Nginx UI身份验证绕过误差已被恶意使用

首页 > 清静研究 > 清静转达 > 清静简讯

Nginx UI身份验证绕过误差已被恶意使用

宣布时间 2026-04-16

1. Nginx UI身份验证绕过误差已被恶意使用

4月15日，，，Nginx UI 中一个支持模子上下文协议（MCP）的严重清静误差（编号CVE-2026-33032）现在正遭到恶意使用，，，攻击者无需任何身份验证即可完全控制目的效劳器。。。。。。该误差的基础缘故原由在于nginx-ui未能对/mcp_message端点实验有用保�；；；；；�，，，使得远程攻击者能够在无凭证的情形下挪用特权MCP操作。。。。。。由于这些操作涉及写入、修改及重新加载nginx设置文件，，，一个简朴的未认证请求即可改变效劳器行为，，，实现Web效劳器的周全接受。。。。。。美国国家标准与手艺研究院（NIST）在国家误差数据库（NVD）中明确指出，，，任何网络攻击者均可未经认证挪用所有MCP工具，，，包括重启nginx、建设或修改设置文件以及触发自动重载。。。。。。Nginx UI官方于3月15日宣布2.3.4版本修复该误差，，，此前一天由Pluto Security AI的研究职员报告。。。。。。然而，，，误差标识符、手艺细节及看法验证（PoC）代码直至月尾才果真披露。。。。。。本周早些时间，，，Recorded Future在CVE概览报告中确认该误差正被起劲使用。。。。。。Pluto Security通过Shodan扫描发明，，，现在约有2600个果真袒露的实例可能保存误差，，，主要漫衍在中国、美国、印度尼西亚、德国和香港。。。。。。

https://www.bleepingcomputer.com/news/security/critical-nginx-ui-auth-bypass-flaw-now-actively-exploited-in-the-wild/

2. 新型恶意软件AgingFly正攻击政府与医院

4月15日，，，一种名为“AgingFly”的新型恶意软件家族正被用于攻击地方政府、医院以致国防步队成员，，，该软件专门从基于Chromium的浏览器和Windows版WhatsApp中窃取身份验证数据。。。。。。CERT-UA已将攻击行动归因于其追踪的网络威胁集群UAC-0247。。。。。。攻击链始于目的收到伪装成人性主义援助的电子邮件，，，诱导点击嵌入链接，，，该链接会重定向到因跨站剧本（XSS）误差遭入侵的正当网站，，，或使用AI工具天生的虚伪网站。。。。。。随后，，，受害者收到包括快捷方法文件（LNK）的归档文件，，，该文件启动内置的HTA处置惩罚程序，，，毗连远程资源检索并执行HTA文件。。。。。。HTA显示诱饵表单以疏散注重力，，，同时建设妄想使命下载并运行EXE有用载荷，，，将shellcode注入正当历程。。。。。。接着攻击者安排两阶段加载器，，，最终有用载荷经压缩和加密后释放。。。。。。典范的TCP反向shell或类似RAVENSHELL的工具被用作跳板，，，建设与治理效劳器的TCP毗连，，，使用XOR密码加密的TCP通道与C2效劳器通讯，，，通过Windows下令提醒符执行下令。。。。。。之后AgingFly被交付安排，，，同时使用PowerShell剧本（SILENTLOOP）执行下令、更新设置并从Telegram频道获取C2地点。。。。。。

https://www.bleepingcomputer.com/news/security/new-agingfly-malware-used-in-attacks-on-ukraine-govt-hospitals/

3. EssentialPlugin三十余款插件遭后门入侵

4月15日，，，EssentialPlugin软件包中的30多款WordPress插件已被恶意代码入侵，，，攻击者可在未经授权的情形下会见并控制运行这些插件的网站。。。。。。该事务由托管WordPress主机提供商Anchor Hosting的首创人Austin Ginder发明，，，他在收到某插件包括允许第三方会见代码的线索后睁开视察，，，效果显示：自2025年8月该项目被新店主以六位数价钱收购以来，，，EssentialPlugin软件包中的所有插件均保存后门。。。。。。后门最初处于不活动状态，，，直到近期才被激活，，，它静默毗连外部基础设施获取一个名为“wp-comments-posts.php”的文件，，，进而将恶意软件注入焦点设置文件“wp-config.php”。。。。。。该恶意软件对网站所有者不可见，，，并使用基于以太坊的C2地点剖析举行规避，，，可凭证指令获取垃圾链接、重定向和虚伪页面。。。。。。WordPress.org迅速响应，，，关闭了相关插件并强制网站更新，，，以切断后门通讯并禁用其执行路径。。。。。。建议使用受影响插件的网站治理员连忙检查并手动整理设置文件中的恶意代码。。。。。。

