Modular DS插件高危缝隙CVE-2026-23550遭利用

首页 > 安全钻研 > 安全传递 > 安全简讯

Modular DS插件高危缝隙CVE-2026-23550遭利用

颁布功夫 2026-01-19

1. Modular DS插件高危缝隙CVE-2026-23550遭利用

1月15日，网络安全钻研人员近日披露，WordPress多站点治理插件Modular DS的2.5.1及更早版本存在严沉缝隙CVE-2026-23550，该缝隙已被黑客利用，允许未经身份验证的攻击者远程绕过认证，以治理员权限接见受影响网站。Modular DS作为一款治理多个WordPress站点的工具，装置量已超4万次，其职能蕴含远程监控、执行更新、用户治理、服务器信息接见及守护工作等。据Patchstack团队汇报，缝隙初次攻击产生在2026年1月13日UTC功夫02:00左右。钻研人员发现，缝隙源于插件在启用"直接要求"模式时，未对要求起源进行加密验证即视为可信，导致敏感路由露出并触发自动治理员登录回退机造。具体而言，在src/app/Http/Controllers/AuthController.php的getLogin步骤中，代码尝试从要求体读取用户ID，若未提供则自动获取现有治理员或超等治理员用户并登录，未经身份验证的用户可利用此蹊径实现权限提升。Modular DS在收到缝隙汇报后数幼时内颁布2.5.2版本建复法式。

https://www.bleepingcomputer.com/news/security/hackers-exploit-modular-ds-wordpress-plugin-flaw-for-admin-access/

2. 中央缅因州医疗保健中心数据泄露影响超14.5万患者

1月15日，中央缅因州医疗保健中心近日披露一路沉大数据安全事务，影响145,381名患者。该非投机性医疗系统于2025年6月1日检测到IT系统异�；疃�，随即启动安全加固并结合第三方网络安全专家发展调查，同步传递法律部门。调查于11月6日实现，确认2025年3月19日至6月1日期间，未经授权的第三方接见了其IT环境，可能获取患者敏感信息，蕴含姓名、诞生日期、医治详情、服务日期、医疗提供者姓名、保险信息，部门病例还涉及社会保险号码。作为缅因州中部及西部地域关键医疗服务商，该机构运营多家医院、诊所及专科服务，事务引发宽泛关注�；褂�2025年7月31日至12月29日期间通过书面通知、热线电话及网站布告奉告受影响患者，并提供为期12个月的免费信誉�；し�。该服务由TransUnion旗下CyberScout公司承保，涵盖单局信誉监控、实时信誉汇报、信誉评分调换提醒及自动诓骗增援，协助身份偷窃受害者解决问题。

https://securityaffairs.com/186959/uncategorized/central-maine-healthcare-data-breach-impacted-over-145000-patients.html

3. WhisperPair缝隙露出数亿蓝牙设备安全风险

1月15日，鲁汶大学推算机安全团队发现谷歌急剧配对和谈存在高危缝隙CVE-2025-36911（代号WhisperPair），影响全球数亿台支持该职能的无线耳机、耳塞和扬声器，涉及Google、Jabra、JBL、索尼、幼米等十余个品牌。该缝隙源于设备造作商对急剧配对和谈的不当实现，规范要求设备在非配对模式下应忽略配对要求，但无数厂商未强造执行此查抄，导致攻击者可未经用户授权强造配对设备。攻击者利用任何蓝牙设备（如笔记本电脑、树莓派或手机），在14米领域内无需用户交互即可实现配对。配对后，攻击者可齐全节造音频设备：以高音量播放音频滋扰用户，或通过麦克风窃听对话。更严沉的是，通过Google的Find Hub网络，攻击者可将受害者设备绑定至自己的Google账户，实现跨设备地位跟踪。受害者可能收到设备自带的跟踪通知，但因显示为自身设备而忽视忠告，导致持久荫蔽跟踪。谷歌向钻研人员发放1.5万美元最高赏金，并与厂商合作在150天披露期内颁布补丁。

https://www.bleepingcomputer.com/news/security/critical-whisperpair-flaw-lets-hackers-track-eavesdrop-via-bluetooth-audio-devices/

