BleepingComputer Microsoft Defender 'RoguePlanet' zero-day grants SYSTEM privileges A security researcher has released a new Microsoft Defender zero-day exploit named "RoguePlanet" just hours after Microsoft fixed two previously disclosed flaws during June 2026 Patch Tuesday. [!quote]+ 一位安全研究人员发布了一项名为“RoguePlanet”的新Microsoft Defender零日漏洞,就在Microsoft修复了2026年6月补丁星期二期间之前披露的两个漏洞仅数小时后。 这位名为Nightmare Eclipse的研究人员表示,该新漏洞影响已完全修补的Windows 10和Windows 11设备,允许攻击者通过Microsoft Defender竞赛条件漏洞生成带有SYSTEM权限的命令提示符。 该研究人员周二下午在一个自托管的Git仓库中分享了一个概念验证漏洞,此前表示托管其漏洞的GitHub和GitLab仓库此前已被Microsoft移除。 “这个漏洞是竞速条件,所以有结果。我在某些机器上成功率达到了100%,而在另一些设备上却难以正常工作,“Nightmare Eclipse在仓库中写道。 MSNightmare/RoguePlanet:Rogue Planet Windows Defender 漏洞 1 个帖子 - 1 位参与者 阅读完整话题
IT之家 6 月 3 日消息,科技媒体 bleepingcomputer 今天(6 月 3 日)发布博文,报道称在 2026 Build 开发者大会上, 微软推出适用于 Windows 11 系统的 Coreutils,以原生 Windows 应用形式,把常见 Linux 命令带到系统中。 微软表示,Coreutils 的目的是让开发者切换 Linux、macOS、Windows 与 WSL(Windows Subsystem for Linux)后,减少脚本改写和环境切换成本,继续使用熟悉的命令行工具。 Coreutils 项目代码已在 GitHub 公开,基于开源 uutils(Rust 版 GNU Coreutils 重写项目)打造,微软称这些类 Linux 命令可在 Windows 上原生运行,帮助现有命令和脚本跨平台复用。 工具包包含 cat、cp、find、grep、hostname、ls、mv、pwd、rm、sleep、tee、uptime 等常见命令。用户可通过 WinGet(Windows 包管理器)安装,命令为 winget install Microsoft.Coreutils 。 微软没有为每个命令提供独立程序,使用 1 个 coreutils.exe 承载全部功能。安装后,系统会创建 ls.exe 、 cp.exe 、 cat.exe 、 rm.exe 等 NTFS hardlinks(NTFS 硬链接)。 NTFS 硬链接是 Windows 文件系统中的机制,可让多个文件名指向磁盘上的同 1 个文件。Coreutils 借此让 ls.exe 、 cp.exe 等命令入口共享 coreutils.exe ,减少重复文件和维护负担。 当用户启动某个命令后,Windows 加载 coreutils.exe ,并根据被调用的文件名判断应运行哪项工具。这让微软只需维护 1 个可执行文件,同时保留 Linux 风格的命令入口。 不过,命令行为会受 Shell、PATH 顺序和 PowerShell 别名表影响。dir、more、paste、whoami 因与 Windows 命令冲突未随包提供,chmod、chown、chroot、nohup、tty、who 也因依赖 POSIX 功能缺席。 图源:微软 IT之家附上参考地址 https://github.com/microsoft/coreutils
BleepingComputer Ghost CMS SQL injection flaw exploited in large-scale ClickFix campaign A large-scale campaign is exploiting a critical SQL injection vulnerability (CVE-2026-26980) in Ghost CMS to inject malicious JavaScript code that triggers ClickFix attack flows. [!quote]+ 一个大规模的攻击活动正在利用 Ghost CMS 中的关键 SQL 注入漏洞 (CVE-2026-26980) 注入恶意 JavaScript 代码,从而触发 ClickFix 攻击流。 据研究人员称,威胁行为者在哈佛大学、牛津大学、奥本大学和 DuckDuckGo 的网站上植入了恶意代码。 CVE-2026-26980 影响 Ghost 3.24.0 至 6.19.0,允许未经认证的攻击者从网站数据库读取任意数据,包括管理员 API 密钥。 此密钥可提供用户、文章和主题的管理权限,并可用于修改文章页面。 尽管 Ghost CMS 6.19.1 版已于 2 月 19 日发布了该问题的修复程序,但许多网站都没有安装安全更新。 SentinelOne 于 2 月 27 日发布了有关 CVE-2026-26980 被利用进行攻击以及如何检测事件的详细信息。研究人员观察到至少有两个不同的活动集群针对易受攻击的 Ghost 网站,有时在清理后用不同的脚本重新感染相同的域,或者其中一个清理另一个的脚本以注入自己的脚本。 