[慢雾安全预警:Nuxt.js出现远程代码执行漏洞攻击案例,请相关方及时升级]金色财经报道,据慢雾区消息,Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开,目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架,可用来创建服务端渲染(SSR) 应用,也可充当静态站点引擎生成静态站点应用,具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞,当服务端以开发模式启动时,远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中,Nuxt == 3.4.0,Nuxt == 3.4.1,Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务,请注意风险,并将Nuxt升级到3.4.3或以上版本。
慢雾安全提醒:Rabby钱包项目Swap合约存在外部调用风险,请迅速取消授权:金色财经报道,据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。
截止目前,Rabby Swap事件黑客已经获利超19万美元,资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。[2022/10/11 10:31:18]
动态 | 慢雾安全团队发布门罗币攻击严重漏洞预警:慢雾安全团队注意到,门罗币修复新型假充值攻击漏洞,问题出现在钱包处理隐身地址(stealth address)收款的校验机制上。隐身地址是门罗币匿名的关键机制之一,如果使用了这个机制来接收用户的匿名转账,攻击者可以向隐身地址发起恶意构造的重复转账,交易所钱包没对这些重复转账进行正确性校验的话,就可能会导致“假充值”攻击发生,从而造成严重损失。[2018/9/27]
动态 | 慢雾安全团队预警:EOS智能合约遭受溢出攻击:据慢雾安全团队消息,EOS Fomo3D 游戏合约遭受溢出攻击,资金池变成负数,由于合约未开源无法确认更多细节,请注意风险。慢雾安全团队呼吁 EOS 智能合约安全需引起重视。[2018/7/25]
郑重声明: 慢雾安全预警:Nuxt.js出现远程代码执行漏洞攻击案例,请相关方及时升级版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。