Modular DS插件高危误差CVE-2026-23550遭使用

首页 > 清静研究 > 清静转达 > 清静简讯

Modular DS插件高危误差CVE-2026-23550遭使用

宣布时间 2026-01-19

1. Modular DS插件高危误差CVE-2026-23550遭使用

1月15日，网络清静研究职员克日披露，WordPress多站点治理插件Modular DS的2.5.1及更早版本保存严重误差CVE-2026-23550，该误差已被黑客使用，允许未经身份验证的攻击者远程绕过认证，以治理员权限会见受影响网站。Modular DS作为一款治理多个WordPress站点的工具，装置量已超4万次，其功效包括远程监控、执行更新、用户治理、服务器信息会见及维护使命等。据Patchstack团队报告，误差首次攻击爆发在2026年1月13日UTC时间02:00左右。研究职员发明，误差源于插件在启用"直接请求"模式时，未对请求泉源举行加密验证即视为可信，导致敏感路由袒露并触发自动治理员登录回退机制。详细而言，在src/app/Http/Controllers/AuthController.php的getLogin要领中，代码实验从请求体读取用户ID，若未提供则自动获取现有治理员或超等治理员用户并登录，未经身份验证的用户可使用此路径实现权限提升。Modular DS在收到误差报告后数小时内宣布2.5.2版本修复程序。

https://www.bleepingcomputer.com/news/security/hackers-exploit-modular-ds-wordpress-plugin-flaw-for-admin-access/

2. 中央缅因州医疗保健中心数据泄露影响超14.5万患者

1月15日，中央缅因州医疗保健中心克日披露一起重大数据清静事务，影响145,381名患者。该非营利性医疗系统于2025年6月1日检测到IT系统异�Ｔ硕婕雌舳寰布庸滩⑼沤岬谌酵缜寰沧ḿ艺隹硬欤阶镏捶ú糠�。视察于11月6日完成，确认2025年3月19日至6月1日时代，未经授权的第三方会见了其IT情形，可能获取患者敏感信息，包括姓名、出生日期、治疗详情、服务日期、医疗提供者姓名、包管信息，部分病例还涉及社会包管号码。作为缅因州中部及西部地区要害医疗服务商，该机构运营多家医院、诊所及专科服务，事务引发普遍关注�；褂�2025年7月31日至12月29日时代通过书面通知、热线电话及网站通告见告受影响患者，并提供为期12个月的免费信用�；し�。该服务由TransUnion旗下CyberScout公司承保，涵盖单局信用监控、实时信用报告、信用评分变换提醒及自动诓骗援助，协助身份偷窃受害者解决问题。

https://securityaffairs.com/186959/uncategorized/central-maine-healthcare-data-breach-impacted-over-145000-patients.html

3. WhisperPair误差袒露数亿蓝牙装备清静危害

1月15日，鲁汶大学盘算机清静团队发明谷歌快速配对协议保存高危误差CVE-2025-36911（代号WhisperPair），影响全球数亿台支持该功效的无线耳机、耳塞和扬声器，涉及Google、Jabra、JBL、索尼、小米等十余个品牌。该误差源于装备制造商对快速配对协议的不当实现，规范要求装备在非配对模式下应忽略配对请求，但大都厂商未强制执行此检查，导致攻击者可未经用户授权强制配对装备。攻击者使用任何蓝牙装备（如条记本电脑、树莓派或手机），在14米规模内无需用户交互即可完成配对。配对后，攻击者可完全控制音频装备：以高音量播放音频滋扰用户，或通过麦克风窃听对话。更严重的是，通过Google的Find Hub网络，攻击者可将受害者装备绑定至自己的Google账户，实现跨装备位置跟踪。受害者可能收到装备自带的跟踪通知，但因显示为自身装备而忽视忠言，导致恒久隐藏跟踪。谷歌向研究职员发放1.5万美元最高赏金，并与厂商相助在150天披露期内宣布补丁。

https://www.bleepingcomputer.com/news/security/critical-whisperpair-flaw-lets-hackers-track-eavesdrop-via-bluetooth-audio-devices/

