MongoDB Vulnerability CVE-2025-14847 Under Active Exploitation Worldwide 嗯，用户让我帮忙总结一篇文章，控制在一百个字以内，而且不需要用“文章内容总结”这样的开头。首先，我需要仔细阅读文章内容，理解主要信息。 这篇文章讲的是MongoDB的一个安全漏洞，编号是CVE-2025-14847，CVSS评分8.7。这个漏洞允许未认证的攻击者远程泄露敏感数据。漏洞源于zlib压缩的问题，攻击者发送畸形网络包就能提取数据。影响范围很大，全球有超过87,000个实例可能受影响。文章还提到修复版本和临时解决办法。 接下来，我需要把这些信息浓缩到100字以内。要抓住关键点：漏洞名称、影响、原因、攻击方式、影响范围和修复建议。同时，语言要简洁明了。 可能的结构是：MongoDB被曝漏洞CVE-2025-14847，未认证攻击者可远程泄露数据；漏洞源于zlib压缩问题；全球超8.7万实例受影响；建议升级版本或禁用zlib压缩。 检查一下字数是否在限制内，并确保没有使用禁止的开头语句。这样应该能满足用户的需求。 </think> MongoDB被曝严重漏洞CVE-2025-14847，未认证攻击者可远程窃取敏感数据；该漏洞源于zlib压缩实现缺陷，全球超8.7万实例受影响；建议升级至安全版本或禁用zlib压缩以缓解风险。... 2025-12-29 07:49:0 | 阅读: 11 | 收藏 | The Hacker News - thehackernews.com zlib attacker security network memory

Traditional Security Frameworks Leave Organizations Exposed to AI-Specific Attack Vectors 嗯，用户让我帮忙总结一篇文章，控制在一百个字以内，而且不需要特定的开头。我得先仔细阅读这篇文章，了解主要内容。 文章主要讲的是AI系统在2024年和2025年面临的安全威胁，比如Ultralytics被黑、Nx包泄露凭证以及ChatGPT的数据提取漏洞。这些事件导致大量机密泄露。传统安全框架如NIST、ISO和CIS虽然全面，但无法应对AI特有的攻击方式，比如提示注入和模型中毒。因此，组织需要超越合规，采取专门针对AI的安全措施。 接下来，我需要将这些要点浓缩到100字以内。要突出AI安全威胁的严重性、传统框架的不足以及组织需要采取的新措施。 可能的结构是：时间范围（2024-2025）、具体事件、泄露数据量、传统框架的问题、AI特有的攻击方式、组织需要的新措施。 确保语言简洁明了，不使用复杂的术语。 </think> 文章指出，尽管组织采用了全面的传统安全框架并满足合规要求，但AI系统仍面临独特威胁。2024年和2025年的多起事件表明，传统安全措施无法有效应对提示注入、模型中毒等AI攻击方式。组织需超越合规要求，实施专门针对AI系统的安全控制，并培养相关专业知识以应对不断演变的威胁。... 2025-12-29 06:34:0 | 阅读: 11 | 收藏 | The Hacker News - thehackernews.com security malicious injection threats gap

New MongoDB Flaw Lets Unauthenticated Attackers Read Uninitialized Memory 好的，我现在需要帮用户总结这篇文章的内容。用户的要求是用中文，控制在100个字以内，不需要特定的开头，直接写描述即可。 首先，我快速浏览文章内容。文章主要讲MongoDB的一个高危安全漏洞，编号CVE-2025-14847，CVSS评分8.7。这个漏洞允许未认证的用户读取未初始化的堆内存。漏洞原因是处理长度参数不一致的问题，特别是在Zlib压缩协议头中存在长度字段不匹配的情况。 接下来，文章列出了受影响的MongoDB版本范围，从3.6到8.2.3等多个版本。已经修复的版本包括8.2.3、8.0.17等。建议用户尽快升级到修复版本，并提供了临时解决方案：禁用Zlib压缩，改用Snappy或Zstd。 然后，我需要将这些信息浓缩到100字以内。重点包括：漏洞名称、影响范围、风险、修复建议和临时措施。 可能的结构是：MongoDB存在高危漏洞（CVE编号），影响多个版本，允许未认证访问读取内存数据。建议升级或禁用Zlib压缩。 现在检查字数是否符合要求，并确保信息准确无误。 </think> MongoDB 存在高危漏洞（CVE-2025-14847），影响多个版本，允许未认证用户读取未初始化内存数据。建议升级至修复版本或禁用 Zlib 压缩以缓解风险。... 2025-12-27 07:52:0 | 阅读: 11 | 收藏 | The Hacker News - thehackernews.com memory zlib database 14847

