- Kubernetes 集群安全漏洞:Ingress NGINX 高危漏洞或致集群全面沦陷
Wiz Research 发现了 CVE-2025-1097、CVE-2025-1098、CVE-2025-24514 和 CVE-2025-1974,这是 Kubernetes 入口 NGINX 控制器中一系列未经身份验证的远程代码执行漏洞,称为 #IngressNightmare 。利用这些漏洞会导致攻击者未经授权访问 Kubernetes 集群中所有命名空间中存储的所有密钥,从而导致集群接管。此攻击媒介的 CVSS v3.1 基本分数为 9.8。
来源: CN-SEC 中文网
- 密码轮换错误导致 Cloudflare R2 服务中断
Cloudflare 宣布,其 R2 对象存储和依赖服务经历了长达 1 小时 7 分钟的中断,导致全球 100% 的写入和 35% 的读取失败。
来源: BleepingComputer
- 黑客利用 Gamma AI 创建复杂的 Microsoft 主题网络钓鱼重定向器
网络安全研究人员披露,黑客组织正利用AI内容生成平台Gamma(gamma.app)创建高度复杂且难以侦测的钓鱼重定向系统。该平台原用于快速生成演示文稿、网站及文档,现被恶意分子用于在 gamma.app 官方域名下直接托管钓鱼跳转页面。
来源: CN-SEC 中文网
- WordPress 插件漏洞致使黑客能够注入恶意SQL查询
GamiPress 是一款广受欢迎的 WordPress 插件,用于在网站上实现游戏化和奖励系统,它存在一个严重漏洞。这个具有高影响力的漏洞被归类为 CVE-2024-13496,通用漏洞评分系统(CVSS 3.1)评分为 7.5,它使得未经身份验证的攻击者能够注入恶意 SQL 查询。
来源: 安全客
- 基因技术业者 23andMe 申请破产保护,用户 DNA 等敏感信息恐遭转售
2023年10月因遭黑客入侵,而声名大噪的美国基因技术业者 23andMe,上周日(3/23)申请了破产保护,打算出售该公司资产并解决被黑事件所引发的法律责任。加州政府及华盛顿邮报纷纷呼吁使用者,尽速删除与 23andMe 分享的基因样本及个人资料。
来源: iThome
- 浏览器中的浏览器攻击针对 CS2 玩家的 Steam 账户
一种新的网络钓鱼活动针对《反恐精英 2》玩家,利用浏览器中的浏览器(BitB)攻击,显示一个模仿 Steam 登录页面的逼真窗口。
来源: BleepingComputer
- 新型恶意软件 SvcStealer 对用户发动攻击以窃取浏览器及应用中的敏感数据
一种名为 “SvcStealer 2025” 的新型复杂信息窃取程序出现了,它通过鱼叉式网络钓鱼电子邮件附件来窃取用户敏感数据。该恶意软件于 2025 年 1 月底首次被发现,它会从受感染的系统中获取大量个人和财务信息,包括机器数据、已安装软件、用户凭证、加密货币钱包信息以及浏览器数据。
来源: 安全客
原文始发于微信公众号(赛欧思安全研究实验室):马来西亚机场控股有限公司(MAHB)遭遇黑客网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论