Aggregator

A vulnerability was found in zj1983 zz up to 2024-8 and classified as critical. Affected by this issue is the function getUserOrgForUserId of the file src/main/java/com/futvan/z/system/zorg/ZorgAction.java. The manipulation of the argument userID leads to sql injection. This vulnerability is handled as CVE-2025-1821. The attack may be launched remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability classified as critical has been found in zj1983 zz up to 2024-8. Affected is an unknown function of the file /import_data_check. The manipulation of the argument url leads to server-side request forgery. This vulnerability is traded as CVE-2025-1848. It is possible to launch the attack remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability classified as critical was found in zj1983 zz up to 2024-8. Affected by this vulnerability is an unknown functionality of the file /import_data_todb. The manipulation of the argument url leads to server-side request forgery. This vulnerability is known as CVE-2025-1849. The attack can be launched remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability was found in zj1983 zz up to 2024-8. It has been rated as critical. This issue affects some unknown processing. The manipulation leads to improper authorization. The identification of this vulnerability is CVE-2025-1847. The attack may be initiated remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability, which was classified as critical, has been found in zj1983 zz up to 2024-8. This issue affects some unknown processing of the file src/main/java/com/futvan/z/system/zfile/ZfileAction.upload. The manipulation of the argument File leads to unrestricted upload. The identification of this vulnerability is CVE-2025-1818. The attack may be initiated remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

A vulnerability has been found in zj1983 zz up to 2024-8 and classified as critical. Affected by this vulnerability is the function getOaWid of the file src/main/java/com/futvan/z/system/zworkflow/ZworkflowAction.java. The manipulation of the argument tableId leads to sql injection. This vulnerability is known as CVE-2025-1820. The attack can be launched remotely. Furthermore, there is an exploit available. The vendor was contacted early about this disclosure but did not respond in any way.

HackerNews 编译，转载请注明出处： 知名勒索软件团伙Stormous在暗网论坛发布大量据称属于法国政府机构及组织的电子邮件与密码数据。该团伙声称此次泄露涉及“法国政府重要部门全面数据”，但网络安全研究团队Cybernews调查发现，虽然数据集包含部分真实信息，但其质量存疑。 泄露数据中的密码采用已被安全界普遍认为脆弱的MD5哈希算法加密。研究人员指出：“这可能是早期安全标准尚未完善时期的历史数据。”若数据属实，攻击者可利用这些信息实施精准钓鱼攻击，例如冒充政府机构索要敏感信息，甚至通过破解哈希值获取系统访问权限——尤其当相关机构存在密码复用或弱口令问题时。 被曝光的机构名单包括法国开发署、巴黎大区卫生局、家庭津贴基金、审计法院及农业信贷银行区域分行等。不同机构泄露的邮箱数量差异显著，部分仅涉及数个账户，但攻击者宣称某些机构泄露量达数百条。本媒体已联系法国国家网络安全局（ANSSI）置评，目前尚未获得回复。 值得关注的是，去年法国曾发生涉及9500万公民记录的泄露事件，包含电话号码、邮箱及部分支付信息。Stormous勒索团伙自2022年活跃至今，去年曾宣称攻击比利时啤酒厂商杜威摩盖特集团。据暗网追踪平台Ransomlooker统计，该团伙过去12个月至少入侵34家机构。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

0x00 前言当你在用若依时，黑客已经在用Shiro默认密钥弹你的Shell；当你还在纠结分页查询，攻击者已通过SQL注入接管数据库；而你以为安全的定时任务，不过是他们拿捏服务器的玩具。这份手册，带你用渗透的视角，解剖若依的每一处致命弱点——因为真正的安全，始于知晓如何毁灭它。简介Ruoyi（若依）

Юг Франции стал ареной для протестного перформанса.