Trust Wallet Chrome Extension Breach Caused $7 Million Crypto Loss via Malicious Code 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，抓住主要信息。 文章讲的是Trust Wallet的一个安全事件，导致大约700万美元的损失。他们发布了一个Chrome扩展版本2.68，其中引入了恶意代码。这个恶意代码会遍历所有存储在扩展中的钱包，并触发助记词请求。助记词被解密后发送到攻击者的服务器。 用户被告知要更新到2.69版本，并且不要与非官方渠道的消息互动。攻击者利用了PostHog-js库来收集信息，并通过中心化交易所洗钱。目前，大部分资金已经被转移到交易所，部分仍在黑客钱包中。 总结时，我需要包括事件的基本情况、影响、解决措施以及攻击手段。同时要控制在100字以内，所以要简洁明了。 可能的结构是：Trust Wallet的安全事件导致700万美元损失，恶意代码收集助记词并发送给攻击者，用户需更新版本以修复漏洞。 检查一下是否遗漏了关键点：Chrome扩展版本、恶意代码、助记词泄露、用户行动指南、资金流向等。看起来都涵盖了。 最后，确保语言流畅，没有语法错误。 </think> Trust Wallet因安全漏洞导致约700万美元损失，恶意代码收集用户助记词并发送至攻击者服务器。用户需更新至最新版本以修复漏洞。... 2025-12-26 15:31:0 | 阅读: 5 | 收藏 | The Hacker News - thehackernews.com attacker mnemonic malicious trustwallet funds

China-Linked Evasive Panda Ran DNS Poisoning Campaign to Deliver MgBot Malware 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章讲的是一个与中国有关的高级持续性威胁（APT）组织，名为Evasive Panda，他们进行了一次针对土耳其、中国和印度的网络间谍活动。攻击手段是DNS中毒，用来传播他们的后门恶意软件MgBot。Kaspersky的研究人员详细描述了攻击过程，包括如何利用DNS请求来分发恶意软件，并且提到了之前的一些案例。 我需要提炼出关键点：Evasive Panda组织、DNS中毒技术、MgBot后门、攻击目标国家以及Kaspersky的发现。然后把这些信息浓缩成简短的句子，确保不超过100字。 可能的结构是：首先点明组织和攻击手段，接着说明目标国家和传播方式，最后提到Kaspersky的研究结果。这样既全面又简洁。 检查一下有没有遗漏的重要信息，比如攻击的时间范围（2022年11月至2024年11月）、使用的恶意软件功能等。但为了控制字数，可能不需要详细说明这些细节。 最后整合成一段话，确保流畅自然。 </think> 中国关联的APT组织Evasive Panda利用DNS中毒技术，在针对土耳其、中国和印度的网络间谍活动中传播MgBot后门。该恶意软件通过伪装成第三方软件更新分发，并通过多阶段加密和自定义算法规避检测，在目标系统中长期潜伏以窃取文件、记录键盘输入和收集敏感信息。... 2025-12-26 14:44:0 | 阅读: 5 | 收藏 | The Hacker News - thehackernews.com evasive poisoning stage panda shellcode

