Aggregator

CVE-2025-68363 | Linux Kernel up to 6.12.62/6.17.12/6.18.1 /include/linux/skbuff.h __netif_receive_skb_core privilege escalation (EUVD-2025-205091 / Nessus ID 279712)

Vuldb Updates
5 months 1 week ago
A vulnerability was found in Linux Kernel up to 6.12.62/6.17.12/6.18.1 and classified as critical. This issue affects the function __netif_receive_skb_core of the file /include/linux/skbuff.h. Executing a manipulation can lead to privilege escalation. This vulnerability appears as CVE-2025-68363. The attacker needs to be present on the local network. There is no available exploit. It is suggested to upgrade the affected component.
vuldb.com

CVE-2025-68364 | Linux Kernel up to 6.12.62/6.17.12/6.18.1 ocfs2 denial of service (EUVD-2025-205090 / Nessus ID 279731)

Vuldb Updates
5 months 1 week ago
A vulnerability classified as critical has been found in Linux Kernel up to 6.12.62/6.17.12/6.18.1. This affects an unknown function of the component ocfs2. The manipulation leads to denial of service. This vulnerability is referenced as CVE-2025-68364. The attack needs to be initiated within the local network. No exploit is available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2025-68366 | Linux Kernel up to 6.12.62/6.17.12/6.18.1 nbd lib/refcount.c nbd_genl_connect use after free (EUVD-2025-205088 / Nessus ID 279739)

Vuldb Updates
5 months 1 week ago
A vulnerability was found in Linux Kernel up to 6.12.62/6.17.12/6.18.1. It has been rated as critical. Impacted is the function nbd_genl_connect in the library lib/refcount.c of the component nbd. This manipulation causes use after free. This vulnerability appears as CVE-2025-68366. The attacker needs to be present on the local network. There is no available exploit. Upgrading the affected component is advised.
vuldb.com

CVE-2025-68369 | Linux Kernel up to 6.12.62/6.17.12/6.18.1 do_truncate initialization (EUVD-2025-205085 / Nessus ID 279836)

Vuldb Updates
5 months 1 week ago
A vulnerability was found in Linux Kernel up to 6.12.62/6.17.12/6.18.1. It has been classified as critical. This vulnerability affects the function do_truncate. The manipulation leads to improper initialization. This vulnerability is documented as CVE-2025-68369. The attack requires being on the local network. There is not any exploit available. Upgrading the affected component is recommended.
vuldb.com

CVE-2025-68367 | Linux Kernel up to 6.12.62/6.17.12/6.18.1 mac_hid_toggle_emumouse race condition (EUVD-2025-205087 / Nessus ID 279733)

Vuldb Updates
5 months 1 week ago
A vulnerability, which was classified as critical, has been found in Linux Kernel up to 6.12.62/6.17.12/6.18.1. Affected is the function mac_hid_toggle_emumouse. This manipulation causes race condition. This vulnerability is tracked as CVE-2025-68367. The attack is only possible within the local network. No exploit exists. It is advisable to upgrade the affected component.
vuldb.com

CVE-2025-68371 | Linux Kernel up to 6.12.62/6.17.12/6.18.1 scsi sdev_destroy use after free (EUVD-2025-205083 / Nessus ID 279717)

Vuldb Updates
5 months 1 week ago
A vulnerability was found in Linux Kernel up to 6.12.62/6.17.12/6.18.1. It has been declared as critical. The affected element is the function sdev_destroy of the component scsi. The manipulation results in use after free. This vulnerability is known as CVE-2025-68371. Access to the local network is required for this attack. No exploit is available. It is recommended to upgrade the affected component.
vuldb.com

New ‘Penguin’ Pig Butchering as a Service Selling PII, Stolen Accounts and Fraud Kits

Cyber Security News
5 months 1 week ago

The world of cybercrime has taken a dangerous turn as pig butchering scams now operate as turnkey services, lowering entry barriers for bad actors worldwide. The “Penguin” operation represents a growing marketplace that provides everything scammers need to launch large-scale fraud campaigns, from stolen personal data to ready-made fraud templates. This service-based model mirrors other […]

The post New ‘Penguin’ Pig Butchering as a Service Selling PII, Stolen Accounts and Fraud Kits appeared first on Cyber Security News.

Tushar Subhra Dutta

新型网络犯罪工具ErrTraffic实现ClickFix攻击自动化 伪造网站故障诱骗用户中招

嘶吼
5 months 1 week ago

最近,一款名为ErrTraffic的新型网络犯罪工具可助力威胁组织实现ClickFix攻击的自动化操作,其原理是在已入侵的网站上生成“虚假故障”,以此诱骗用户下载恶意载荷或执行恶意指令。

该工具宣称攻击转化率最高可达60%,并能识别目标设备的系统类型,投放与之兼容的恶意载荷。

ClickFix是一种社会工程学攻击手段,攻击者会编造看似合理的借口(如修复技术故障、验证用户身份等),诱骗目标在自身设备上执行危险命令。

自2024年起,这种攻击手段的使用率持续攀升,尤其是在今年,因其能够有效绕过常规安全防护措施,已被网络犯罪分子和有国家背景攻击组织广泛采用。

ClickFix攻击自动化实现方案

据悉,ErrTraffic是一款全新的网络犯罪工具,由一名化名LenAI的用户在俄语黑客论坛上首次推广。该工具本质上是一套自托管流量分发系统(TDS),专门用于部署ClickFix攻击诱饵,采用一次性付费模式,售价为800美元。

