Aggregator

A vulnerability was found in ClassCMS 4.8. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file class/admin/channel.php. The manipulation leads to cross site scripting. This vulnerability is known as CVE-2024-57097. The attack can be launched remotely. There is no exploit available.

A vulnerability, which was classified as problematic, has been found in 07FLY FlyCMS 1.3.9. This issue affects some unknown processing of the file /oa/OaWorkReport/add.html. The manipulation leads to cross-site request forgery. The identification of this vulnerability is CVE-2024-57159. The attack may be initiated remotely. Furthermore, there is an exploit available.

A vulnerability was found in Go-CMS 1.1.10. It has been classified as critical. Affected is an unknown function. The manipulation leads to sql injection. This vulnerability is traded as CVE-2024-57095. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability has been found in payload ieldsToJson of node-opcua-alarm-condition 2.134.0 and classified as critical. Affected by this vulnerability is the function fieldsToJson. The manipulation of the argument function leads to improperly controlled modification of object prototype attributes ('prototype pollution'). This vulnerability is known as CVE-2024-57086. Access to the local network is required for this attack. There is no exploit available.

A vulnerability was found in stryker-mutator util 8.6.0. It has been rated as problematic. Affected by this issue is the function deepMerge. The manipulation leads to improperly controlled modification of object prototype attributes ('prototype pollution'). This vulnerability is handled as CVE-2024-57085. The attack needs to be initiated within the local network. There is no exploit available.

臭名昭著的黑客 IntelBroker 因入侵 AMD、诺基亚等公司并出售数据被捕。25 岁的他使用实名账户接收赃款，FBI 通过钓鱼获取其比特币地址并锁定身份。

The Apache Software Foundationが提供する複数の製品には、サービス運用妨害（DoS）の脆弱性が存在します。

HackerNews 编译，转载请注明出处： 网络安全公司Rapid7周三披露，其研究人员在兄弟牌（Brother）打印机的多功能打印机中发现八个安全漏洞。这些漏洞影响兄弟品牌的689款打印机、扫描仪和标签机，同时部分或全部漏洞也波及富士胶片商业创新（Fujifilm Business Innovation）的46款、理光（Ricoh）的5款、柯尼卡美能达（Konica Minolta）的6款及东芝（Toshiba）的2款打印机。总体而言，数百万台企业及家用打印机因这些漏洞面临黑客攻击风险。 其中最严重的漏洞被标记为CVE-2024-51978（严重等级为“高危”），可使远程未认证攻击者通过获取设备默认管理员密码绕过身份验证。该漏洞可与信息泄露漏洞CVE-2024-51977形成攻击链——后者能窃取设备序列号，而序列号正是生成默认管理员密码的关键要素。 “问题根源在于兄弟设备的默认密码生成机制，”Rapid7解释称，“该机制将序列号转化为默认密码。受影响设备在生产过程中，会根据每台设备的唯一序列号设定此默认密码。”一旦掌握管理员密码，攻击者即可重新配置设备或滥用需认证用户才能访问的功能。 其余漏洞严重等级为“中危”或“高危”，可被用于实施拒绝服务（DoS）攻击、强制打印机开启TCP连接、窃取已配置外部服务的密码、触发堆栈溢出以及发起任意HTTP请求。八个漏洞中有六个无需认证即可利用。 Rapid7约一年前通过日本计算机应急响应中心（JPCERT/CC）向兄弟打印机报告了漏洞。目前厂商已发布安全公告告知客户，并修复了大部分漏洞，但指出CVE-2024-51978无法通过固件完全修补。兄弟打印机表示将通过新生产工艺确保未来设备免疫该漏洞，现有设备则需采用临时缓解方案。JPCERT/CC及理光、富士胶片、东芝、柯尼卡美能达等厂商也同步发布了相关安全公告。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

这篇文章主要介绍了HTTP错误代码521的原因及其解决方法。该错误通常由Cloudflare服务器配置问题或资源不足引起。常见原因包括服务器配置错误、资源耗尽、路由问题或网络攻击。解决措施包括检查服务器配置、优化资源使用、联系ISP或尝试备用DNS服务器以恢复服务正常运行。

A vulnerability classified as problematic was found in YaBB 1 Gold - Sp 1.3/1.5.1. This vulnerability affects unknown code of the component Tag Handler. The manipulation of the argument glow/shadow leads to basic cross site scripting. This vulnerability was named CVE-2004-1827. The attack can be initiated remotely. Furthermore, there is an exploit available.

A vulnerability classified as problematic has been found in GC Social Wall Plugin up to 1.15 on WordPress. Affected is the function gc_social_wall of the component Shortcode Handler. The manipulation leads to cross site scripting. This vulnerability is traded as CVE-2025-5564. It is possible to launch the attack remotely. There is no exploit available.

A vulnerability classified as problematic was found in Event RSVP and Simple Event Management Plugin Plugin up to 4.1.0 on WordPress. Affected by this vulnerability is the function emd_mb_meta of the component Shortcode Handler. The manipulation leads to cross site scripting. This vulnerability is known as CVE-2025-5540. The attack can be launched remotely. There is no exploit available.

A vulnerability has been found in WP SoundSystem Plugin up to 3.4.2 on WordPress and classified as problematic. This vulnerability affects the function wpsstm-track of the component Shortcode Handler. The manipulation leads to cross site scripting. This vulnerability was named CVE-2025-6258. The attack can be initiated remotely. There is no exploit available.

A vulnerability classified as problematic has been found in TimeZoneCalculator Plugin up to 3.37 on WordPress. This affects the function timezonecalculator_output of the component Shortcode Handler. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2025-5559. It is possible to initiate the attack remotely. There is no exploit available.

