FreeBuf早报 | 恶意npm包利用CI/CD管道漏洞获取高权限;攻击者利用思科与Citrix 0Day漏洞部署后门
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
近期网络安全事件包括:恶意npm包窃取GitHub令牌,思科与Citrix漏洞被利用,ChatGPT存在SSRF漏洞,GitHub Copilot与Visual Studio漏洞可绕过安全防护,微软修复63个漏洞,Lite XL和Apache OpenOffice存在高危漏洞,GitLab和Open WebUI修复XSS漏洞,ChatGPT新型攻击可能泄露用户隐私。
🎯
关键要点
- 恶意npm包窃取GitHub Actions令牌,影响超26万次下载,建议更新安全措施。
- 思科与Citrix的0Day漏洞被利用,攻击者通过网页后门渗透企业网络,需及时更新补丁。
- ChatGPT存在SSRF漏洞,攻击者可窃取Azure凭证,漏洞已修复。
- GitHub Copilot与Visual Studio存在高危漏洞,攻击者可绕过安全防护,建议加强代码审查。
- 微软修复63个安全漏洞,包括一个正在被利用的Windows内核0Day漏洞。
- Lite XL文本编辑器存在高危代码执行漏洞,建议用户升级至修复版本。
- 多个Apache OpenOffice漏洞可能导致内存损坏及未经授权的内容加载。
- GitLab修复高危XSS漏洞,建议管理员尽快安装补丁以防数据泄露。
- Open WebUI存在高危XSS漏洞,攻击者可通过恶意提示词导致账户接管,建议升级版本。
- ChatGPT存在新型攻击方式,攻击者可通过间接提示注入窃取用户隐私,需加强安全机制。
➡️