https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/

4. Mirax恶意软件攻击活动波及22万账户

4月15日，，，一种名为Mirax的新型安卓远程会见木马（RAT）正通过Meta平台（Facebook和Instagram）上的广告大规模撒播，，，主要针对西班牙语用户，，，现在已有凌驾22万个账户被熏染。。。。。。该恶意软件不但允许攻击者实时完全控制受熏染装备，，，还能将装备转化为SOCKS5署理节点，，，通过受害者的IP地点路由恶意流量。。。。。。Mirax以恶意软件即效劳（MaaS）形式出售，，，但接纳高度管控的独家分发模式，，，仅限少数同盟成员会见，，，这标记着移动威胁正从普遍的MaaS向更隐藏的“私有MaaS”演变。。。。。。自2025年12月19日起，，，Mirax最先在地下论坛果真推广，，，Cleafy威胁情报团队自2026年3月起对其举行起劲监控。。。。。。攻击通过多阶段营销活动实验，，，使用Meta广告诱骗用户下载恶意应用程序。。。。。。受害者被重定向到提供虚伪效劳（如不法体育直播应用）的垂纶网站，，，使用用户侧载APK文件的习惯举行攻击。。。。。。恶意软件通过托管在GitHub Releases上的投放器撒播，，，这些投放器频仍更新和重新打包以绕过清静检查。。。。。。装置后，，，投放器解压有用载荷并应用强混淆手艺，，，通过WebSocket建设毗连。。。。。。

https://securityaffairs.com/190842/uncategorized/mirax-malware-campaign-hits-220k-accounts-enables-full-remote-control.html

5. CISA更新KEV目录：新增SharePoint及Excel误差

4月15日，，，美国网络清静和基础设施清静局（CISA）克日将影响Microsoft SharePoint Server和Microsoft Office Excel的误差添加到其已知可使用误差（KEV）目录中，，，要求联邦机构在2026年4月28日前完成修复。。。。。。其中，，，编号为CVE-2009-0238（CVSS评分9.3）的误差影响多个版本的Microsoft Excel及相关审查器。。。。。。当用户翻开特制的Excel文件时，，，该误差会导致应用程序会见内存中的无效工具，，，造成内存损坏，，，从而使远程攻击者能够以目今用户权限在受影响系统上执行恣意代码。。。。。。该误差早在2009年2月就被起劲使用，，，特殊是通过Trojan.Mdropper.AC恶意软件撒播，，，是其时重大现实威胁之一。。。。。。第二个被加入目录的误差编号为CVE-2026-32201（CVSS评分6.5），，，涉及Microsoft SharePoint Server中的诱骗误差，，，可能与跨站剧本攻击（XSS）相关。。。。。。微软报告称该零日误差已被起劲用于现实攻击中。。。。。。清静通告指出，，，SharePoint中不准确的输入验证允许未经授权的攻击者通过网络执行诱骗操作，，，乐成使用后可审查部分敏感信息，，，或更改已披露信息。。。。。。

https://securityaffairs.com/190852/hacking/u-s-cisa-adds-microsoft-sharepoint-server-and-microsoft-office-excel-flaws-to-its-known-exploited-vulnerabilities-catalog.html

6. CISA忠言Windows使命主机权限提升误差正被使用

4月15日，，，美国网络清静和基础设施清静局（CISA）克日发出忠言，，，要求美国政府机构尽快保�；；；；；て湎低趁馐躓indows使命主机权限提升误差（CVE-2025-60710）的损害。。。。。。该误差允许外地攻击者在仅具备基本用户权限的情形下，，，通过低重漂后的攻击方法获得SYSTEM权限，，，从而完全控制受熏染的装备。。。。。。使命主机是Windows系统的焦点组件，，，作为基于DLL的历程的容器，，，允许它们在后台运行，，，并确保在关机时代准确关闭以避免数据损坏。。。。。。该误差源于影响Windows 11和Windows Server 2025装备的链接跟踪弱点，，，详细体现为Windows使命主机历程在文件会见之前的链接剖析不当，，，导致授权攻击者能够在外地提升权限。。。。。。微软已于2025年11月宣布了针对该误差的清静更新。。。。。。本周一，，，CISA将CVE-2025-60710正式列入其“已知可使用误差”（KEV）目录。。。。。。凭证2021年11月宣布的具有约束力的操作指令（BOD）22-01，，，联邦民事行政部分（FCEB）机构被给予两周时间来完成误差修复，，，以保�；；；；；て渫缑馐芄セ�。。。。。。

https://www.bleepingcomputer.com/news/security/cisa-flags-windows-task-host-vulnerability-as-exploited-in-attacks/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

918博天堂

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系918博天堂

清静研究