4. 加拿大CIRO数据泄露波及75万投资者

1月18日，加拿大投资羁系组织（CIRO）克日证实，去年8月遭遇的网络清静事务最终确认影响约75万名加拿大投资者，成为该国去年最严重的网络清静事务之一。CIRO作为2023年建设的加拿大投资生意商、配合基金生意商及生意运动的国家自律机构，是金融羁系框架的焦点支柱之一。CIRO发明系统保存网络清静威胁后，连忙关闭部分非要害系统并启动视察。只管8月18日对外披露事务，但完整影响规模直至今年1月14日完成普遍法证视察后才得以明确。视察显示，部分成员公司及其注册员工的小我私家信息遭泄露，详细数据因人而异，可能包括出生日期、电话号码、年收入、社会包管号码、政府揭晓的身份证号码、投资账户号码及账户报表等敏感信息。值得注重的是，CIRO强调其系统未存储登录凭证或账户清静问题，因此这些信息未受影响。为降低危害，CIRO将为所有受影响投资者提供为期两年的免费信用监控和身份偷窃�；し瘢苡跋煺呓盏街苯油ㄖ白⒉嶂敢词盏酵ㄖ呖勺远礐IRO确认状态。

https://www.bleepingcomputer.com/news/security/ciro-data-breach-last-year-exposed-info-on-750-000-canadian-investors/

5. 恶意GhostPoster浏览器扩展程序装置量达84万次

1月17日，克日，研究职员在Chrome、Firefox和Edge应用市肆中发明17个与GhostPoster攻击运动相关的恶意浏览器扩展程序，总装置量达84万次。该运动最早由Koi Security于2025年12月披露，涉及扩展通过图标隐藏恶意JavaScript代码，监控用户浏览器运动并植入后门。这些代码会从外部获取混淆的有用载荷，跟踪浏览行为，挟制电商平台同盟链接，并注入不可见iframe实验广告诓骗和点击诓骗。LayerX的最新报告指出，只管运动已曝光，但仍一连活跃。17个扩展中，装置量最高的"右键点击谷歌翻译"达52.2万次，"使用Google翻译选定文本"达15.9万次，其余如"Ads Block Ultimate""浮动播放器"等装置量从数千到数万不等�Ｔ硕畛踉贛icrosoft Edge平台提倡，后扩展至Firefox和Chrome，部分扩展自2020年起便保存于插件市肆，显示其恒久运营的乐成性。现在，Mozilla和微软已将相关扩展下架，谷歌也确认Chrome市肆中的这些扩展已被删除。但已装置的用户仍面临危害，需自动卸载并监控账户异常。

https://www.bleepingcomputer.com/news/security/malicious-ghostposter-browser-extensions-found-with-840-000-installs/

6. Fortinet FortiSIEM高危误差遭起劲使用

1月16日，克日，Fortinet FortiSIEM被曝保存严重误差（CVE-2025-64155），其看法验证使用代码已果真，且正被攻击者起劲使用。该误差由Horizon3.ai清静研究员Zach Hanley发明，实质是操作系统下令注入（CWE-78）与权限提升的组合，允许未经身份验证的攻击者通过全心结构的TCP请求执行恣意代码，最终可获取root会见权限。误差影响FortiSIEM 6.7至7.5版本，Fortinet已宣布清静更新，建议用户升级至7.4.1及以上、7.3.5及以上、7.2.7及以上或7.1.9及以上版本；使用旧版本的用户需迁徙至修复版本。暂时解决计划为限制phMonitor服务端口（7900）的会见，以缓解无法连忙升级的情形。手艺细节显示，误差泉源在于phMonitor服务袒露的数十个未履历证的远程可挪用下令处置惩罚程序。攻击者可滥用参数注入笼罩/opt/charting/redishb.sh文件，从而以root权限执行代码。Horizon3.ai已宣布手艺文章及入侵指标，治理员可通过检查/opt/phoenix/log/phoenix.logs中的phMonitor日志，查找包括PHL_ERROR条目中的恶意载荷URL以识别入侵。

https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-fortinet-fortisiem-vulnerability-in-attacks/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究