React Native Metro服务器漏洞遭黑客利用
发布时间 2026-02-051. React Native Metro服务器漏洞遭黑客利用
2月3日,黑客正利用React Native默认打包工具Metro服务器中的严重漏洞CVE-2025-11953发起攻击,在Windows和Linux系统执行恶意代码。该漏洞由软件供应链安全公司JFrog于2025年11月发现并公开,影响@react-native-community/cli-server-api版本4.8.0至20.0.0-alpha.2,20.0.0及以上版本已修复。攻击者通过向暴露的/open-url HTTP端点发送包含恶意URL的POST请求实施攻击。在Windows系统中,未经身份验证的攻击者可直接执行任意操作系统命令;Linux和macOS系统则可能运行受限参数的任意可执行文件。漏洞利用的核心在于端点未对用户提供的URL值进行清理,直接传递给'open()'函数,导致命令注入风险。2025年12月21日起,漏洞情报公司VulnCheck监测到名为"Metro4Shell"的攻击行动,攻击者于1月4日和21日持续使用相同载荷攻击。攻击载荷为base-64编码的PowerShell脚本,解码后执行以下操作:禁用Microsoft Defender对工作目录和临时目录的防护,建立与攻击者控制服务器的TCP连接,下载并执行二进制文件。
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-react-native-metro-bug-to-breach-dev-systems/
2. CISA警告勒索软件团伙利用VMware ESXi漏洞
2月4日,美国网络安全和基础设施安全局(CISA)近日证实,勒索软件团伙已开始利用VMware ESXi沙箱逃逸高危漏洞(CVE-2025-22225)发起攻击,该漏洞此前曾被用于零日攻击。博通公司于2025年3月修复了这一任意写入漏洞,同时修复了内存泄漏漏洞(CVE-2025-22226)和TOCTOU漏洞(CVE-2025-22224),并标记为正在被积极利用的零日漏洞。据博通公司披露,在VMX进程中拥有特权的恶意行为者可触发任意内核写入,导致沙箱逃逸。这些漏洞影响VMware ESXi、Fusion、Cloud Foundation、vSphere、Workstation及Telco Cloud Platform等产品,攻击者可串联漏洞逃离虚拟机沙箱。网络安全公司Huntress的报告指出,讲中文的威胁行为者可能自2024年2月起就利用这些漏洞发起复杂零日攻击。CISA已将CVE-2025-22225加入已知利用漏洞(KEV)目录,并要求联邦机构在2025年3月25日前保护系统。
https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/
3. 亚洲顶级域名及政府教育网站遭NGINX配置注入攻击
2月4日,DataDog安全实验室近日披露,攻击者正针对亚洲顶级域名(如.in、.id、.pe、.bd、.th)及政府教育网站(.edu、.gov)使用的NGINX服务器,以及Baota主机管理面板部署的NGINX安装,发起隐蔽的流量劫持攻击。该攻击通过注入恶意"location"块修改NGINX配置文件,捕获特定URL路径的传入请求,重写URL后经"proxy_pass"指令将流量转发至攻击者控制的域名,最终路由至后端基础设施。攻击者利用NGINX的负载均衡特性,"proxy_pass"指令常用于路由请求至备用服务器以提升性能或可靠性,因此该滥用行为不会触发安全警报。为伪装合法流量,攻击保留了请求头(如Host、X-Real-IP、User-Agent、Referer)。该攻击极具隐蔽性:不依赖NGINX漏洞,恶意指令直接嵌入配置文件,且用户流量仍可达预期目的地,仅通过专门监控方能察觉攻击者基础设施痕迹。
https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/
4. CISA紧急敦促修补五年期GitLab高危漏洞
2月4日,美国网络安全和基础设施安全局(CISA)近日发布强制性指令,要求联邦民事行政部门(FCEB)机构在2026年2月24日前修补存在五年的GitLab服务器端请求伪造(SSRF)漏洞(CVE-2021-39935),该漏洞正被积极利用进行网络攻击。GitLab于2021年12月修复此漏洞时披露,其影响14.3.6之前的10.5版本、14.4.4之前的14.4版本及14.5.2之前的14.5版本,允许未经授权的外部用户通过CI Lint API执行服务器端请求,尤其在用户注册受限时,非开发人员仍可访问该API,构成严重安全风险。CISA已将该漏洞纳入"已知利用漏洞(KEV)"目录,并援引约束性操作指令(BOD)22-01要求联邦机构采取行动。尽管BOD 22-01仅针对联邦机构,CISA强烈建议私营部门组织优先防护设备,避免遭受持续攻击。机构需遵循供应商修复指南、云服务BOD 22-01规范,或无法修复时停用相关产品。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-five-year-old-gitlab-flaw-exploited-in-attacks/
5. 网络钓鱼活动瞄准企业Dropbox账号凭证
2月3日,Forcepoint X-Labs揭示一场利用隐蔽技术规避安全检测的多阶段网络钓鱼攻击正在持续进行,其核心目标是窃取知名云存储服务(如Dropbox)的企业账号凭证。该攻击以伪造紧急公务或商务采购相关钓鱼邮件为起点,邮件内容简短但高度仿真目标用户熟悉机构或联系人的样式,通过"紧急诉求"诱导收件人打开PDF附件。这种简洁设计使其成功绕过SPF、DKIM、DMARC等邮件身份认证机制。当用户打开PDF时,会被引导点击内嵌的恶意链接,该链接基于Acro表单编写,大幅降低安全软件扫描检测能力。链接最终将用户导向伪装成"可信云存储"平台的页面,并跳转至极具迷惑性的伪造Dropbox登录界面。Forcepoint高级安全研究员Hassan Faizan指出,攻击者通过合法云基础设施降低用户警惕性,绕过基于信誉评级和已知恶意指标的自动化安全检测。一旦用户输入登录凭证,其用户名和密码将被发送至攻击者控制的Telegram频道。
https://www.infosecurity-magazine.com/news/password-stealing-phishing-pdf/
6. 超4万WordPress网站受Quiz插件SQL注入漏洞威胁
2月4日,网络安全机构披露,超40,000个使用Quiz and Survey Master(QSM)插件的WordPress网站正面临CVE-2025-67987 SQL注入漏洞风险。该漏洞存在于10.3.1及更早版本中,允许具有订阅者级别或更高权限的已认证用户通过未经验证的REST API参数实施数据库注入攻击,无需管理员权限即可干扰查询逻辑。QSM作为广泛用于创建测验、调查的插件,其漏洞源于负责检索测验题数据的REST API函数。攻击者可利用名为"is_linking"的请求参数,通过构造包含恶意SQL命令的输入值,在未使用预处理语句的情况下直接拼接至查询语句中。数据库会将注入内容视为查询指令执行,从而可能实现数据泄露、篡改或提权等恶意操作。修复版本10.3.2于12月4日发布,通过强制使用intval函数将"is_linking"参数转换为整数,确保查询仅处理数值型数据,彻底阻断注入路径。
https://www.infosecurity-magazine.com/news/wordpress-sql-injection-flaw-40000/
京公网安备11010802024551号