1、Postman 漏洞导致3万API密钥和敏感令牌泄露

https://hackread.com/postman-workspaces-leak-api-keys-sensitive-tokens/

2024年12月23日，安全研究团队发现Postman Workspaces存在严重安全隐患，超过30000个公开可访问的工作区泄露了敏感数据包括API密钥、令牌及管理员凭证，波及GitHub、Slack和Salesforce等主要平台。研究发现，常见问题包括访问配置错误、明文存储以及公开共享的集合，给企业和个人带来了严重的财务与声誉风险。为防范类似问题，安全研究员建议采用环境变量存储敏感信息、定期旋转令牌、使用密钥管理工具，并在分享集合前进行核查。此外，用户应当快速修复此问题并清理受影响的公共工作区，减少潜在威胁。

2、Adobe发布紧急修复ColdFusion安全漏洞

https://securityaffairs.com/172281/security/adobe-coldfusion-flaw-poc.html

Adobe已发布紧急安全更新以修复ColdFusion中的关键漏洞CVE-2024-53961(CVSS评分7.4)。该漏洞存在路径遍历问题，可能被攻击者用于任意文件系统读取。安全研究员称，目前已发现该漏洞的概念验证(PoC)利用代码。目前该漏洞主要影响Adobe ColdFusion 2023和2021。Adobe发出安全公告并且建议用户立即更新至最新版本以防范潜在风险。目前，尚未明确是否有在野利用(ITW)此漏洞。此外，美国网络安全和基础设施安全局(CISA)于12月将另一个 Adobe ColdFusion漏洞(CVE-2024-20767)加入已知被利用漏洞目录(KEV)。该漏洞同样具有7.4的CVSS评分，由于ColdFusion版本2023.6、2021.12及更早版本中的访问控制问题，需要利用公开的管理面板作为前提条件，可能被利用进行任意文件读取攻击。

3、攻击者在野利用已修复的FortiClient EMS漏洞

https://securelist.com/patched-forticlient-ems-vulnerability-exploited-in-the-wild/115046/

近期，安全研究团队在一起响应事件中发现有攻击者成功利用已修复的Fortinet FortiClient EMS漏洞(CVE-2023-48788)入侵企业网络。该漏洞主要影响FortiClient EMS版本7.0.1至7.0.10和7.2.0至7.2.2，允许攻击者通过特制数据包执行未经授权的代码或命令。攻击者利用SQL注入技术入侵系统，下载远程监控工具(如ScreenConnect和AnyDesk)，并实施一系列后续活动，包括网络扫描、凭证窃取、防御规避及持久化。安全研究团队对样本进一步关联分析发现，该攻击与俄罗斯地区相关的恶意活动有关，且类似的攻击行为已被用于针对其他目标。此事件提醒企业及时更新系统和部署多层次的安全防护措施，以应对在野漏洞利用的威胁。

4、僵尸网络利用漏洞攻击网络录像机及TP-Link路由器

https://www.freebuf.com/news/418486.html

据BleepingComputer消息，一个基于Mirai的新型僵尸网络正在积极利用DigiEver网络录像机中的一个远程代码执行漏洞，该漏洞尚未获得编号，也暂无修复补丁。除了 DigiEver 漏洞外，新的 Mirai 恶意软件变体还分别利用CVE-2023-1389和 CVE-2018-17532 漏洞针对未打安全补丁的 TP-Link 和 Teltonika RUT9XX 路由器。

5、欧洲航天局被黑客入侵部署恶意JavaScript代码

https://www.freebuf.com/news/418474.html

欧洲航天局（ESA）的官方网络商店遭遇黑客入侵，加载用于生成虚假Stripe支付页面的JavaScript代码。这段恶意脚本出现在欧洲航天局的网站上，并开始收集客户信息，其中包含在购买流程最后阶段提供的支付卡数据。电子商务安全公司Sansec于昨日察觉到这段恶意脚本，并发出警告称，这家商店看起来是与ESA系统集成的，这可能会给该机构的员工带来风险。

6、“银狐”木马病毒再次出现新变种并更新传播手法

https://baijiahao.baidu.com/s?id=1819281509222833330

我国境内再次捕获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中，攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接，通过微信群直接传播包含该木马病毒的加密压缩包文件。

7、新的复杂攻击利用 Windows Defender 绕过 EDR

https://cybersecuritynews.com/attack-weaponizes-windows-defender/

一种复杂的攻击技术，可将 Windows Defender 应用程序控制 (WDAC) 武器化，以禁用 Windows 计算机上的端点检测和响应 (EDR) 传感器。WDAC 是 Windows 10 和 Windows Server 2016 中引入的一项技术，旨在让组织对其 Windows 设备上的可执行代码进行细粒度控制。

8、Apache 流量控制漏洞可让攻击者注入恶意SQL命令

https://cybersecuritynews.com/apache-traffic-control-vulnerability-sql-commands/

Apache Traffic Control 是一种广泛使用的用于管理大规模内容分发网络 (CDN) 的开源平台，其中发现了一个严重的 SQL 注入漏洞，编号为 CVE-2024-45387。该漏洞影响该软件的8.0.0至8.0.1版本，CVSS评分为9.9，表明该漏洞对系统机密性、完整性和可用性造成严重影响。

9、CrushFTP 严重漏洞使用户面临帐户被盗的风险

https://securityonline.info/cve-2024-53552-cvss-9-8-crushftp-flaw-exposes-users-to-account-takeover/

CrushFTP 是一种流行的文件传输服务器，以其强大的功能和用户友好的界面而闻名，它已针对可能导致帐户被盗的严重漏洞发布了紧急安全公告。该漏洞编号为 CVE-2024-53552，CVSS 评分为 9.8，影响 10.8.3 之前的 CrushFTP 版本 10 和 11.2.3 之前的 11 版本。

10、锐捷网络云平台漏洞可能导致5万台设备遭受远程攻击

https://thehackernews.com/2024/12/ruijie-networks-cloud-platform-flaws.html

网络安全研究人员在锐捷网络开发的云管理平台中发现了多个安全漏洞，可能允许攻击者控制网络设备。这些漏洞既影响 Reyee 平台，也影响 Reyee OS 网络设备。” “这些漏洞如果被利用，可能会允许恶意攻击者在任何支持云的设备上执行代码，从而使他们能够控制数万台设备。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。