The Hacker News Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks Ghost CMS flaw CVE-2026-26980 enabled attacks on 700+ sites, injecting ClickFix malware through fake CAPTCHA pages. GitHub SQL injection in Content API ### Impact A SQL injection vulnerability existed in Ghost's Content API that allowed unauthenticated attackers to read arbitrary data from the database. ### Vulnerable Versions This vulne... SecurityWeek – 25 May 26 Ghost CMS Vulnerability Exploited to Hack Over 700 Websites CVE-2026-26980, a vulnerability patched a few months ago in the Ghost CMS, has been exploited to hack hundreds of websites Est. reading time: 2 minutes 2 个帖子 - 2 位参与者 阅读完整话题
IT之家 5 月 9 日消息,科技媒体 bleepingcomputer 昨日(5 月 8 日)发布博文,报道称关联西班牙快时尚品牌 Zara 的数据泄露事件, 已确认影响 197400 名用户。 IT之家援引博文介绍,Have I Been Pwned 分析指出,本次数据泄露事件影响 197400 名用户,泄露内容主要包括邮箱地址、地理位置、购买记录、产品 SKU、订单 ID,以及客服工单对应的市场信息。 这些数据泄露后,可能无法直接威胁用户账户,但是黑客拼接邮箱和消费轨迹等信息,可以构建针对消费者的完整画像,从而铺垫后续的钓鱼或者其它类型攻击。比如攻击者可以伪装成客服,引用真实订单信息联系用户,从而提高诈骗成功率。 对 Zara 事件而言,现阶段更现实的风险不在支付盗刷,而在后续钓鱼、勒索和品牌冒充。用户若收到与订单、退货、客服工单相关的邮件或来电,需要格外警惕,不要点开陌生链接,也不要重复提交账户信息。 Zara 在全球拥有超过 1500 家公司直营店和加盟店,是 Inditex 集团的旗舰品牌。Inditex 集团是全球最大的时尚分销集团之一,旗下还拥有 Bershka、Zara Home、Oysho、Pull&Bear、Massimo Dutti、Stradivarius 和 Uterqüe 等品牌。 Inditex 强调受影响数据库并不在现有核心系统中,攻击者没有拿到受影响用户的姓名、电话号码、住址、登录凭证和支付信息(包括银行卡数据)。为了控制风险,Inditex 已启动安全协议,并向相关监管机构通报。 勒索组织 ShinyHunters 已认领此次攻击,并称他们从 BigQuery 实例中窃取了 140GB 文档,所用入口是被盗的 Anodot 身份验证 tokens。 ShinyHunters 近几个月还认领了 Google、Cisco、Match Group、Vimeo、Rockstar Games、欧洲委员会和 Udemy 等多起事件。
BleepingComputer Critical vm2 sandbox bug lets attackers execute code on hosts A critical vulnerability in the popular Node.js sandboxing library vm2 allows escaping the sandbox and executing arbitrary code on the host system. [!quote]+ 该安全问题被追踪为 CVE-2026-26956,已确认会影响 vm2 3.10.4 版,但早期版本也可能存在漏洞。已发布概念验证 (PoC) 漏洞利用代码。 维护者在安全公告中称,该问题只影响已启用 WebAssembly 异常处理和 JSTag 支持的 Node.js 25 环境(已在 Node.js 25.6.1 上确认)。 vm2 是一个开源 Node.js 库,用于在受限沙箱环境中运行不受信任的 JavaScript 代码。在线编码平台、自动化工具和 SaaS 应用程序通常使用它来执行用户提供的脚本。 该库试图将沙盒代码与主机系统隔离,并阻止对进程和文件系统等敏感 Node.js API 的访问。 CVE-2026-26956 源自该库对沙盒环境和主机之间交叉异常的错误处理。 该公告解释说,vm2 通常依赖 JavaScript 级保护措施来防止基于主机的错误,并依赖桥接代理来封装跨上下文对象,两者都完全在 JavaScript 中运行。 不过,WebAssembly 异常处理可以在 Google V8 引擎内部的较低层次拦截 JavaScript 错误,从而绕过 vm2 基于 JavaScript 的安全防御。 通过使用符号到字符串的转换触发特制的 TypeError,攻击者可导致主机端错误对象未经 vm2 净化而泄漏回沙箱。 由于泄漏的对象来自主机环境,攻击者可以滥用其构造函数链,重新获得对 Node.js 内部(如进程对象)的访问权限,最终允许在主机系统上执行任意命令。 维护者的安全公告还包括一个 PoC 漏洞利用程序,演示了在主机上远程执行代码的过程。 建议 vm2 用户尽快升级到 3.10.5 或更高版本(最新版本为 3.11.2),以降低 CVE-2026-26956 被利用的风险。 6 个帖子 - 4 位参与者 阅读完整话题
BleepingComputer Threat actor uses Microsoft Teams to deploy new “Snow” malware A threat group tracked as UNC6692 uses social engineering to deploy a new, custom malware suite named 'Snow' which includes a browser extension, a tunneler, and a backdoor. [!quote]+ 一个名为 UNC6692 的组织利用社交工程部署了一个名为 "Snow "的新型定制恶意软件套件,其中包括一个浏览器扩展、一个隧道程序和一个后门程序。 它们的目标是通过窃取凭证和域接管,在深度入侵网络后窃取敏感数据。 据谷歌的 Mandiant 研究人员称,攻击者使用 "电子邮件轰炸 "战术制造紧迫感,然后通过 Microsoft Teams 冒充 IT 服务台代理与目标联系。 微软最近的一份报告强调,这种战术在网络犯罪领域日益流行,它通过快速辅助工具或其他远程访问工具诱骗用户授予攻击者远程访问权限。 1 个帖子 - 1 位参与者 阅读完整话题