Critical LangChain Core Vulnerability Exposes Secrets via Serialization Injection 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要用“文章内容总结”这样的开头。好的，我得先仔细阅读文章内容，理解主要信息。 文章讲的是LangChain Core发现了一个严重的安全漏洞，CVE-2025-68664，CVSS评分9.3。这个漏洞允许攻击者通过prompt injection窃取敏感信息，甚至影响LLM的响应。漏洞出现在dumps()和dumpd()函数中，没有正确处理带有“lc”键的字典。 修复措施包括引入allowed_objects参数，默认阻止不安全的对象加载，禁用Jinja2模板和secrets_from_env选项。影响的版本是>=1.0.0, <1.2.5和<0.3.81。 另外，还有一个类似的漏洞在LangChain.js中，CVE-2025-68665，CVSS评分8.6。受影响的npm包也有详细说明。 用户的需求是简明扼要地总结文章内容。我需要抓住关键点：漏洞名称、影响、原因、修复措施以及受影响版本。 现在开始组织语言：首先提到LangChain Core的安全漏洞及其严重性，然后说明原因和可能的影响，最后提到修复措施和受影响的版本范围。 确保不超过100字，并且直接描述内容，不使用任何开头语句。 </think> LangChain Core发现严重安全漏洞（CVE-2025-68664），CVSS评分9.3。攻击者可利用此漏洞通过prompt injection窃取敏感信息并影响LLM响应。问题出在未正确处理含"lc"键的字典。修复包括引入allowed_objects参数，默认阻止不安全对象加载，并禁用Jinja2模板和secrets_from_env选项。受影响版本为>=1.0.0, <1.2.5及<0.3.81。... 2025-12-26 09:27:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com langchain injection lc porat

ThreatsDay Bulletin: Stealth Loaders, AI Chatbot Flaws AI Exploits, Docker Hack, and 15 More Stories 文章揭示了网络安全威胁的日益复杂化：攻击者利用开放源代码工具Nezha进行远程访问；韩国引入面部识别防止SIM卡诈骗；NFC恶意软件检测量激增；假PoC传播WebRAT恶意软件；GuLoader分发活动达到新高；AI聊天机器人漏洞被披露；云基础设施零日漏洞被发现；针对制造业和政府机构的钓鱼攻击增多；Teams默认启用安全功能；Docker AI助手漏洞被修复；绕过防火墙攻击物联网设备的技术被展示；BitLocker加密加速功能推出；针对以色列公司的钓鱼攻击增加；EDR绕过工具被出售；AI发现区块链智能合约漏洞；朝鲜网络钓鱼活动升级；AI驱动虚假信息传播。... 2025-12-25 14:1:0 | 阅读: 10 | 收藏 | The Hacker News - thehackernews.com security microsoft malicious cloud loader

LastPass 2022 Breach Led to Years-Long Cryptocurrency Thefts, TRM Labs Finds 2022年LastPass数据泄露事件中被盗的加密密码库备份被用于破解弱主密码，导致加密货币资产被盗。TRM Labs发现俄罗斯网络犯罪分子参与其中，利用与俄罗斯相关的交易所洗钱。超过3500万美元的被盗资金被追踪到通过Wasabi Wallet等渠道转移。... 2025-12-25 12:46:0 | 阅读: 4 | 收藏 | The Hacker News - thehackernews.com exchanges passwords funds trm lastpass

Fortinet Warns of Active Exploitation of FortiOS SSL VPN 2FA Bypass Vulnerability Fortinet发现CVE-2020-12812漏洞被滥用，该漏洞允许用户绕过双因素认证。当用户名大小写改变时，FortiGate将无法匹配本地用户，转而通过LDAP认证。此漏洞需特定配置触发，包括本地用户引用LDAP、用户属于LDAP组等。Fortinet已发布补丁并建议禁用用户名大小写敏感性以修复问题。... 2025-12-25 08:22:0 | 阅读: 11 | 收藏 | The Hacker News - thehackernews.com jsmith fortigate username fortios

