黑客正利用WordPress Kirki插件漏洞劫持网站账户
发布时间 2026-06-036月2日,近期,WordPress生态中广泛使用的Kirki插件被曝出一个严重的权限提升漏洞(CVE-2026-8206),正遭到黑客的积极利用。该插件全称为“Kirki - Freeform Page Builder, Website Builder & Customizer”,是一款自由式可视化建站工具与高级主题定制器,安装在超过50万个网站上。安全公司Defiant通过其Wordfence防火墙检测到,在过去24小时内已拦截了222次针对其客户的实际攻击尝试。该漏洞影响插件6.0.0至6.0.6版本,根据WordPress.org的下载统计,这些版本的使用率约占该插件用户总量的40%。漏洞根源在于插件通过handle_forgot_password()函数暴露了一个用于密码重置的自定义REST API端点。问题核心是:该端点在处理密码重置请求时,会接受攻击者提供的任意电子邮件地址。当攻击者提交一个已知的用户名(如管理员账户)时,插件会为该账户生成一个有效的密码重置链接,却将链接发送到攻击者指定的邮箱,而非账户所有人的原始注册邮箱。这一设计缺陷使得未经身份验证的攻击者可以轻而易举地为网站上任何注册用户(包括管理员)获取密码重置链接,并发送到自己控制的邮箱中,从而完全接管目标账户。插件开发商5月18日发布了修复版本6.0.7。
https://www.bleepingcomputer.com/news/security/critical-kirki-flaw-exploited-to-hijack-wordpress-admin-accounts/
2. WeedHack借Minecraft模组感染超11.6万系统
6月2日,一场名为WeedHack的大规模恶意软件攻击活动正以Minecraft玩家为目标,自1月以来已感染超过116,000个系统。该恶意软件通过与Minecraft相关的恶意模组、客户端、作弊程序和实用工具进行传播,这些程序通过YouTube视频和SEO投毒手段进行推广。WeedHack是一款恶意软件即服务(MaaS)信息窃取工具,为操控者提供了一个仪表板,用于查看被盗凭证和受感染系统的信息。网络安全公司McAfee的遥测数据显示,WeedHack已影响116,464个系统,平均每天感染2,000至3,000台设备,大多数受害者位于美国、德国、印度和英国。此次攻击的规模还体现在超过240个分发URL和3,820个独特的恶意JAR文件上。攻击者主要通过两种方式散布恶意软件:一是在YouTube上发布展示Minecraft相关工具的视频,并在描述和评论中植入下载链接,部分视频制作精良甚至配有旁白以增强真实感,累计观看次数已超过7,500次;二是利用SEO投毒技术,针对Meteor Client、Wurst Client、LiquidBounce等热门Minecraft工具的关键词,将恶意网站推至搜索结果前列。许多这类合法项目本无官方网站,仅有GitHub页面,这给攻击者可乘之机。
https://www.bleepingcomputer.com/news/security/over-116-000-mincraft-systems-infected-in-weedhack-malware-campaign/
3. CISA将Oracle WebLogic高危漏洞列入已知利用目录
6月2日,美国网络安全和基础设施安全局(CISA)于周一将影响Oracle WebLogic Server的一个高危安全漏洞纳入其已知利用漏洞(KEV)目录,原因是该漏洞已被发现遭到积极利用。该漏洞编号为CVE-2024-21182,CVSS评分为7.5分,允许未经身份验证的攻击者通过网络访问权限直接控制易受攻击的服务器。Oracle已于2024年7月发布了针对该漏洞的修复补丁,但时隔近两年,攻击活动仍在持续,促使CISA采取紧急行动。CISA在公告中指出,Oracle WebLogic存在一个未具体指明的漏洞,未经身份验证的攻击者可以通过T3、IIOP等网络协议访问服务器,从而对Oracle WebLogic Server造成严重危害。成功利用该漏洞可能导致未经授权访问关键数据,甚至完全获取所有可通过该服务器访问的数据。目前尚无公开报告详细说明该漏洞在实际攻击中是如何被利用的。然而,WebLogic Server此前的多个安全缺陷曾屡次被各类威胁行为者利用,用于组建僵尸网络、挖掘加密货币以及部署勒索软件,因此本次漏洞的实际风险不容忽视。