nvd.nist.gov NVD - CVE-2026-41651 BleepingComputer New ‘Pack2TheRoot’ flaw gives hackers root Linux access A new vulnerability dubbed Pack2TheRoot could be exploited in the PackageKit daemon to allow local Linux users to install or remove system packages and gain root permissions. [!quote]+ 一个名为 Pack2TheRoot 的新漏洞可被利用于 PackageKit 守护进程,允许本地 Linux 用户安装或删除系统软件包并获得 root 权限。 该漏洞被认定为 CVE-2026-41651,严重性评级为 8.8(满分 10 分)。PackageKit 守护进程是一个后台服务,负责管理 Linux 系统中的软件安装、更新和删除。 本周早些时候,有关该漏洞的一些信息已经发布,同时发布的还有解决该问题的 PackageKit 1.3.5 版本。不过,技术细节和演示版漏洞利用程序尚未披露,因此补丁程序无法传播。 德国电信红队的调查发现,导致该漏洞的原因是 PackageKit 用于处理软件包管理请求的机制。 具体来说,研究人员发现,在 Fedora 系统上,"pkcon install "等命令在某些条件下无需验证即可执行,从而允许他们安装系统软件包。 他们使用 Claude Opus 人工智能工具进一步探索了利用这种行为的可能性,并发现了 CVE-2026-41651。 德国电信的 Red Team 于 4 月 8 日向 Red Hat 和 PackageKit 维护者报告了他们的发现。他们指出,可以肯定的是,所有预装并启用 PackageKit 的发行版都存在 CVE-2026-41651 漏洞。 1 个帖子 - 1 位参与者 阅读完整话题
IT之家 4 月 25 日消息,科技媒体 bleepingcomputer 昨日(4 月 24 日)发布博文,报道称 IT 管理员可以通过配置系统策略 RemoveMicrosoftCopilotApp, 可以在企业环境下,卸载 Copilot AI 数字助手。 在 4 月补丁星期二活动日中,微软面向企业用户推出 RemoveMicrosoftCopilotApp 组策略,适用于通过 Microsoft Intune 或 SCCM 管理的终端设备。IT 管理员可以通过配置,在企业环境下移除员工设备上的 Copilot 应用。 IT之家援引博文介绍,该卸载策略的生效需满足特定条件:设备必须运行 Windows 11 25H2 版本,且同时安装了 Microsoft 365 Copilot 和 Microsoft Copilot。此外,策略仅针对用户未手动安装、且在过去 28 天内未启动过 Microsoft Copilot 应用的设备。 这一功能的推出并非孤例,而是微软近期调整 AI 战略的延续。微软上月已停止在装有 Microsoft 365 桌面客户端的设备上自动安装 Copilot 应用。与此同时,有报道称微软取消了将 Copilot 集成到系统通知、设置应用和文件资源管理器的计划,旨在减少操作系统中的 AI 冗余。
BleepingComputer Vercel confirms breach as hackers claim to be selling stolen data Cloud development platform Vercel has disclosed a security incident after threat actors claimed to have breached its systems and are attempting to sell stolen data. [!quote]+ 发布本报道后,Vercel更新了通告,称此次泄露源于第三方AI工具的Google Workspace OAuth应用被攻破。 Vercel 建议 Google Workspace 管理员和账户持有者检查以下应用: OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com Vercel 首席执行官 Guillermo Rauch 随后在 X 上透露了更多细节,称最初访问发生在 Vercel 一名员工的 Google Workspace 账户因 AI 平台 Context.ai 遭到入侵后。 据Rauch称,攻击者随后将被攻破账户的访问权限升级到Vercel环境,在那里他们能够访问未标记为敏感、因此静止时未加密的环境变量。 虽然设计目的是包含非敏感信息,但攻击者在枚举这些变量后获得了更多访问权限。 [!attention]+ 黑客声称出售被盗的Vercel数据 这一披露是在一名自称"ShinyHunters"的威胁行为者在一个黑客论坛上发布,称他们攻破了Vercel并出售公司数据访问权限之后发布的。 需要指出的是,尽管黑客声称自己是ShinyHunters组织成员,但与最近被归因于ShinyHunters敲诈团伙攻击相关的威胁行为者已向BleepingComputer否认他们参与了此次事件。 在论坛帖子中,黑客声称出售了据称从Vercel被盗的访问密钥、源代码和数据库数据,以及内部部署和API密钥的访问权限。 论坛帖子写道:“这只是来自Linear作为证据,但我即将给你的访问权限包括多个员工账户,这些账户可以访问多个内部部署,API密钥(包括一些NPM令牌和一些GitHub令牌)。” BleepingComputer尚未能独立确认数据或截图是否真实。 vercel.com Vercel April 2026 security incident | Vercel Knowledge Base We’ve identified a security incident that involved unauthorized access to certain internal Vercel systems. 4 个帖子 - 3 位参与者 阅读完整话题