#critical
共 5 篇相关内容 · 安全漏洞、AI动态、技术文章
情报动态 5
安全 🔴
FortiClient EMS 关键漏洞遭利用 — 攻击者部署凭证窃取器
威胁行为者正在积极利用 FortiClient EMS 的一个关键漏洞部署凭证窃取恶意软件。该漏洞允许未经认证的远程攻击者在受影响服务器上执行任意代码。Fortinet 已发布安全更新,建议所有 FortiClient EMS 用户立即修补。该漏洞已被多个攻击组织在野外利用。
安全 🔴
OpenSSH 多个严重漏洞爆发 — 拒绝服务/密钥伪造/整数溢出
OpenSSH 本周披露五个 CVSS 9.1 严重漏洞:(1) SSH 全局请求响应可阻塞连接导致 DoS;(2) FIDO/U2F 安全密钥验证未检查用户在场标志,允许无触摸签名;(3) 密钥约束扩展序列化缺失导致目的地限制被静默剥离;(4) 内存密钥环未执行 ConfirmBeforeUse 约束;(5) 4GB 以上写入整数溢出导致无限循环。
安全 🔴
Bitwarden CLI 供应链攻击 — npm 包嵌入恶意代码
Bitwarden CLI 2026.4.0 版本在 npm 发布期间(2026-04-22)被发现嵌入恶意代码,与 Checkmarx 供应链安全事件相关。该恶意代码在约10分钟的窗口期内存在于 npm 包中,使用该版本的开发者可能已暴露敏感凭证。事件凸显 npm 生态供应链安全风险。
安全 🔴
【紧急】Go golang.org/x/crypto/ssh 授权绕过漏洞 — CVSS 10.0
Go 语言 crypto/ssh 库存在授权绕过漏洞,当使用非公钥类型的回调时,源地址验证会被绕过。此漏洞影响大量使用 Go SSH 库的基础设施组件,攻击者可绕过基于源地址的访问控制。CVE-2024-45337 的修复不完整导致此绕过。
安全 🔴
【紧急】Ubiquiti UniFi OS 三重严重漏洞 — 无需认证即可完全控制设备
Ubiquiti UniFi OS 设备被发现存在三个 CVSS 10.0 满分严重漏洞,包括越权访问控制、路径遍历和命令注入。攻击者仅需网络访问权限即可完全接管受影响设备,获取底层系统未授权访问。漏洞影响 UniFi 网络设备全线产品,建议立即升级固件。