黑客论坛上推广的恶意服务

安全研究人员对该平台开展了技术分析,发现其配备了操作便捷的控制面板,不仅提供多项配置选项,还支持查看攻击活动的实时数据。

攻击者需预先控制一个可接收受害者流量的网站——或已向某个合法网站植入恶意代码,随后通过嵌入一行HTML代码,即可将ErrTraffic集成到目标网站中。

主面板

对于不符合攻击条件的普通访客,网站的显示和功能完全正常;而一旦访问者的地理位置与操作系统指纹匹配预设条件,网站的文档对象模型(DOM)就会被篡改,呈现出各种视觉故障。

这些故障表现形式多样,包括文本乱码或无法识别、字体被替换为符号、伪造Chrome浏览器更新提示、系统字体缺失报错等。

网站“故障”的假象会营造出问题场景,进而诱导受害者按照提示采取“解决措施”,例如安装浏览器更新、下载系统字体、在命令提示符中粘贴指定代码等。

一旦受害者执行相关操作,一段PowerShell恶意命令就会通过JavaScript代码自动复制到剪贴板。受害者运行该命令后,设备便会下载并执行恶意载荷。

ClickFix 交付机制在 ErrTraffic

安全研究员明确指出,该工具针对不同系统投放的恶意载荷各不相同:Windows系统为Lumma和Vidar信息窃取器,安卓系统为Cerberus木马,macOS系统为AMOS(原子窃取器),Linux系统则为未明确命名的后门程序。

定义每个操作系统的有效负载

ErrTraffic的使用者可针对不同架构的目标设备自定义恶意载荷,并指定实施攻击的目标国家和地区。值得注意的是,工具内置了对独联体(CIS)国家的访问排除机制,这一特征或可暗示ErrTraffic开发者的地域背景。

在绝大多数情况下,攻击者会将窃取到的用户数据在暗网市场出售,或利用这些数据进一步入侵更多网站,再次植入ErrTraffic恶意脚本。

胡金鱼

Ni8mare高危漏洞来袭 黑客可远程劫持n8n服务器

嘶吼
5 months 1 week ago

研究人员最新发现,一项被命名为Ni8mare的最高严重级漏洞,允许远程未授权攻击者完全接管本地部署的N8N工作流自动化平台。

该安全漏洞编号为CVE-2026-21858,CVSS评分高达10分。据研究人员称,目前互联网上存在超过10万台易受攻击的N8N服务器。

N8N是一款开源工作流自动化工具,用户可通过可视化编辑器将各类应用、API及服务连接成复杂的工作流。它主要用于任务自动化,并支持与人工智能及大语言模型服务的集成。

该工具在npm上的周下载量超过5万次,在Docker Hub上的拉取量更是突破1亿次。作为AI领域的热门工具,它常被用于编排LLM调用、构建AI智能体(Agent)和检索增强生成(RAG)流水线,以及自动化数据摄入与检索。

Ni8mare漏洞技术细节

Ni8mare漏洞允许攻击者通过执行特定的基于表单的工作流,访问底层服务器上的文件。 

N8N开发者表示:“存在漏洞的工作流可能会授予未授权远程攻击者访问权限。这可能导致存储在系统上的敏感信息泄露,并且根据部署配置和工作流的使用情况,可能会导致进一步的入侵。”

研究人员于2025年11月发现了该漏洞并向N8N官方报告。他们指出,该漏洞源于N8N在解析数据时存在的 内容类型混淆问题。 

N8N使用两个不同的函数来处理传入数据,具体取决于Webhook中配置的content-type头部信息——Webhook是通过监听特定消息来触发工作流事件的组件。

当Webhook请求被标记为multipart/form-data时,N8N会将其视为文件上传,并使用特殊的上传解析器,将文件保存在随机生成的临时位置。

这意味着用户无法控制文件的最终存放路径,从而防范了路径遍历攻击。然而,对于所有其他内容类型,N8N则使用标准解析器。

攻击者可以通过设置不同的内容类型(例如 application/json)来绕过上传解析器。在这种情况下,N8N仍会处理与文件相关的字段,但不会验证请求中是否真的包含有效的文件上传。这使得攻击者能够完全控制文件元数据,包括文件路径。

存在缺陷的解析器逻辑

研究员解释:由于调用该函数时未验证内容类型是否为 multipart/form-data,所以可以控制整个req.body.files对象。这意味着我们控制了 filepath`参数——因此,无需复制上传的文件,而是可以复制系统中的任何本地文件。

这使得攻击者能够从N8N实例中读取任意文件,通过将内部文件添加到工作流的知识库中,从而泄露敏感信息。

这一漏洞可被滥用于泄露存储在实例中的密钥、将敏感文件注入工作流、伪造会话Cookie以绕过身份验证,甚至执行任意命令。

触发 Ni8mare (CVE-2026-21858) 访问数据库

N8N通常存储着API密钥、OAuth令牌、数据库凭证、云存储访问权限、CI/CD密钥及业务数据,使其成为企业的核心自动化枢纽。

N8N开发者表示,目前针对Ni8mare漏洞尚无官方临时缓解措施,但建议限制或禁用可公开访问的Webhook和表单端点。且强烈建议用户立即更新至N8N 1.121.0版本或更高版本。

胡金鱼

Managed ad