CISA Flags Actively Exploited Digiever NVR Vulnerability Allowing Remote Code Execution 嗯，用户让我总结一篇文章，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。我得先仔细阅读文章内容，抓住关键点。 文章讲的是美国网络安全和基础设施安全局（CISA）将一个影响Digiever DS-2105 Pro网络视频录像机的漏洞加入到已知被利用的漏洞目录中。这个漏洞CVE-2023-52163，CVSS评分8.8，属于命令注入漏洞，允许经过身份验证的远程代码执行。 接着，文章提到这个漏洞被加入目录是因为有多个报告指出威胁行为者利用它传播恶意软件如Mirai和ShadowV2。设备已经到了生命周期末期，所以没有补丁。成功利用需要攻击者登录设备并发送特定请求。建议用户避免将设备暴露在互联网上，并更改默认凭据。CISA还要求联邦机构在2025年1月前应用缓解措施或停止使用该产品。 现在我要把这些信息浓缩到一百字以内。要包括CISA、漏洞名称、影响、CVSS评分、攻击方式、设备EoL、建议措施和截止日期。 可能的结构：CISA将CVE-2023-52163漏洞加入目录，影响Digiever NVRs，CVSS 8.8，允许远程代码执行。由于设备已到生命周期末期，无补丁。建议更改凭据并避免暴露设备。FCEB机构需在2025年1月前采取措施。 检查字数是否在限制内，并确保信息准确全面。 </think> CISA将影响Digiever DS-2105 Pro网络视频录像机的CVE-2023-52163漏洞加入已知被利用的漏洞目录，该漏洞CVSS评分为8.8，允许经过身份验证的远程代码执行。由于设备已到生命周期末期且无补丁可用，建议用户避免暴露设备并更改默认凭据。CISA要求联邦机构于2025年1月前采取缓解措施或停止使用该产品以应对活跃威胁。... 2025-12-25 08:7:0 | 阅读: 7 | 收藏 | The Hacker News - thehackernews.com security 2105 catalog kev digiever

New MacSync macOS Stealer Uses Signed App to Bypass Apple Gatekeeper 研究人员发现了一种新的 macOS 信息窃取器 MacSync 变体,该恶意软件伪装成消息应用安装程序,通过数字签名和公证的 Swift 应用传播,以绕过 Apple 的 Gatekeeper 检查。该恶意软件采用更隐蔽的方式,无需用户手动操作即可执行,并包含网络连接验证和执行间隔限制等机制,以提高可靠性和躲避检测。... 2025-12-24 16:23:0 | 阅读: 8 | 收藏 | The Hacker News - thehackernews.com notarized dmg macsync payload security

Nomani Investment Scam Surges 62% Using AI Deepfake Ads on Social Media 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100个字以内。首先，我需要仔细阅读文章，抓住主要内容和关键点。 文章主要讲的是一个叫做Nomani的网络欺诈投资计划，它利用社交媒体和AI生成的视频来欺骗用户投资不存在的产品。根据ESET的数据，这个骗局增加了62%，并且已经扩展到了YouTube等其他平台。他们还提到了骗子如何通过虚假的政府投资新闻来增加可信度，并且不断升级技术手段，比如使用更高分辨率的深度伪造视频。 此外，文章还提到Meta平台上有相当一部分广告收入来自非法内容，包括这种欺诈广告。最后，尽管检测数量有所下降，但整体情况依然严峻。 接下来，我需要把这些信息浓缩到100字以内。重点包括：Nomani骗局的增长、使用AI和社交媒体、扩展到其他平台、利用虚假政府新闻、Meta的广告问题以及整体情况依然严峻。 确保语言简洁明了，不使用复杂的术语。同时，按照用户的要求，不需要以“文章内容总结”之类的开头，直接描述即可。 最后检查一下字数是否符合要求，并确保所有关键点都涵盖在内。 </think> Nomani是一种利用社交媒体和AI生成视频的投资骗局，已增长62%，扩展至YouTube等平台。骗子通过虚假政府投资新闻和深度伪造技术欺骗用户投资并索要额外费用或个人信息。尽管检测数量有所下降，但整体情况依然严峻。... 2025-12-24 13:8:0 | 阅读: 14 | 收藏 | The Hacker News - thehackernews.com eset nomani detections investment phishing

