Koo是印度本土的类似Twitter的社交软件，最近修复了一个严重的安全漏洞，该漏洞可能被利用来对其数十万用户执行任意JavaScript代码，从而在整个平台上传播攻击。该漏洞涉及Koo的Web应用程序中存储型跨站脚本漏洞。为了实施攻击，攻击者所要做的就是通过Web应用程序登录该服务并将XSS有效载荷发布到其时间轴，该载荷会自动代表所有看到该帖子的用户执行。由于恶意JavaScript可以访问网站可以访问的所有对象，因此它可能允许攻击者窃取敏感数据和传播错误信息。Koo中的此漏洞（也称为XSS 蠕虫）的传播手段更令人担忧，因为它会自动在网站访问者之间传播恶意代码以感染其他用户，无需任何用户交互，就像连锁反应一样。

https://thehackernews.com/2021/0 … -service-found.html

安全公司Ivanti解决了其Pulse Connect Secure VPN设备中的一个严重漏洞，该漏洞可被利用以root权限执行任意代码。该漏洞被追踪为CVE-2021-22937，位于Pulse Connect Secure的Web管理界面中，CVSS评分为9.1，专家指出，这是绕过2021年10月发布的用于解决CVE-2020-8260漏洞的补丁的结果。成功利用此漏洞的攻击者将能够绕过Web应用程序实施的任何限制，并重新安装文件系统，从而允许他们创建持久性后门、提取和解密凭据、破坏VPN客户端或进入内部网络。

https://securityaffairs.co/wordp … ure-vpn-flaw-2.html

Go和Rust语言中常用的“net”库也受到混合格式IP地址验证漏洞的影响，这个漏洞与网络如何将IP地址当作十进制数处理有关。因此，依赖网络的应用程序可能容易受到不确定的服务器端请求伪造(SSRF)和远程文件包含(RFI)漏洞的攻击。此前，该漏洞影响了net库的各种实现，成千上万的应用程序依赖该库。Go和Rust不是唯一受此错误影响的语言。这个混合格式的IP地址验证loud 以前影响了Python的ipaddress库。

https://www.bleepingcomputer.com … tion-vulnerability/

负责审核工业环境对USB植入的敏感性的渗透测试人员已经为他们的黑客工具箱提供了一个新的工具。安全研究员在一次黑帽军火库演讲中展示了USBsamurai，是一种注入电缆的USB-HID（人机接口设备）。USBsamurai由一条电缆、加密狗和USB无线电收发器组成，可以远程控制，甚至可以攻击气隙网络。USBsamurai不仅是一根电缆，它可以很容易地用作一个内部硬件植入物来武器化其他 USB设备，例如鼠标。

https://portswigger.net/daily-sw … orks-open-to-attack
USBsamurai_ Malicious.pdf (670.55 KB, 下载次数: 0)

一种新的域名系统(DNS)攻击方法，包括用特定的名称注册一个域名，可以用于研究人员所说的“民族国家级别的间谍活动”。云基础设施安全公司Wiz的研究人员在对Amazon Route 53（一种提供给AWS用户的云DNS Web服务）进行分析时发现了这种攻击方法。调查结果于本周在拉斯维加斯举行的黑帽网络安全会议上公布。Route 53提供了大约2000个域名为ns-852.awsdns-42.net的DNS服务器。Wiz的研究人员发现，如果他们将域名与他们控制的服务器的IP地址相连接，那么用这样的名字注册一个域名并在Route 53中将它添加到DNS服务器上，就会得到一些有趣的结果。

https://www.securityweek.com/new … domain-registration

肯塔基大学表示，在6月初由第三方进行的预定安全渗透测试中，它发现了其中一个考试平台的安全漏洞。该漏洞影响了该大学的数字驾驶执照（DDL）平台，当大学进一步调查时，发现它在今年早些时候被利用，一个未知攻击者获得其内部数据库的副本，数据库包含肯塔基州、所有50个州和22个其他国家师生的姓名和电子邮件地址，总共超过35.5万人。被盗的信息只包括电子邮件和密码，不包括社会安全号码和财务细节。

https://therecord.media/universi … scheduled-pen-test/