03-24 18:35:20 317

转载 Veeam 修复Backup & Replication 中的严重RCE漏洞

它也可能与CVE-2024-42455之间存在关联，后者是一个高危漏洞，可导致“在备份服务器上‘用户和角色’设置中拥有分配角色的认证用户，连接到远程服务并通过发送一个序列化的临时文件收集利用不安全的反序列化，从而可通过服务账户权限删除系统上的任何文件。该公司提到，Veeam Backup & Replication 通过实现一个允许列表，虽然遵循控制可被反序列化的类的行业标准，但未能执行正确的反序列化程序，因为其中的一个被允许类导致内部反序列化，而它执行的是拦截列表。本文由奇安信编译，不代表奇安信观点。

2025-03-21 18:35:16 402

转载太多软件供应链防御指南看不过来？专家提炼出三大要点

论文解释称，“比如，一项敌对事件是，当‘APT 29组织（敌对势力）能够通过将恶意软件注入 SolarWinds Orion 软件生命周期的方法，使 SUNBURST 获得 SolarWinds 代码签名证书的签名’，它被映射到破坏信任控制 (T1553)，发生在依赖中，并在 Sunburst 引入阶段完成。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。为此，论文基于对多种软件供应链安全框架的分析，对缓解任务进行了排序。

2025-03-21 18:35:16 383

转载 mySCADA myPRO中存在多个严重漏洞，可导致攻击者接管工控系统

研究人员提到，“这些漏洞如遭利用，可导致攻击者越权访问工控网络，从而可能导致严重的运行中断和金融损失后果。CVE-2025-20061：操作系统命令注入漏洞，可导致攻击者通过包含一个邮件参数的特殊构造的POST请求，在受影响系统上执行任意命令。CVE-2025-20014：操作系统命令注入漏洞，可导致攻击者通过包含一个版本参数的特殊构造的POST请求在受影响系统上执行任意命令。建议组织机构应用最新补丁，通过将SCADA系统从IT网络隔离的方式执行网络分段，执行强有力的认证措施，以及监控可疑活动。

2025-03-20 17:42:30 416

转载 Chrome 修复 Lens 特性中的严重 UAF 漏洞

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。该漏洞如遭成功利用，可导致攻击者执行任意代码或控制系统。谷歌并未发布漏洞详情，以便多数用户更新浏览器并防止漏洞遭利用。鉴于该漏洞的严重性，强烈建议用户更新 Chrome 浏览器，以防遭攻击。开源卫士试用地址：https://oss.qianxin.com。3、导航至“帮助＞关于 Google Chrome”。4、Chrome 将自动检查并应用最新更新。5、重启浏览器，完成更新流程。1、打开 Chrome。

2025-03-20 17:42:30 405

转载 GitHub Action 被攻陷，引发连锁供应链攻击

Tj-actions/eslint-changed-files 使用reviewdog/action-setup@v1，而 tj-actions/changed-files仓库通过PAT运行该 tj-actions/eslint-changed-files Action。值得注意的是，如果该 action 仍受陷，则 tj-actions/changed-files 仍然可能遭成功攻击，从而可能暴露刚刚修改的CI/CD机密信息。注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

2025-03-19 18:15:12 418

转载热门 GitHub Action 遭供应链攻击

专注于 GitHub Actions 研究工作的安全公司 StepSecurity 表示，该供应链攻击发生在3月14日，涉及威胁行动者修改 Changed-files 代码，执行旨在转储 CI/CD 机密以构建日志的恶意 Python 脚本。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

2025-03-18 17:47:25 431

转载超100家汽车经销商网站遭供应链攻击，传播ClickFix恶意代码

当用户点击该提示时，一个恶意命令就会被复制到剪贴板上，用户也会被要求进行键盘操作打开 Windows Run 提示，将复制的命令复制到该提示并执行。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。觉得不错，就点个 “

2025-03-18 17:47:25 420

转载人保科技携手奇安信，依托DeepSeek打造研发安全新范式

展望未来，人保科技将持续深化人工智能等前沿技术在网络安全垂直领域的创新应用，深化推广AI代码安全检测等工具，全力构建更加自动化、智能化的研发安全支撑平台，助力公司应用研发安全能力提升，为集团数字化转型提供有力支撑。奇安信代码卫士相关负责人表示，此次部署的“AI+代码卫士”系统，可以完美集成包括DeepSeek、Qwen、QAX安全大模型等主流大模型，并自动化、批量化的进行代码审计，为开发人员提供个性化、专业化缺陷描述、修复建议、加固代码，帮助开发人员高效提升代码质量，构建信息系统的“内建安全”。

2025-03-17 19:33:01 426

转载钓鱼攻击在GitHub发布虚假“安全告警”，使用OAuth 应用劫持账号

在“应用”屏幕，撤销对任何不熟悉或可疑的 GitHub Apps 或 OAuth 应用的访问权限，在本案例中可查找类似于 “gitsecurityapp” 的应用。如果GitHub 用户登录并授权恶意 OAuth 应用，则会生成一个访问令牌并被发回给改应用的回调地址，而在本钓鱼活动中，该地址有很多网页托管在onrender.com上。然而，这些操作建议指向了一款名为 “gitsecurityapp” 的 OAuth 应用的授权页面，要求获得很多风险很大的许可并允许攻击者完全访问用户账号和仓库。

2025-03-17 19:33:01 427

转载 GitHub 发现ruby-saml中的新漏洞，可用于接管账户

近六个月前，GitLab 和 ruby-saml 还修复了可导致认证绕过的另外一个严重漏洞（CVE-2024-45409，CVSS评分10）。GitHub 安全实验室的研究员 Peter Stöckli 表示，“拥有单一有效签名（通过验证SAML响应或目标组织机构断言的密钥实现）的攻击者能够利用该漏洞构建SAML断言并以任何用户的身份登录。SAML 是基于XML的标记语言和开放标准，可用于在相关方之间交换认证和授权数据，启用单点登录 (SSO) 等特性，使个人通过单一的凭据集访问多个站点、服务和应用。

2025-03-14 18:39:40 427

空空如也

空空如也