4. 加拿大CIRO数据泄露波及75万投资者

1月18日，加拿大投资监管组织（CIRO）近日证实，去年8月遭逢的网络安全事务最终确认影响约75万名加拿大投资者，成为该国去年最严沉的网络安全事务之一。CIRO作为2023年成立的加拿大投资买卖商、共同基金买卖商及买卖活动的国度自律机构，是金融监管框架的主题支柱之一。CIRO发现系统存在网络安全威胁后，当即关关部门非关键系统并启动调查。只管8月18日对表披露事务，但齐全影响领域直至今年1月14日实现宽泛法证调查后才得以明确。调查显示，部门成员公司及其注册员工的幼我信息遭泄露，具体数据因人而异，可能蕴含诞生日期、电话号码、年收入、社会保险号码、当局宣告的身份证号码、投资账户号码及账户报表等敏感信息。值妥贴心的是，CIRO强调其系统未存储登录凭证或账户安全问题，因而这些信息未受影响。为降低风险，CIRO将为所有受影响投资者提供为期两年的免费信誉监控和身份偷窃�；し�，受影响者将收到直接通知及注册指引，未收到通知者可自动联系CIRO确认状态。

https://www.bleepingcomputer.com/news/security/ciro-data-breach-last-year-exposed-info-on-750-000-canadian-investors/

5. 恶意GhostPoster浏览器扩大法式装置量达84万次

1月17日，近日，钻研人员在Chrome、Firefox和Edge利用商店中发现17个与GhostPoster攻击活动有关的恶意浏览器扩大法式，总装置量达84万次。该活动最早由Koi Security于2025年12月披露，涉及扩大通过图标暗藏恶意JavaScript代码，监控用户浏览器活动并植入后门。这些代码会从表部获取混合的有效载荷，跟踪浏览行为，劫持电商平台同盟链接，并注入不私见iframe执行告白诓骗和点击诓骗。LayerX的最新汇报指出，只管活动已曝光，但仍持续活跃。17个扩大中，装置量最高的"右键点击谷歌翻译"达52.2万次，"使用Google翻译选定文本"达15.9万次，其余如"Ads Block Ultimate""浮动播放器"等装置量从数千到数万不等�；疃畛踉贛icrosoft Edge平台提议，后扩大至Firefox和Chrome，部门扩大自2020年起便存在于插件商店，显示其持久运营的成功性。目前，Mozilla和微软已将有关扩大下架，谷歌也确认Chrome商店中的这些扩大已被删除。但已装置的用户仍面对风险，需自动卸载并监控账户异常。

https://www.bleepingcomputer.com/news/security/malicious-ghostposter-browser-extensions-found-with-840-000-installs/

6. Fortinet FortiSIEM高危缝隙遭积极利用

1月16日，近日，Fortinet FortiSIEM被曝存在严沉缝隙（CVE-2025-64155），其概想验证利用代码已公开，且正被攻击者积极利用。该缝隙由Horizon3.ai安全钻研员Zach Hanley发现，性质是操作系统号令注入（CWE-78）与权限提升的组合，允许未经身份验证的攻击者通过精心机关的TCP要求执行肆意代码，最终可获取root接见权限。缝隙影响FortiSIEM 6.7至7.5版本，Fortinet已颁布安全更新，建议用户升级至7.4.1及以上、7.3.5及以上、7.2.7及以上或7.1.9及以上版本；使用旧版本的用户需迁徙至建复版本。一时解决规划为限度phMonitor服务端口（7900）的接见，以缓解无法当即升级的情况。技术细节显示，缝隙本原在于phMonitor服务露出的数十个未经验证的远程可挪用号令处置法式。攻击者可滥用参数注入覆盖/opt/charting/redishb.sh文件，从而以root权限执行代码。Horizon3.ai已颁布技术文章及入侵指标，治理员可通过查抄/opt/phoenix/log/phoenix.logs中的phMonitor日志，查找蕴含PHL_ERROR条款中的恶意载荷URL以鉴别入侵。

https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-fortinet-fortisiem-vulnerability-in-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研