Modular DS插件高危漏洞CVE-2026-23550遭利用
发布时间 2026-01-191. Modular DS插件高危漏洞CVE-2026-23550遭利用
1月15日,网络安全研究人员近日披露,WordPress多站点管理插件Modular DS的2.5.1及更早版本存在严重漏洞CVE-2026-23550,该漏洞已被黑客利用,允许未经身份验证的攻击者远程绕过认证,以管理员权限访问受影响网站。Modular DS作为一款管理多个WordPress站点的工具,安装量已超4万次,其功能包括远程监控、执行更新、用户管理、服务器信息访问及维护任务等。据Patchstack团队报告,漏洞首次攻击发生在2026年1月13日UTC时间02:00左右。研究人员发现,漏洞源于插件在启用"直接请求"模式时,未对请求来源进行加密验证即视为可信,导致敏感路由暴露并触发自动管理员登录回退机制。具体而言,在src/app/Http/Controllers/AuthController.php的getLogin方法中,代码尝试从请求体读取用户ID,若未提供则自动获取现有管理员或超级管理员用户并登录,未经身份验证的用户可利用此路径实现权限提升。Modular DS在收到漏洞报告后数小时内发布2.5.2版本修复程序。
https://www.bleepingcomputer.com/news/security/hackers-exploit-modular-ds-wordpress-plugin-flaw-for-admin-access/
2. 中央缅因州医疗保健中心数据泄露影响超14.5万患者
1月15日,中央缅因州医疗保健中心近日披露一起重大数据安全事件,影响145,381名患者。该非营利性医疗系统于2025年6月1日检测到IT系统异常活动,随即启动安全加固并联合第三方网络安全专家展开调查,同步通报执法部门。调查于11月6日完成,确认2025年3月19日至6月1日期间,未经授权的第三方访问了其IT环境,可能获取患者敏感信息,包括姓名、出生日期、治疗详情、服务日期、医疗提供者姓名、保险信息,部分病例还涉及社会保障号码。作为缅因州中部及西部地区关键医疗服务商,该机构运营多家医院、诊所及专科服务,事件引发广泛关注。机构于2025年7月31日至12月29日期间通过书面通知、热线电话及网站公告告知受影响患者,并提供为期12个月的免费信用保护服务。该服务由TransUnion旗下CyberScout公司承保,涵盖单局信用监控、实时信用报告、信用评分变更提醒及主动欺诈援助,协助身份盗窃受害者解决问题。
https://securityaffairs.com/186959/uncategorized/central-maine-healthcare-data-breach-impacted-over-145000-patients.html
3. WhisperPair漏洞暴露数亿蓝牙设备安全风险
1月15日,鲁汶大学计算机安全团队发现谷歌快速配对协议存在高危漏洞CVE-2025-36911(代号WhisperPair),影响全球数亿台支持该功能的无线耳机、耳塞和扬声器,涉及Google、Jabra、JBL、索尼、小米等十余个品牌。该漏洞源于设备制造商对快速配对协议的不当实现,规范要求设备在非配对模式下应忽略配对请求,但多数厂商未强制执行此检查,导致攻击者可未经用户授权强制配对设备。攻击者利用任何蓝牙设备(如笔记本电脑、树莓派或手机),在14米范围内无需用户交互即可完成配对。配对后,攻击者可完全控制音频设备:以高音量播放音频干扰用户,或通过麦克风窃听对话。更严重的是,通过Google的Find Hub网络,攻击者可将受害者设备绑定至自己的Google账户,实现跨设备位置跟踪。受害者可能收到设备自带的跟踪通知,但因显示为自身设备而忽视警告,导致长期隐蔽跟踪。谷歌向研究人员发放1.5万美元最高赏金,并与厂商合作在150天披露期内发布补丁。
https://www.bleepingcomputer.com/news/security/critical-whisperpair-flaw-lets-hackers-track-eavesdrop-via-bluetooth-audio-devices/
4. 加拿大CIRO数据泄露波及75万投资者
