GitHub曝严重RCE漏洞影响数百万代码库
发布时间 2026-04-301. GitHub曝严重RCE漏洞影响数百万代码库
4月29日,云安全巨头Wiz的研究人员在GitHub上发现了一个严重的远程代码执行漏洞,该漏洞可能暴露数百万个代码库。漏洞编号为CVE-2026-3854,影响了代码托管平台内部的Git基础架构,GitHub Enterprise Server和GitHub.com均受到波及。Wiz解释称,通过利用GitHub内部协议中的注入漏洞,任何经过身份验证的用户均可使用标准git客户端,通过一个git push命令在GitHub的后端服务器上执行任意命令。这家安全公司利用人工智能发现该问题,并表示漏洞利用十分容易。以GitHub Enterprise Server为例,攻击者可利用此漏洞完全控制服务器,获得对所有存储库和内部机密信息的访问权限。该漏洞对GitHub.com的影响更为广泛,攻击者可在共享存储节点上执行远程代码,Wiz确认数百万个属于其他用户和组织的公共及私有代码库在受影响的节点上均可访问。虽然身份验证要求似乎降低了风险,但GitHub解释称,任何拥有向存储库推送权限的用户均可利用此漏洞在服务器上执行任意命令。
https://www.securityweek.com/critical-github-vulnerability-exposed-millions-of-repositories/
2. CISA将ConnectWise与Windows Shell漏洞纳入KEV目录
4月29日,美国网络安全和基础设施安全局近日将两个已被广泛利用的安全漏洞纳入其已知可利用漏洞目录,要求联邦机构在2026年5月12日前完成修复。首个漏洞是ConnectWise ScreenConnect中的路径遍历漏洞,编号CVE-2024-1708,CVSS评分为8.4分。该漏洞影响23.9.7及更早版本的ScreenConnect,源于文件路径限制不当,攻击者能够访问预期范围之外的文件和目录。攻击者通过篡改文件路径,可访问系统的敏感区域,在某些情形下可导致远程代码执行或未经授权访问机密数据和关键资源。值得注意的是,该漏洞常与另一严重认证绕过漏洞CVE-2024-1709(CVSS评分10.0)配合使用。第二个漏洞是Windows Shell欺骗漏洞,编号CVE-2026-32202,CVSS评分为4.3分。该漏洞源于此前针对CVE-2026-21510的不完整补丁。CVE-2026-21510原是俄罗斯APT28黑客组织自2025年12月起用来攻击乌克兰和欧盟国家的零日漏洞,与MSHTML漏洞CVE-2026-21513构成利用链。微软于4月27日更新公告确认该漏洞已被积极利用,修复了早前发布的错误利用性指标。
https://securityaffairs.com/191442/security/u-s-cisa-adds-microsoft-windows-shell-and-connectwise-screenconnect-flaws-to-its-known-exploited-vulnerabilities-catalog.html
3. SAP多个官方npm包遭供应链攻击
4月29日,TeamPCP发起了一起供应链攻击,导致多个官方SAP npm包遭到入侵,目的是窃取开发人员系统中的凭据和身份验证令牌。安全研究人员报告称,此次漏洞影响了四个软件包,其恶意版本目前已在npm上被弃用:@cap-js/sqlite v2.2.2、@cap-js/postgres v2.2.2、@cap-js/db-service v2.10.1和mbt v1.2.48。这些软件包支持SAP的云应用程序编程模型和云MTA,通常用于企业开发环境。根据Aikido和Socket的最新报告,被入侵的软件包已被修改,包含一个恶意的“预安装”脚本,该脚本在安装npm包时会自动执行。该脚本启动一个名为setup.mjs的加载器,从GitHub下载Bun JavaScript运行时,并使用它来执行经过高度混淆的execution.js载荷。该载荷是一种信息窃取程序,用于从开发人员机器和CI/CD环境中窃取各种凭据,包括npm和GitHub身份验证令牌、SSH密钥、开发人员凭据、AWS/Azure/Google Cloud的云凭证、Kubernetes配置和密钥,以及CI/CD流水线密钥和环境变量。
https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/
4. Quick Page/Post Redirect插件藏五年后门