A vulnerability, which was classified as critical, has been found in jeeweb-mybatis-springboot 0.0.1. Affected by this issue is some unknown functionality of the file /admin/sys/datasource/ajaxList. The manipulation leads to improper access controls. This vulnerability is handled as CVE-2025-45618. The attack needs to be initiated within the local network. There is no exploit available.

A vulnerability has been found in production_ssm 0.0.1 and classified as problematic. Affected by this vulnerability is an unknown functionality of the file /user/list. The manipulation leads to improper access controls. This vulnerability is known as CVE-2025-45617. The attack can only be done within the local network. There is no exploit available.

HackerNews 编译，转载请注明出处： 2025年5月19日至22日，欧洲刑警组织（Europol）与欧洲司法组织（Eurojust）协调发起的“终局行动”（Operation ENDGAME）成功摧毁了全球勒索软件基础设施。执法部门共查封300台服务器和650个域名，并签发20份国际逮捕令。 欧洲刑警组织在新闻稿中披露：“行动周期间，海牙总部设立了指挥中心，来自加拿大、丹麦、法国、德国、荷兰、英国和美国的调查人员与欧洲网络犯罪中心（EC3）及其联合网络犯罪行动特别工作组（J-CAT）展开合作。自2024年调查启动以来，欧洲司法组织始终提供关键司法协作支持，确保各国当局高效交换信息并协调调查行动。” 当局还查获价值350万欧元的加密货币，使累计缴获金额突破2120万欧元。此次行动延续了2024年打击僵尸网络的成果，旨在遏制不断演变的恶意软件威胁和网络犯罪集团。 行动重点打击勒索软件部署前的初始入侵恶意软件，已瓦解包括Bumblebee、Lactrodectus、Qakbot、Hijackloader、DanaBot、Trickbot和Warmcookie在内的多个恶意软件家族，这些工具普遍应用于勒索软件即服务（RaaS）模式。执法机构同时针对核心运营者签发20份国际通缉令。 多名恶意软件幕后主脑已被列入国际公开通缉名单。德国将于5月23日起将其中18人列入欧盟头号通缉名单，指控其提供或运营用于重大勒索攻击的工具。 欧洲刑警组织执行主任Catherine De Bolle强调：“即便犯罪分子更新装备重组架构，此次行动再次证明执法部门具备灵活应对能力。通过破坏勒索软件赖以生存的服务链，我们正从源头斩断犯罪生态。”     消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

本文介绍了作者在数据安全比赛中遇到的一个开源框架的代码审计过程。作者使用了多种工具，特别是“通义灵码”，帮助发现了多个高危漏洞，包括路径遍历、文件上传、目录删除、SQL注入和XSS漏洞。文章详细描述了如何利用这些工具进行漏洞定位和验证，并分享了使用“通义灵码”的心得和体验。最后，作者总结了AI在代码

一款被多个安全厂商归类为EquationDrug恶意软件的Bootkit程序，可配合NSA方程式组织工具加载使用。

HackerNews 编译，转载请注明出处： 联邦网络防御部门发出警告，称黑客正瞄准数据管理巨头Commvault客户的云环境。这家总部位于新泽西的公司此前披露，微软在2月通报了一起由某未具名国家背景威胁组织引发的数据泄露事件，该事件导致“部分客户用于验证M365环境的应用程序凭证”遭窃取。 周四晚间，美国网络安全和基础设施安全局（CISA）发布通告称，Commvault正在“监测针对其微软Azure云托管应用的网络威胁活动”，认为“该活动可能是针对多家SaaS厂商云应用的大规模攻击行动组成部分，攻击者利用默认配置与高权限设置实施入侵”。 CISA指出，威胁组织可能“窃取了Commvault旗下Metallic微软365备份SaaS解决方案托管的客户密钥”。此处密钥指代连接应用与服务器的唯一验证代码。Commvault在3至5月间的多篇博客中解释称，此次泄露“影响少量与微软存在业务交集的客户”，但强调黑客从未触及该公司存储保护的客户备份数据，并表示正与CISA及FBI协作处理，已对受影响客户实施凭证轮换等处置措施。 CISA在公告中同步给出防护建议清单，包括监控日志、更换凭证等操作指引。该机构特别提到，近期已将Commvault漏洞CVE-2025-3928纳入已知被利用漏洞目录，并“持续联合合作机构调查恶意活动”。Commvault早前透露，取证调查发现攻击者“利用零日漏洞实施入侵”，并附有该漏洞的公告链接。 针对为何选择周四发布公告的质询，CISA拒绝置评。Commvault发言人回应称：“CISA此次警示内容无新增信息，所有情况均已在5月4日公告中披露，当前仅为情况重申。”微软则未回应关于攻击方国家归属、具体受害企业及数据风险等问询。 曾调查类似事件的BeyondTrust现场首席技术官詹姆斯·莫德指出，此类事件凸显第三方特权访问的风险隐患：“他们的漏洞终将成为你的漏洞。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

