CMS Strapi：攻击者可利用漏洞接管Admin帐户等权限请项目方立即升级

7月8日消息，NFT PASS平台Premint在其官方社交网站表示，Premint平台上的All Things Begin项目为诈骗项目，与其交互过的用户请及时撤销授权权限。 目前该项目已被 Premint 下架。

金色财经报道，据慢雾区消息，Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开，目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架，可用来创建服务端渲染(SSR) 应用，也可充当静态站点引擎生成静态站点应用，具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞，当服务端以开发模式启动时，远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中，Nuxt == 3.4.0，Nuxt == 3.4.1，Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务，请注意风险，并将Nuxt升级到3.4.3或以上版本。

金色财经报道，据慢雾区消息，Nacos 出现远程代码执行漏洞攻击案例。Nacos 是 Alibaba 开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台，帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时，采用 Hessian 进行反序列化，但并未设置限制，导致应用存在远程代码执行（RCE）漏洞。其中，1.4.1 <= Nacos < 1.4.6，使用 cluster 集群模式运行受影响；1.4.0、2.0.0 <= Nacos < 2.2.3，任意模式启动均受到影响。加密货币行业有大量平台采用此方案，请注意风险，并将 Nacos 升级到官方最新新版本。

5月10日消息，微软发布漏洞修复补丁以修复发现的38项安全漏洞，其中代号为CVE-2023-29336的漏洞可使得攻击者获取系统权限；CVE-2023-29325是一个远程代码执行漏洞，允许攻击者通过发送特制电子邮件来入侵受害者的设备。

金色财经报道，Web3安全机构Wallet Guard发文表示，Chrome浏览器出现零日漏洞CVE-2023-7024，立即更新您的Chrome浏览器（Brave、Opera、Edge 等），Google已发布紧急更新以解决此零日漏洞。 该漏洞是由于开源WebRTC框架中的堆缓冲区溢出漏洞造成的，许多其他网络浏览器（如Mozilla Firefox、Safari和Microsoft Edge）通过JavaScript API提供实时通信 (RTC) 功能（如视频流、文件共享和VoIP电话）。

金色财经报道，以太坊扩容协议StarkWare发布推文称，Starknet上周有一个重要的版本更新0.12.1。几个月前，为了准备此次更新，Starknet用户被要求对其帐户进行必要的升级。当0.12.1上线时，未升级的帐户将暂时无法访问。所有这些帐户（总计55万美元）的访问权限均已恢复。截至今天，升级已重新启用，用户可以立即重新获得对其帐户的访问权限。由于技术原因，Argent和Braavos的用户可能要到明天才能重新获得访问权限。