Attacks are Evolving: 3 Ways to Protect Your Business in 2026 文章指出2025年中小型企业（SMBs）成为网络攻击的主要目标，取代了此前的大型企业。由于大型企业加强了网络安全并拒绝支付赎金，黑客转而攻击资源较少的中小企业。数据显示70.5%的数据泄露事件针对SMBs，零售、科技和媒体行业受影响最严重。文章建议企业采用双重认证、限制访问权限、使用密码管理器等措施保护数据安全。... 2025-12-24 11:30:0 | 阅读: 16 | 收藏 | The Hacker News - thehackernews.com passwords smbs network strictly

SEC Files Charges Over $14 Million Crypto Scam Using Fake AI-Themed Investment Tips 美国证券交易委员会起诉多家公司涉嫌加密货币诈骗，涉案金额超1400万美元。骗子通过社交媒体广告和伪装成专业人士的投资俱乐部吸引投资者，并承诺利用AI生成的投资建议获取高回报。受害者被引导至虚假交易平台投资后被骗取资金，部分资金随后被转移至海外。... 2025-12-24 09:19:0 | 阅读: 4 | 收藏 | The Hacker News - thehackernews.com wealth investors asset investment lane

Italy Fines Apple €98.6 Million Over ATT Rules Limiting App Store Competition 意大利反垄断机构因Apple的App Tracking Transparency（ATT）框架限制竞争对其罚款9860万欧元。该框架要求开发者获取双重用户同意以处理数据用于个性化广告，而Apple自家应用只需单击即可获取权限。监管机构认为此举对第三方开发者过于繁琐且不公平。Apple将上诉并强调保护隐私的重要性。法国、波兰和罗马尼亚等国也在调查类似问题。... 2025-12-24 06:15:0 | 阅读: 7 | 收藏 | The Hacker News - thehackernews.com developers advertising competition agcm dominant

Two Chrome Extensions Caught Secretly Stealing Credentials from Over 170 Sites 嗯，用户让我用中文总结这篇文章，控制在100字以内，而且不需要用“文章内容总结”之类的开头。好的，我先仔细读一下文章内容。 这篇文章讲的是发现了两个恶意的Google Chrome扩展，名字和开发者都一样。它们伪装成网络测速插件，实际上是用来拦截流量和窃取用户凭证的。这两个扩展通过订阅模式来获取用户的信任，然后在用户不知情的情况下收集数据。 首先，我需要抓住关键点：恶意扩展、伪装成VPN、窃取信息、订阅模式、影响范围广。然后把这些信息浓缩到100字以内。 可能的结构是：描述扩展的功能、目的、如何运作以及影响。比如，“两个恶意Chrome扩展伪装成网络测速工具，通过订阅获取用户信任，窃取凭证和数据，涉及高价值网站，可能用于供应链攻击。” 这样既涵盖了主要信息，又符合字数限制。 </think> 两个恶意Chrome扩展伪装成网络测速工具，通过订阅模式获取用户信任后窃取凭证和数据。它们拦截流量并注入代理凭据，将170多个高价值网站的流量导向攻击者服务器，窃取密码、API密钥等敏感信息，并通过心跳机制持续传输数据。... 2025-12-23 14:42:0 | 阅读: 2 | 收藏 | The Hacker News - thehackernews.com proxy c2 chrome malicious