记一次DarkCrystal木马伪装成Solara编辑器进行投毒分析

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，代号ViciousTrap的黑客组织已入侵全球84个国家近5,300台网络边缘设备，将其改造成类蜜罐网络。该组织利用思科小型企业路由器（型号RV016、RV042、RV042G、RV082、RV320、RV325）的关键漏洞CVE-2023-20118实施大规模入侵，其中850台受控设备位于澳门。 安全公司Sekoia在周四发布的分析报告中指出：“感染链涉及执行名为NetGhost的shell脚本，该脚本将被入侵路由器特定端口的流量重定向至攻击者控制的类蜜罐设施，从而实现网络流量劫持。” 此前，法国网络安全公司曾将该漏洞利用归因于另一个名为PolarEdge的僵尸网络。 尽管尚无证据表明这两项活动存在关联，但研究人员认为ViciousTrap背后的组织正通过入侵大量暴露于互联网的设备构建蜜罐基础设施，涉及品牌包括Araknis、华硕、D-Link、领势、威联通等50余个厂商的SOHO路由器、SSL VPN、数字录像机及基板管理控制器。 分析报告补充称：“这种架构使攻击者能观察多环境渗透尝试，可能收集未公开或零日漏洞利用方案，并劫持其他威胁组织的入侵成果。” 攻击链首先通过漏洞利用下载bash脚本，该脚本从外部服务器获取wget工具后再次触发漏洞，执行第二阶段的NetGhost脚本。 NetGhost脚本配置了流量重定向功能，将被控系统流量导向攻击者控制的第三方设施，实施中间人攻击，同时具备自删除能力以减少取证痕迹。Sekoia表示所有攻击尝试均源自单一IP地址（101.99.91[.]151），最早活动可追溯至2025年3月。次月监测到该组织将PolarEdge僵尸网络曾使用的未公开WebShell工具改作己用。 安全研究人员费利克斯·艾梅与杰里米·希恩指出：“该行为与攻击者使用NetGhost的策略相符，流量重定向机制使其成为静默观察者，可收集渗透尝试及传输中的WebShell访问痕迹。” 本月最新攻击活动转向华硕路由器，使用另一IP地址（101.99.91[.]239），但未在受控设备部署蜜罐。所有活跃IP均位于马来西亚，归属托管服务商Shinjiru运营的自治系统AS45839。 基于与GobRAT基础设施的微弱关联，以及流量重定向至中国台湾地区和美国多地资产的事实，研究人员判断该组织可能具备中文背景。Sekoia总结称：“尽管高度确信ViciousTrap构建的是类蜜罐网络，但其最终目标仍未明确。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

Инженеры нашли способ создавать 3D-структуры без сложных вычислений.

A vulnerability classified as critical was found in TopicsViewer 3.0. This vulnerability affects unknown code of the file edit_block.php. The manipulation of the argument ID leads to sql injection. This vulnerability was named CVE-2014-10023. The attack can be initiated remotely. Furthermore, there is an exploit available.