HackerNews 编译，转载请注明出处： 美国联邦法院系统首席信息官迈克尔·斯卡德（Michael Scudder）本周向国会委员会作证时表示，国家法院系统正持续遭受日益复杂的黑客攻击。身为联邦法院国家决策机构信息技术委员会主席的斯卡德向众议院司法委员会透露，2024财年法院系统成功拦截了约2亿次针对地方法院局域网的恶意网络攻击事件。 “司法系统不得不应对多轮高度复杂且持续的网络威胁，”斯卡德在书面证词中强调，“鉴于司法机构掌控的敏感信息，我们始终面临着极其严峻且不间断的安全威胁。”他警告称网络攻击未来将更具破坏性，并暗示已发生多起因敏感性而无法公开的网络安全事件。 当前美国法院通过法院电子记录公共访问系统（PACER） 实现法官和律师的电子化文件提交。该系统包含大量密封文件，涉及国家安全信息、经济价值专有证据、起诉书、合作证人姓名及逮捕搜查令等敏感内容。 斯卡德证实，外部专家及其委员会评估认为，由于日益严重的网络安全风险，PACER系统已“不可持续”，必须在未来几年内被更现代化的系统取代。该委员会正主导开发新一代系统，采用“敏捷开发”模式，并在全国法院分阶段试点运行。 这一问题早有预兆。2022年7月，美国司法部高级官员曾向众议院司法委员会披露正在调查一起重大黑客事件。时任委员会主席杰罗德·纳德勒（Jerry Nadler）当时揭露，2020年数据泄露事件中三个敌对外国行为体曾攻击PACER系统，其规模与范围“令人震惊”。 此次听证恰逢司法部申请2026财年7400万美元预算，其中部分将用于联邦法院电子案件系统的全面升级。斯卡德指出，国会已拨付的网络安全专项资金取得“实质性进展”，包括实施多因素认证、完成新身份凭证计划的首阶段（旨在降低对“过时密码模式”的依赖），以及强化网络监控工具、活动日志系统、防火墙和终端防护设备。 “事实证明司法系统是恶意攻击者和网络罪犯窃取机密信息、破坏美国司法程序的高价值目标，”斯卡德总结道，“这些攻击正危及整个司法体系的安全。”目前该委员会正与司法部国家安全司、联邦调查局网络专家、网络安全和基础设施安全局（CISA）及国家网络主任办公室密切协作，共同强化网络防御并调查网络攻击事件。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

请提供文章内容以便我为您总结。

Mozilla has released Firefox 140, addressing multiple critical security vulnerabilities, including a high-impact use-after-free vulnerability that could lead to code execution.  The update patches twelve distinct security flaws ranging from memory safety issues to platform-specific vulnerabilities affecting both desktop and mobile versions of the browser. Summary1. Firefox 140 addresses CVE-2025-6424, a high severity use-after-free bug […]

The post Firefox 140 Released With Fix for Code Execution Vulnerability – Update Now appeared first on Cyber Security News.

HackerNews 编译，转载请注明出处： 英国国家医疗服务体系（NHS）证实，去年导致伦敦多家医院血液检测服务瘫痪的勒索软件攻击事件，已直接造成一名患者死亡。 2023年6月，网络犯罪团伙Qilin对伦敦病理服务提供商Synnovis发动勒索攻击，致使伦敦大量NHS医院及医疗机构的服务严重中断。此次攻击导致血液检测效率大幅下降。国王学院医院NHS基金会信托发言人表示，在事件期间，检测延迟构成“多重因素共同作用”，最终导致一名患者不幸身亡。该结论由权威医疗期刊《健康服务期刊》率先披露。 “我们沉痛确认，一名患者在勒索攻击期间意外离世。依据标准流程，我们已对其诊疗过程展开详细审查，”发言人声明，“患者安全事故调查表明，其死亡由多重因素共同导致。其中包括因网络攻击影响病理服务而造成的血液检测结果严重延误。我们已会面告知患者家属调查结果。” 出于患者隐私保护，发言人拒绝透露其他影响因素细节。 Synnovis首席执行官Mark Dollar在声明中回应：“获悉去年恶意网络攻击被确认为患者离世的诱因之一，我们深感悲痛，并向涉事家属致以深切哀悼。” 上月，Recorded Future News披露2024年影响NHS的两起网络攻击已被正式认定存在临床安全风险。除Synnovis事件外，另一起针对Wirral大学教学医院NHS基金会信托的攻击，亦导致癌症治疗服务延误。 据信，Qilin团伙通过勒索手段泄露了超90万人的敏感数据，包括性传播感染和癌症患者的检测结果。数据泄露分析公司CaseMatrix确认，泄露内容涵盖患者姓名、出生日期、NHS编号及联系方式，甚至包含医疗机构间流转的病理学与组织学检查表单。 事件发生一年后，受影响患者仍未获知自身具体哪些数据遭泄露。Synnovis发言人上月表示：“调查已接近尾声，我们正最后确定通报机制，将适时向受影响机构及个人更新信息。” 此次攻击的连锁反应导致全英血液库存锐减——因血液配型功能受限，医生被迫使用万能供血者血型，多家医院濒临仅能向危重患者输血的困境。本月稍早，NHS再度呼吁公众献血以缓解持续低位的血库储备。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了一个技术问题：云flare返回错误代码521（Web服务器返回无效响应），通常由服务器关闭、配置错误或网络问题引起。

腾讯云CODING DevOps因业务调整下线，2025年7月起停止新团队注册及创建，现有团队可邀请成员加入。用户需将项目迁移到CNB平台，并注意功能差异。建议提前备份数据并完成迁移以避免影响开发进度。