INTERPOL Arrests 574 in Africa; Ukrainian Ransomware Affiliate Pleads Guilty 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读这篇文章，理解其主要内容。 文章主要讲述了国际刑警组织协调的“哨兵行动”（Operation Sentinel），该行动在非洲19个国家展开，成功逮捕了574名嫌疑人，并追回了300万美元。此外，还提到了乌克兰一名男子承认使用Nefilim勒索软件进行攻击。 接下来，我需要将这些关键信息浓缩到100字以内。重点包括：国际刑警组织、哨兵行动、19国参与、逮捕人数、追回金额以及乌克兰男子的案件。 要注意避免使用“文章内容总结”这样的开头，直接描述内容。同时，确保信息准确且简洁。 最后，检查字数是否符合要求，并确保语句通顺。 </think> 国际刑警组织协调的“哨兵行动”在非洲19国展开，逮捕574人并追回300万美元。该行动打击网络犯罪，包括商业电邮诈骗和勒索软件。此外，一名乌克兰男子承认使用Nefilim勒索软件攻击公司。... 2025-12-23 11:35:0 | 阅读: 12 | 收藏 | The Hacker News - thehackernews.com nefilim ransomware stryzhak guilty africa

Passwd: A walkthrough of the Google Workspace Password Manager 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，了解Passwd的主要功能和特点。 文章开头提到Passwd是专为使用Google Workspace的组织设计的密码管理工具，专注于安全存储、受控共享和与Workspace的无缝集成。接着详细介绍了它的安全性，包括AES-256加密、零知识架构、企业级管理控制和合规认证。 然后，文章讨论了Passwd与Google Workspace的深度集成，包括单点登录、快速部署和跨平台访问。还提到了它的定价结构，适合不同规模的团队，并且有免费试用版。 最后，用户反馈显示Passwd在集成和团队协作方面表现良好，但不适合需要多生态系统集成的组织。 总结时，我需要抓住关键点：Passwd是针对Google Workspace的企业级密码管理工具，强调安全、合规和深度集成。同时指出其适用场景和局限性。 </think> Passwd 是专为 Google Workspace 组织设计的企业级密码管理工具，提供安全存储、受控共享及与 Workspace 的无缝集成。其特点包括 AES-256 加密、零知识架构、企业级管理控制及 GDPR 和 SOC 2 认证。适用于依赖 Google 工具的企业团队，支持跨平台访问和快速部署。... 2025-12-23 11:30:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com passwd pricing encryption passwords onboarding

U.S. DoJ Seizes Fraud Domain Behind $14.6 Million Bank Account Takeover Scheme 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头，直接写描述。首先，我得仔细阅读这篇文章，理解它的主要内容。 文章讲的是美国司法部宣布查封了一个域名和数据库，这些被用来进行银行账户接管诈骗。诈骗团伙通过搜索引擎投放虚假广告，诱骗用户进入仿冒的银行网站，窃取登录凭证，进而盗取资金。已经导致了19名受害者损失约1460万美元。 好的，我需要把这些关键点浓缩到100字以内。首先提到司法部查封域名和数据库，接着说明诈骗手段：虚假广告、仿冒网站、窃取凭证、盗取资金。然后提到受害者数量和损失金额。 可能的结构是：美国司法部查封用于诈骗的域名和数据库，诈骗团伙通过虚假广告诱骗用户进入仿冒银行网站窃取信息，导致19人损失约1460万美元。 这样应该在100字以内，并且直接描述内容，没有多余开头。 </think> 美国司法部查封用于诈骗的域名和数据库，诈骗团伙通过虚假广告诱骗用户进入仿冒银行网站窃取信息，导致19人损失约1460万美元。... 2025-12-23 08:15:0 | 阅读: 9 | 收藏 | The Hacker News - thehackernews.com doj losses fraudulent seizure

Critical n8n Flaw (CVSS 9.9) Enables Arbitrary Code Execution Across Thousands of Instances n8n平台发现严重漏洞（CVE-2025-68613），CVSS评分9.9分，允许攻击者执行任意代码并控制系统。影响多个版本，已修复。超十万实例受影响。建议用户立即更新或限制权限以降低风险。... 2025-12-23 07:34:0 | 阅读: 7 | 收藏 | The Hacker News - thehackernews.com n8n advised privileges 476 security