1、Apache Struts 2远程代码执行漏洞CVE-2024-53677

https://struts.apache.org/download.cgi

Apache Struts 2是一个基于MVC设计模式的Web应用框架，可用于创建企业级Java web应用程序。Apache Struts 2多个受影响版本中文件上传逻辑存在缺陷，由于在文件上传过程中对用户提供的参数缺乏严格校验，攻击者可以通过操纵文件上传参数执行路径遍历攻击，某些情况下可能导致将恶意文件上传到服务器上的其他位置，从而导致远程代码执行。

2、黑客通过伪造npm包攻击以太坊开发者窃取敏感数据

https://socket.dev/blog/malicious-npm-campaign-targets-ethereum-developers

研究人员发现多个恶意npm包伪装成以太坊开发工具Hardhat，试图窃取开发者系统中的敏感数据。Hardhat是以太坊软件开发环境，广泛用于编写、编译、调试和部署智能合约及去中心化应用（dApp）。恶意包利用了开发者对开源插件的信任，通过npm平台发布，窃取如私钥、助记词和配置文件等信息。研究团队指出，攻击者通过Hardhat运行时环境中的函数（如hreInit()和hreConfig()）收集敏感数据，并将其传输到攻击者控制的服务器。已知的伪造包包括@nomisfoundation/hardhat-config等，部分包已被下载上千次。

3、恶意插件PhishWP将网站变为钓鱼页面窃取信用卡信息

https://slashnext.com/blog/phishwp-turns-sites-into-phishing-traps/

研究人员发现了一款名为PhishWP的恶意WordPress插件，黑客利用该插件创建虚假的支付页面，以窃取用户的信用卡信息、CVV码和3D安全验证码（OTP）。PhishWP通过模仿Stripe等支付服务的结账页面，诱使用户输入敏感数据，随后通过Telegram将收集到的信息实时传输给攻击者，使其能立即用于未经授权的交易或在暗网出售。该插件支持定制化的虚假结账页面、浏览器环境分析、3DS验证码弹窗以及自动回复邮件等功能，极大地提高了攻击的隐蔽性与成功率。PhishWP还具备多语言支持和混淆技术，使得其能够开展全球范围内的定向钓鱼攻击。

4、moxa蜂窝路由器和安全路由器存在高危漏洞

https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241155-privilege-escalation-and-os-command-injection-vulnerabilities-in-cellular-routers,-secure-routers,-and-netwo

moxa公司警告其多款蜂窝路由器、安全路由器和网络安全设备存在两项高危安全漏洞，可能导致权限升级和命令执行。漏洞编号为CVE-2024-9138和CVE-2024-9140，分别存在于多个moxa设备和固件版本中。CVE-2024-9138是一个硬编码凭证漏洞，攻击者可通过该漏洞获得root级别的系统访问权限，从而进行未经授权的修改、数据泄露或服务中断，CVSS评分为8.6。CVE-2024-9140则允许攻击者利用特殊字符绕过输入限制，执行未经授权的命令，CVSS评分为9.3。受影响的设备包括EDR-810系列、EDR-8010系列、EDR-G902系列等，moxa已发布针对多个系列的固件升级补丁，用户需及时更新至最新版本以修补漏洞。

5、联发科多款芯片存在安全漏洞

https://corp.mediatek.com/product-security-bulletin/January-2025

联发科披露了多个影响其芯片组的安全漏洞，其中包括一个严重的远程代码执行（RCE）漏洞，影响高达51款芯片。该漏洞被跟踪为CVE-2024-20154，存在于受影响芯片的调制解调器中，攻击者只需通过控制基站与设备建立连接即可触发远程代码执行，无需额外权限或用户交互。该漏洞的严重性被评为“关键”，其CVSS评分可能在9到10之间。受影响的设备包括用于汽车、智能手机、物联网设备和Chromebook的芯片，漏洞主要集中在调制解调器LR12A、LR13、NR15、NR16等多个型号上。联发科表示，厂商已在两个月前收到漏洞和修补程序的通知，理论上所有漏洞应已得到修复。除了RCE漏洞外，报告还列出了七个高危漏洞和五个中等危害的漏洞，涉及权限提升、拒绝服务和信息泄露等问题。

6、Redis服务器曝2个严重的RCE漏洞，数百万系统面临风险

https://www.freebuf.com/news/419216.html

在广泛使用的内存数据库Redis里，发现了两个严重漏洞，这可能使数百万系统面临拒绝服务（DoS）攻击和远程代码执行（RCE）的风险。这些漏洞被标记为CVE - 2024 - 51741和CVE - 2024 - 46981，这凸显了Redis用户面临着重大的安全风险，也强调了及时更新和采取缓解措施的重要性。

7、Windows LDAP PoC漏洞利用被公布

https://www.freebuf.com/news/419188.html

近日，网上发布了一个针对Windows轻量级目录访问协议（LDAP）安全漏洞的概念验证（PoC）漏洞利用程序，可能会引发拒绝服务（DoS）状况。目前该漏洞现已修复，建议企业/组织立即修复，以免被攻击者利用。

8、iPhone iOS18默认将照片共享给苹果

https://gbhackers.com/iphone-sharing-the-photos-by-default-to-apple/#google_vignette

开发人员 Jeff Johnson 最近的一篇博文揭示了最近推出的 iOS 18 中 Apple 照片应用程序中的一项新功能。其中“增强视觉搜索”的开关允许 iPhone 默认将照片数据传输给 苹果，这引发了对用户隐私和数据共享做法的担忧。

9、研究人员发现支持签名绕过和代码执行的 Nuclei 漏洞

https://thehackernews.com/2025/01/researchers-uncover-nuclei.html

ProjectDiscovery 的 Nuclei 中披露了一个高度严重的安全漏洞，Nuclei 是一种广泛使用的开源漏洞扫描程序，如果成功利用该漏洞，攻击者可以绕过签名检查并可能执行恶意代码。

10、担心隐私泄露，阿姆斯特丹叫停智能交通信号灯

https://world.huanqiu.com/article/4KxDuMADASG

由于担忧可能造成个人隐私泄露，阿姆斯特丹市议会已决定停止推广智能交通信号灯在当地的大规模使用。据荷兰阿姆斯特丹AT5电视台5日报道，这些智能交通信号灯能够通过与安装在个人手机中的应用程序通信来识别通勤者信息，以判断有哪些人在路上行驶，从而调节信号，让交通更加顺畅。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。