FreeBuf早报 | 恶意npm包利用CI/CD管道漏洞获取高权限;攻击者利用思科与Citrix 0Day漏洞部署后门
全球网安事件速递1. 恶意npm包潜入GitHub Actions构建流程仿冒"@actions/artifact"的恶意npm包窃取GitHub Actions令牌,冒名发布恶意构件。该包伪装成合法 2025-11-13 10:8:30 Author: www.freebuf.com(查看原文) 阅读量:3 收藏

全球网安事件速递

1. 恶意npm包潜入GitHub Actions构建流程

仿冒"@actions/artifact"的恶意npm包窃取GitHub Actions令牌,冒名发布恶意构件。该包伪装成合法模块,利用CI/CD管道漏洞获取高权限,影响超26万次下载。建议检查运行环境并更新安全措施。【外刊-阅读原文

2. 黑客利用思科与Citrix 0Day漏洞部署网页后门

思高黑客组织利用思科和Citrix的0Day漏洞,通过定制网页后门渗透企业网络,攻击关键身份管理系统。漏洞允许远程执行代码,攻击者利用补丁空窗期快速行动,采用内存驻留技术隐藏行踪,实施大规模无差别攻击。企业需加强防御,及时更新补丁并监控异常行为。【外刊-阅读原文

3. 攻击者利用自定义GPT的SSRF漏洞窃取ChatGPT机密数据

OpenAI的ChatGPT存在SSRF漏洞,攻击者可利用自定义GPT的"Action"功能访问内部云元数据,导致Azure凭证泄露。漏洞通过外部HTTPS重绕限制,注入"Metadata"标头获取权限。该漏洞已修复。【外刊-阅读原文

4. GitHub Copilot 与 Visual Studio 漏洞可致攻击者绕过安全防护功能

2025年11月微软披露GitHub Copilot和Visual Studio两个高危漏洞,涉及路径遍历和AI输出验证缺陷,可绕过安全防护。攻击者需本地权限,但可能窃取敏感数据或注入恶意代码。建议立即更新并加强代码审查。【外刊-阅读原文

5. 微软修复63个安全漏洞,含一个正遭利用的Windows内核0Day漏洞

外刊-阅读原文

6. CERT/CC 警告 Lite XL 文本编辑器存在代码执行漏洞(CVE-2025-12120、CVE-2025-12121)

Lite XL文本编辑器存在两个高危漏洞(CVE-2025-12120和CVE-2025-12121),可导致远程代码执行。攻击者通过恶意项目文件或命令注入利用漏洞,建议用户升级至修复版本。【外刊-阅读原文

7. 多个Apache OpenOffice漏洞可导致内存损坏及未经授权的内容加载

外刊-阅读原文

8. GitLab高危XSS漏洞(CVE-2025-11224)可能引发Kubernetes代理会话劫持

GitLab发布安全更新,修复多个漏洞,包括高风险的XSS漏洞(CVE-2025-11224)和仅影响企业版的授权问题(CVE-2025-11865)。建议管理员尽快安装补丁,防止数据泄露和权限滥用。【外刊-阅读原文

9. Open WebUI XSS漏洞(CVE-2025-64495)可通过恶意提示词导致管理员RCE

Open WebUI 0.6.34及之前版本存在高危漏洞(CVE-2025-64495),攻击者通过恶意提示词触发XSS,可导致账户接管或远程代码执行。建议升级至0.6.35并禁用富文本插入提示词功能,同时启用CSP等防护措施。【外刊-阅读原文

10. ChatGPT如何通过间接提示注入泄露用户隐私数据

研究人员发现ChatGPT存在七种新型攻击方式,攻击者可利用间接提示注入窃取用户隐私。这些攻击通过网页搜索、对话注入和长期记忆功能实现,涉及恶意指令隐藏和隐蔽数据窃取。专家指出,此类漏洞是LLM固有缺陷,需加强安全机制。【外刊-阅读原文

优质文章推荐

1. Fortinet FortiWeb SQL注入漏洞(CVE-2025-25257)安全研究报告

阅读原文

2. frida + burpsuite 百度极速版App抓包测试

百度极速版APP存在反调试和抓包检测机制:反调试通过libmsaoaidsec.so的.init_proc和INIT_ARRAY函数实现,需patch这些函数;抓包检测通过重载HostnameVerifier和TrustManager相关类实现,需hook关键节点绕过。【阅读原文

3. 记一次多种漏洞组合利用突破内网管理员权限的过程

发现22和80端口,利用SQL注入和图片马文件上传漏洞获取低权限shell,通过数据库获取凭证提权至admin,最终利用/bin/sysinfo漏洞获取root权限。【阅读原文

漏洞情报精华

1. 东胜物流软件 YJCX.aspx SQL注入漏洞

https://xvi.vulbox.com/detail/1988872008682835968

2. 友加畅捷管理系统 Attachment.ashx 任意文件读取漏洞

https://xvi.vulbox.com/detail/1988811862686437376

3. 博斯外贸管理软件 2011DCdraft.jsp SQL注入漏洞

https://xvi.vulbox.com/detail/1988801097900363776

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/457018.html
如有侵权请联系:admin#unsafe.sh