QNAP近日发布多份安全公告,修复多款产品中的关键安全漏洞,提醒用户尽快更新以避免安全风险。其中,NAS应用NotesStation3存在两个严重漏洞,包括缺乏关键功能认证(CVE-2024-38643,CVSS评分9.3)和服务器端请求伪造(CVE-2024-38645)。这些漏洞可能导致远程攻击者无需凭据即可获取系统权限或访问敏感数据。目前,这些问题已在3.9.7版本中修复。此外,QNAP高性能路由器QuRouter系列也被发现存在一项操作系统命令注入漏洞(CVE-2024-48860,CVSS评分9.5),攻击者可远程执行系统命令,已在版本2.4.3.106中修复。同样受到修复的还有QTS和QuTSHero操作系统中的内存格式化处理缺陷(CVE-2024-50396、CVE-2024-50397)以及QLogCenter日志管理工具中的文件路径遍历漏洞(CVE-2024-48862)。
昨天(11月25日),微软的多项核心服务(包括365、ExchangeOnline、Teams和Outlook)再次遭遇全球性的大规模中断,用户随后在社交媒体上报告了一系列问题,如无法发送邮件、网站崩溃及出现错误页面。在事故发生的6小时内,Downdetector已经收到了数千份报告,受影响的用户表示他们还遇到了连接其他服务的问题,包括OneDrive、Purview、Copilot以及OutlookWeb和Desktop。
Meta最近发布的一份报告揭示了“猪宰割”诈骗背后的有组织犯罪网络及其对全球用户的影响。这种诈骗手法通过强迫劳动在诈骗中心进行,利用人们的信任来窃取投资,尤其是加密货币投资。报告指出,全球约有30万人被迫参与诈骗,犯罪团伙每年盗取640亿美元。
俄罗斯黑客组织APT28成功突破物理攻击范围,入侵了万里之外的一家美国企业的Wi-Fi网络。
Wordfence威胁情报团队最近的一份报告揭示了CleanTalkWordPress插件Anti-Spam中的两个严重漏洞,影响了超过200,000个活跃安装。这些漏洞编号为CVE-2024-10542和CVE-2024-10781,可能允许未经身份验证的攻击者通过安装恶意插件和执行任意代码来破坏网站。
与俄罗斯有关的威胁组织RomCom与两个安全漏洞的零日利用有关,一个在MozillaFirefox中,另一个在MicrosoftWindows中,作为旨在在受害者系统上传递同名后门的攻击的一部分。
PHP开发团队发布了紧急安全更新,以解决影响8.1.31、8.2.26和8.3.14之前版本的多个漏洞。这些漏洞的严重程度不一,其中一些可能允许攻击者泄漏敏感信息、执行任意代码或发起拒绝服务攻击。CVE-2024-8932是最严重的漏洞之一,它允许在ldap_escape函数中进行越界(OOB)访问。该漏洞的CVSS得分为9.8,可使攻击者在受影响的系统上执行任意代码。
公安部会同国家发展和改革委员会、工业和信息化部、中国人民银行联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》。
大家都在学
在CentOS上体验Redis数据库
智能产品安全漏洞
Collabtive系统SQL注入实验
指导单位:中国网络空间安全协会(CSAC)中国网络空间安全人才教育论坛(CEAC)