1月18日,加拿大投资监管组织(CIRO)近日证实,去年8月遭遇的网络安全事件最终确认影响约75万名加拿大投资者,成为该国去年最严重的网络安全事件之一。CIRO作为2023年成立的加拿大投资交易商、共同基金交易商及交易活动的国家自律机构,是金融监管框架的核心支柱之一。CIRO发现系统存在网络安全威胁后,立即关闭部分非关键系统并启动调查。尽管8月18日对外披露事件,但完整影响范围直至今年1月14日完成广泛法证调查后才得以明确。调查显示,部分成员公司及其注册员工的个人信息遭泄露,具体数据因人而异,可能包括出生日期、电话号码、年收入、社会保险号码、政府颁发的身份证号码、投资账户号码及账户报表等敏感信息。值得注意的是,CIRO强调其系统未存储登录凭证或账户安全问题,因此这些信息未受影响。为降低风险,CIRO将为所有受影响投资者提供为期两年的免费信用监控和身份盗窃保护服务,受影响者将收到直接通知及注册指引,未收到通知者可主动联系CIRO确认状态。
https://www.bleepingcomputer.com/news/security/ciro-data-breach-last-year-exposed-info-on-750-000-canadian-investors/
5. 恶意GhostPoster浏览器扩展程序安装量达84万次
1月17日,近日,研究人员在Chrome、Firefox和Edge应用商店中发现17个与GhostPoster攻击活动相关的恶意浏览器扩展程序,总安装量达84万次。该活动最早由Koi Security于2025年12月披露,涉及扩展通过图标隐藏恶意JavaScript代码,监控用户浏览器活动并植入后门。这些代码会从外部获取混淆的有效载荷,跟踪浏览行为,劫持电商平台联盟链接,并注入不可见iframe实施广告欺诈和点击欺诈。LayerX的最新报告指出,尽管活动已曝光,但仍持续活跃。17个扩展中,安装量最高的"右键点击谷歌翻译"达52.2万次,"使用Google翻译选定文本"达15.9万次,其余如"Ads Block Ultimate""浮动播放器"等安装量从数千到数万不等。活动最初在Microsoft Edge平台发起,后扩展至Firefox和Chrome,部分扩展自2020年起便存在于插件商店,显示其长期运营的成功性。目前,Mozilla和微软已将相关扩展下架,谷歌也确认Chrome商店中的这些扩展已被删除。但已安装的用户仍面临风险,需主动卸载并监控账户异常。
https://www.bleepingcomputer.com/news/security/malicious-ghostposter-browser-extensions-found-with-840-000-installs/
6. Fortinet FortiSIEM高危漏洞遭积极利用
1月16日,近日,Fortinet FortiSIEM被曝存在严重漏洞(CVE-2025-64155),其概念验证利用代码已公开,且正被攻击者积极利用。该漏洞由Horizon3.ai安全研究员Zach Hanley发现,本质是操作系统命令注入(CWE-78)与权限提升的组合,允许未经身份验证的攻击者通过精心构造的TCP请求执行任意代码,最终可获取root访问权限。漏洞影响FortiSIEM 6.7至7.5版本,Fortinet已发布安全更新,建议用户升级至7.4.1及以上、7.3.5及以上、7.2.7及以上或7.1.9及以上版本;使用旧版本的用户需迁移至修复版本。临时解决方案为限制phMonitor服务端口(7900)的访问,以缓解无法立即升级的情况。技术细节显示,漏洞根源在于phMonitor服务暴露的数十个未经验证的远程可调用命令处理程序。攻击者可滥用参数注入覆盖/opt/charting/redishb.sh文件,从而以root权限执行代码。Horizon3.ai已发布技术文章及入侵指标,管理员可通过检查/opt/phoenix/log/phoenix.logs中的phMonitor日志,查找包含PHL_ERROR条目中的恶意载荷URL以识别入侵。
https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-fortinet-fortisiem-vulnerability-in-attacks/
京公网安备11010802024551号