https://thehackernews.com/2026/06/oracle-weblogic-cve-2024-21182-added-to.html
4. 微软Exchange Online遭遇大规模邮件延迟故障
6月2日,微软正在紧急处理一起影响北美、亚太地区和欧洲Exchange Online客户邮件流管道的普遍服务问题。该公司于美国东部时间6月2日上午10:33首次确认该事件(跟踪编号为EX1331830),当时已开始调查社交媒体上大量用户提交的报告。受影响的用户在发送或访问电子邮件时遇到严重延迟或失败,部分用户看到临时SMTP延迟错误,提示“每个资源林的最大并发连接数已超过限制,正在关闭传输通道”,另一些用户则收到“连接突然关闭(可疑的远程服务器错误)”的消息。微软表示,有些电子邮件超过一个小时仍未送达,工程师正在审查相关报告以找出根本原因。该公司已将此次事件归类为“事件”,这一级别通常适用于对用户造成明显影响的关键服务问题。随着故障持续,微软不断扩展影响范围的评估。最初集中在北美和德国地区的报告促使公司扩大调查,随后确认亚太地区和欧洲的用户同样受到波及。微软在管理中心服务警报中表示,正在分析受影响地区的邮件队列积压情况,以进一步了解当前影响并找出潜在故障点。截至目前,该公司已扩大沟通范围以覆盖所有可能受影响的用户,但尚未公布完全恢复的时间表。
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-online-outage-causes-email-delays-failures/
5. 黑客利用Meta AI客服成功劫持Instagram账户
6月2日,多名Instagram用户近日遭遇账户被盗,攻击者采取了一种新颖而简单的手段,成功说服了Meta的人工智能支持工具,使其相信自己就是合法的账户所有者。受影响的用户中包括曾属于奥巴马白宫团队的旧账号、应用研究员Jane Manchun Wong的账户,以及@hey和@korn等稀有高价值账户。更令人担忧的是,许多受害者无法恢复访问权限,因为Meta平台仅依赖自动化AI或聊天机器人提供协助,几乎没有人工支持人员介入。账户劫持过程并不复杂。攻击者首先利用“忘记密码”功能,触发Instagram的AI助手要求用户上传自拍视频进行身份验证。此时,攻击者从目标账户中获取公开照片,通过AI视频生成器将其制作成动态视频,然后上传给Meta的系统。由于Meta的AI无法有效区分真实自拍与人工智能生成的伪造面部视频,验证便顺利通过。验证通过后,攻击者可以更改账户关联的电子邮件地址。随后,他们再次发起密码重置流程,安全代码便会发送到攻击者控制的邮箱中,从而彻底接管账户。部分攻击者还会使用VPN伪装成目标用户常用的地理位置,以触发更复杂的登录流程并增强欺骗性。
https://www.bleepingcomputer.com/news/security/instagram-users-locked-out-after-meta-ai-abused-to-steal-accounts/
6. Grindr用户数据遭窃,论坛标价400美元出售
6月2日,据称包含大量Grindr用户个人信息的数据集近日出现在网络犯罪论坛上,攻击者声称已窃取大量敏感数据并正挂牌出售。网络新闻研究人员已审查了攻击者分享的18条样本记录,确认泄露信息包括:全名、出生日期、用户名、bcrypt密码哈希、经SHA256哈希处理的电话号码、详细的个人资料描述、地理位置数据、账户时间戳以及设备信息。样本中的部分时间戳非常新近,最新条目可追溯至2026年5月,表明该数据集可能并非纯粹的历史数据,可能包含正在更新或最近生成的记录。研究人员还注意到,样本中的大多数电子邮件地址似乎有效,且没有迹象显示类似数据集已在其他地方广泛传播。攻击者并未透露数据集中包含的记录总数,但该数据集的标价仅为约400美元。研究人员认为,这一相对较低的价格可能暗示数据集规模较小或范围较窄,而非大规模数据泄露。数据可能来源于已被盗用的账户,或从处理Grindr数据的第三方服务商处获取。密码哈希值的存在显著增加了泄露事件的风险,攻击者可通过离线破解尝试还原密码,发起撞库攻击。
https://cybernews.com/security/grindr-user-data-leak-claims/
京公网安备11010802024551号