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场恶意软件活动，该活动通过伪装为LetsVPN、QQ浏览器等流行工具的虚假软件安装程序，最终投递Winos 4.0框架。这项由Rapid7在2025年2月首次监测到的攻击行动，使用了名为Catena的多阶段驻内存加载器。 “Catena通过嵌入shellcode和配置切换逻辑，将Winos 4.0等有效载荷完全驻留内存，规避了传统杀毒软件的检测，”安全研究人员安娜·希罗科娃与伊万·费格尔表示，“植入后，它会静默连接攻击者控制的服务器——多数位于香港——接收后续指令或额外恶意程序。”这类攻击与历史上部署Winos 4.0的案例相似，似乎专门针对中文环境，网络安全公司指出幕后存在具备高度能力的威胁组织进行“缜密的长期规划”。 趋势科技于2024年6月首次公开记录到Winos 4.0（又名ValleyRAT），当时该恶意程序通过VPN应用的恶意Windows安装包（MSI文件）针对中文用户发起攻击。相关活动被归因于追踪代号为Void Arachne的威胁集团，该组织也被称为Silver Fox。 后续传播该恶意软件的行动转而使用游戏相关应用作为诱饵，包括安装工具、加速器和优化程序等，诱骗用户安装。2025年2月披露的另一次攻击浪潮通过伪装台湾地区税务机构的钓鱼邮件针对当地实体。 基于知名远程木马Gh0st RAT的代码基础，Winos 4.0是采用C++编写的先进恶意框架，利用插件化系统实现数据窃取、远程Shell访问及发动分布式拒绝服务（DDoS）攻击。 2025年2月发现的基于QQ浏览器的感染流程显示，所有相关攻击载体均依赖NSIS安装程序。这些安装包捆绑了经过签名的诱饵应用，将shellcode嵌入.ini文件，并通过反射式DLL注入技术实现隐蔽驻留。整个感染链被命名为Catena。 研究人员指出：“该活动在2025年全年持续活跃，感染链保持稳定但存在战术调整，显示出攻击者具备强大适应能力。”攻击起点是伪装成腾讯开发的QQ浏览器安装包的恶意NSIS程序，通过Catena框架投递Winos 4.0。恶意程序通过TCP 18856端口和HTTPS 443端口与硬编码的C2基础设施通信。 在2025年4月发现的LetsVPN安装包攻击案例中，恶意程序通过创建计划任务实现持久化，这些任务在初始入侵数周后执行。虽然该恶意软件包含检测系统中文语言设置的显性校验，但即使未发现中文环境仍会继续执行。 这一现象表明该功能尚未完善，预计会在后续版本中改进。Rapid7透露，2025年4月监测到攻击者进行了“战术调整”，不仅修改了Catena执行链的某些组件，还新增了反杀毒检测规避功能。 新版攻击流程中，NSIS安装程序伪装成LetsVPN安装文件，运行PowerShell命令为所有驱动器（C:\至Z:\）添加Microsoft Defender排除项。随后释放的恶意载荷包含一个可执行文件，该文件会对运行进程进行快照扫描，检查是否存在奇虎360开发的杀毒软件相关进程。 该二进制文件使用威瑞信颁发的过期证书进行签名，证书显示归属方为腾讯科技（深圳），有效期从2018年10月11日至2020年2月2日。其主要功能是反射式加载DLL文件，该DLL会连接C2服务器（134.122.204[.]11:18852或103.46.185[.]44:443）以下载执行Winos 4.0。 研究人员总结称：“该行动展现出高度组织化的区域性恶意软件攻击模式，通过特制NSIS安装程序静默植入Winos 4.0。攻击者大量使用内存驻留载荷、反射式DLL加载及合法证书签名的诱饵软件规避告警，基础设施重叠和语言定向特征暗示其与Silver Fox APT存在关联，活动目标可能持续锁定中文语系环境。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文