Writer AI 漏洞可让代理预览跨租户泄露会话令牌
网络安全研究人员披露了 Writer(一家企业级生成式人工智能平台)中现已修补的一个严重会话隔离漏洞细节,该漏洞可能导致跨租户入侵。该一键利用漏洞被 Sand Security Research 团队命名为 WriteOut。一名外部攻击者可以从毫无权限到入侵任何行业领先企业内的 Writer AI 组织,所需要的仅仅是一个链接。
最新的行业资讯
网络安全研究人员披露了 Writer(一家企业级生成式人工智能平台)中现已修补的一个严重会话隔离漏洞细节,该漏洞可能导致跨租户入侵。该一键利用漏洞被 Sand Security Research 团队命名为 WriteOut。一名外部攻击者可以从毫无权限到入侵任何行业领先企业内的 Writer AI 组织,所需要的仅仅是一个链接。
美国网络安全和基础设施安全局(CISA)于本周二将 4 个安全漏洞添加至其已知被利用漏洞(KEV)目录,理由是存在活跃利用的证据。这些漏洞包括 Adobe ColdFusion 路径穿越漏洞、SP Page Builder 与 Page Builder CK 的文件上传漏洞,以及 Langflow 的 IDOR 漏洞。
Noma Security 的研究人员展示,公共 Issue 可诱骗 GitHub 智能体工作流(Agentic Workflows)泄露组织私有仓库的内容。攻击者只需在公共仓库上提交一个看似普通的 Issue,无需窃取凭据,无需访问目标组织。若该组织已授予智能体跨仓库(含私有仓库)的读取权限,Issue 便可诱导其将私有内容写入公共评论。
一个名为 RedWing 的新型 Android 恶意软件行动正以即用型银行欺诈服务的形式在 Telegram 上出租。它让即使技术水平较低的犯罪分子也能接管受害者手机、窃取其银行登录凭证,并截获保护账户的一次性验证码。发现该行动的 Zimperium zLabs 表示,它看起来像是 Oblivion 的一个新变种,后者是一款月租 300 美元的恶意软件租赁工具。
最近一起针对美国和欧洲企业的 EvilTokens 攻击活动暴露了一种新的邮件安全盲区。这种”幽灵钓鱼”(ghost phishing)技术将恶意页面隐藏起来,直到它在受害者浏览器内解密后才”复活”。对安全负责人而言,风险显而易见:传统 URL 检查可能会漏掉攻击,而 Microsoft 365 访问权限、敏感数据和响应时间早已处于风险之中。
新研究显示,已签名 Git 提交的哈希并非软件行业所普遍认为的独一无二标识。无需签名密钥,攻击者即可基于同一文件、作者和日期生成新的提交,Github 仍会显示”已验证”。这意味着依赖哈希的封禁列表、去重机制、来源日志和可复现构建记录都存在被绕过的风险。
一项新的银行欺诈行动正利用 ClickFix 诱饵针对墨西哥银行、金融科技企业、支付处理商以及加密货币交易所的客户。该活动集群由 Elastic Security Labs 追踪,代号为 REF6045,攻击者通过伪造的验证码验证页面感染受害者,诱骗其运行一条恶意命令,从而安装名为 SCMBANKER 的 PowerShell 工具包。该恶意软件的部分组件可追溯至 2025 年 10 月。
Nebula Security的研究人员披露了GhostLock(CVE-2026-43499),这是一个存在15年之久的Linux内核漏洞,允许任何已登录用户在未打补丁的机器上获得完全的Root控制权。自2011年以来,几乎所有主流发行版默认都包含存在漏洞的代码。该漏洞无需特殊权限、无需特殊设置,也无需网络访问。
美国保险公司AssuranceAmerica披露了一起数据泄露事件,影响近700万司机。攻击者于今年早些时候入侵其系统,窃取了包括姓名、联系方式、保险信息及驾驶证号码在内的敏感数据,公司已向相关监管机构提交报告并通知受影响客户。
Datadog Security Labs 发出警告,称存在”多个重叠的攻击活动”,攻击者正通过 GitHub API 系统性地枚举企业的 GitHub 组织、仓库和用户账户。攻击者依赖自动化抓取工具,使用外观合法或自定义的 User-Agent,并利用数年前创建的”幽灵” GitHub 账户,或被泄露的 OAuth 令牌及个人访问令牌(PAT)来实施攻击。