FreeBuf早报 | 恶意npm包利用CI/CD管道漏洞获取高权限;攻击者利用思科与Citrix 0Day漏洞部署后门
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
近期网络安全事件包括:恶意npm包窃取GitHub令牌,思科与Citrix漏洞被利用,ChatGPT存在SSRF漏洞,GitHub Copilot与Visual Studio漏洞可绕过安全防护,微软修复63个漏洞,Lite XL和Apache OpenOffice存在高危漏洞,GitLab和Open WebUI修复XSS漏洞,ChatGPT新型攻击可能泄露用户隐私。
🎯
关键要点
- 恶意npm包窃取GitHub Actions令牌,影响超26万次下载,建议更新安全措施。
- 思科与Citrix的0Day漏洞被利用,攻击者通过网页后门渗透企业网络,需及时更新补丁。
- ChatGPT存在SSRF漏洞,攻击者可窃取Azure凭证,漏洞已修复。
- GitHub Copilot与Visual Studio存在高危漏洞,攻击者可绕过安全防护,建议加强代码审查。
- 微软修复63个安全漏洞,包括一个正在被利用的Windows内核0Day漏洞。
- Lite XL文本编辑器存在高危代码执行漏洞,建议用户升级至修复版本。
- 多个Apache OpenOffice漏洞可能导致内存损坏及未经授权的内容加载。
- GitLab修复高危XSS漏洞,建议管理员尽快安装补丁以防数据泄露。
- Open WebUI存在高危XSS漏洞,攻击者可通过恶意提示词导致账户接管,建议升级版本。
- ChatGPT存在新型攻击方式,攻击者可通过间接提示注入窃取用户隐私,需加强安全机制。
❓
延伸问答
恶意npm包是如何窃取GitHub令牌的?
恶意npm包伪装成合法模块,利用CI/CD管道漏洞获取高权限,影响超26万次下载。
思科与Citrix的0Day漏洞有什么风险?
攻击者通过网页后门渗透企业网络,允许远程执行代码,需及时更新补丁以防止攻击。
ChatGPT的SSRF漏洞是如何被利用的?
攻击者利用自定义GPT的功能访问内部云元数据,导致Azure凭证泄露。
微软最近修复了多少个安全漏洞?
微软修复了63个安全漏洞,包括一个正在被利用的Windows内核0Day漏洞。
Lite XL文本编辑器的漏洞会导致什么后果?
Lite XL存在高危代码执行漏洞,攻击者可通过恶意项目文件远程执行代码。
如何防止Open WebUI的XSS漏洞攻击?
建议升级至0.6.35版本,并禁用富文本插入提示词功能,同时启用CSP等防护措施。
➡️
