Aggregator

A vulnerability has been found in wordplus Better Messages Plugin up to 2.6.9 on WordPress and classified as problematic. This vulnerability affects the function better_messages_live_chat_button of the component Shortcode Handler. The manipulation leads to cross site scripting. This vulnerability was named CVE-2024-13612. The attack can be initiated remotely. There is no exploit available.

A vulnerability, which was classified as critical, was found in vanquish WooCommerce Support Ticket System Plugin up to 17.8 on WordPress. This affects the function ajax_delete_message/ajax_get_customers_partial_list/ajax_get_admins_list. The manipulation leads to missing authorization. This vulnerability is uniquely identified as CVE-2024-13775. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability has been found in Joomla CMS up to 3.6.3 and classified as critical. This vulnerability affects unknown code of the component User Registration. The manipulation leads to improper input validation. This vulnerability was named CVE-2016-8870. The attack can be initiated remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

OpenAI 公司的 CEO Sam Altman、首席研究官 Mark Chen、首席产品官 Kevin Weil、工程副总裁 Srinivas Narayanan、AI 研究负责人 Michelle Pokrass 以及研究主管 Hongyu Ren 周五参加了 Reddit 的 AMA 活动。最近火热无比的中国 AI 创业公司 DeepSeek 给 OpenAI 带来了巨大压力。Altman 承认 DeepSeek 削弱了 OpenAI 在 AI 领域的领先地位，他还认为 OpenAI 在开源其技术上“站在了历史错误的一边”。OpenAI 曾开源过模型，但最近几年倾向于私有的闭源开发方法。Altman 称该公司需要找出一种不同的开源策略，他同时强调不是所有人都认同这一观点，开源也不是目前的最优先事项。Kevin Weil 在后续回复中表示，OpenAI 在考虑开源不再先进的旧模型。他没有透露更多信息。

A vulnerability, which was classified as critical, was found in Web Reference Database up to 0.9.6. Affected is an unknown function of the file install.php. The manipulation of the argument pathToMYSQL/databaseStructureFile leads to code injection. This vulnerability is traded as CVE-2015-7381. It is possible to launch the attack remotely. Furthermore, there is an exploit available.

A vulnerability has been found in BoutikOne 1.0 and classified as critical. Affected by this vulnerability is an unknown functionality of the file list.php. The manipulation of the argument page leads to sql injection. This vulnerability is known as CVE-2010-3479. The attack can be launched remotely. Furthermore, there is an exploit available.

A vulnerability was found in Apache Tomcat 4.1.24. It has been rated as problematic. Affected by this issue is some unknown functionality. The manipulation leads to information disclosure. This vulnerability is handled as CVE-2007-3382. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

NASA OSIRIS-REx 探测器于 2020 年 10 月登陆距地球 3.2 亿公里的小行星 Bennu，收集了 120 克尘埃与岩石样本，2023 年 9 月样本舱降落在犹他州沙漠。对样本的分析发现了盐类矿物如岩盐（halite）与钾石盐（sylvite），以及有机化合物与构成生命的物质，包括 14 种与地球生物过程相关的胺基酸，以及某些未在已知生物体中发现的胺基酸。此外还检测到氨（ammonia）及全部 5 种 RNA 与 DN A中的核碱基。虽然目前未发现生命，但这些结果表明，小行星母天体曾拥有富含碳与盐水的环境，以及适合形成生命的基本条件。

又到了一年一度的总结回顾时间，这里就写一下能公开的内容吧，这一次我们以时间顺序来进行记录，论文、专利、培训、教材这些常规工作就不说了吧。

WhatsApp 警告近百名记者和公民社团成员成为以色列公司 Paragon Solutions 的间谍软件的攻击目标。目前不清楚幕后攻击者的身份，类似其它间谍软件开发商，Paragon 的产品主要供政府客户使用，WhatsApp 表示无法确定下令攻击的客户身份。Paragon 间谍软件使用了零点击漏洞，也就是目标不需要点击任何恶意链接就会被感染。WhatsApp 拒绝披露受害者的位置，它已经向 Paragon 发去了“中止令（cease and desist）”信函，考虑采取法律行动。Paragon 的间谍软件被称为 Graphite，其功能与 NSO Group 的 Pegasus 间谍软件相当，手机一旦感染就能被完全控制，能够访问 WhatsApp 和 Signal 等加密应用的信息。

基于Linux 的僵尸网络构建器，构建高级隐秘僵尸网络负载

SecurityScorecard 的研究人员披露了朝鲜黑客组织 Lazarus Group 发动的大规模供应链攻击。这一行动被称为 Phantom Circuit，攻击者通过克隆开源项目植入后门，将恶意版本托管在 Gitlab 等平台，诱骗加密货币等行业的开发者使用，然而入侵其机器窃取凭证。朝鲜黑客组织去年 11 月瞄准了欧洲科技行业的 181 名受害者，12 月受害者扩大到 1,225 人，其中印度 284 人，巴西 21 人。1 月受害者又增加了 233 人，其中印度 110 人。窃取的数据包括了凭证、身份验证令牌、密码等。被植入后门的项目包括了 Codementor、CoinProperty、Web3 E-Store，以及其它加密货币相关的软件包。研究人员报告，Lazarus Group 会使用多种混淆方法隐藏其来源，其中包括使用 Astrill VPN 路由流量，将窃取的数据上传到 Dropbox。