4月29日,五年前,安装在超过70,000个WordPress网站上的Quick Page/Post Redirect插件被添加了一个后门,允许向用户网站注入任意代码。WordPress主机提供商Anchor的创始人Austin Ginder发现了该恶意软件,此前他托管的服务器上有12个网站受到感染,触发了安全警报。Quick Page/Post Redirect是一款用于在文章、页面和自定义URL中创建重定向的基本实用插件,已在WordPress.org上提供多年。目前,WordPress.org已暂时将该插件从目录中移除,等待审查。尚不清楚是插件作者自行植入了后门,还是其账户被第三方入侵。Ginder解释说,2020年至2021年间发布的官方插件版本5.2.1和5.2.2包含一个指向第三方域名anadnet[.]com的隐藏自我更新机制,该机制允许将任意代码推送到WordPress.org控制范围之外。2021年2月,恶意自更新程序从WordPress.org插件的后续版本中被移除,代码审查员还没来得及仔细审查它。据Ginder称,2021年3月,运行Quick Page/Post Redirect 5.2.1和5.2.2的网站悄悄地从该外部服务器接收到了一个篡改过的5.2.3版本,该版本引入了一个被动后门。
https://www.bleepingcomputer.com/news/security/popular-wordpress-redirect-plugin-hid-dormant-backdoor-for-years/
5. 青龙面板曝认证绕过漏洞,攻击者可部署加密矿工
4月29日,黑客正在利用开源任务调度工具青龙面板中的两个认证绕过漏洞,在开发者服务器上部署加密矿工。两个安全问题影响青龙面板2.20.1及更早版本,且可以串联利用以实现远程代码执行。CVE-2026-3965:配置不当的重写规则将/open/*请求映射到/api/*,无意中通过未经身份验证的路径暴露了受保护的管理员端点。CVE-2026-4047:认证检查以区分大小写方式处理路径(/api/),而路由匹配则不分大小写,这允许/aPi/...等请求绕过认证并访问受保护的端点。Snyk报告称,自2月7日起,攻击者一直在针对公开暴露的青龙面板利用这两个漏洞以部署加密矿工。该活动最初由青龙用户发现,他们报告称存在一个名为.fullgc的恶意隐藏进程,占用了85%至100%的CPU资源。攻击持续进行,在包括Nginx和SSL反向代理后的多种配置环境中都确认了感染案例。而青龙维护者直到3月1日才对此情况作出回应。建议仍在使用易受攻击版本的用户立即升级到已修复版本,并检查服务器中是否存在可疑的.fullgc进程及非授权配置变更。
https://www.bleepingcomputer.com/news/security/european-police-dismantles-50-million-crypto-investment-fraud-ring/
6. 跨国加密货币诈骗团伙覆灭,全球损失超5000万欧元
4月29日,奥地利和阿尔巴尼亚当局近日捣毁了一个被指控运营大规模加密货币投资诈骗的犯罪团伙,该团伙给全球受害者造成的经济损失估计超过5000万欧元(约合5850万美元)。此次联合行动始于2023年6月,并得到了欧洲刑警组织和欧洲司法组织的支持,最终于4月17日逮捕了10名嫌疑人,并对三个呼叫中心和九处私人住所进行了搜查。行动中,执法人员缴获了891,735欧元现金、443台电脑、238部手机、6台笔记本电脑以及多种数据存储设备以供取证检查。该诈骗团伙采用类似合法企业的模式运营,雇佣多达450名员工,分属客户获取、客户维系、财务、IT和人力资源等部门。受害者通过搜索引擎和社交媒体上的广告被诱骗至虚假的加密货币投资平台,随后被分配给所谓的“客户维系专员”,这些专员管理受害者的投资账户,常使用远程访问软件控制受害者设备,并通过心理施压诱骗受害者追加存款。然而,受害者的资金从未真正被投资,而是被转入一个国际洗钱计划,最终流入犯罪网络的账户。在二次诈骗中,犯罪分子再次联系受害者,声称可帮助追回损失,但要求先向加密货币账户存入500欧元作为入场费,从而对受害者实施二次欺诈。
https://www.bleepingcomputer.com/news/security/european-police-dismantles-50-million-crypto-investment-fraud-ring/
京公网安备11010802024551号