1.JavaScript惡意程式碼攻擊行動JSFireTruck橫行
為了利用合法網站做為散布惡意軟體的管道,或是濫用其網路流量進行獲利,駭客在網站埋入惡意程式碼的情況,最近兩到三年越來越頻繁,最近有一起大規模活動引起研究人員的關注。
資安業者Palo Alto Networks揭露針對近30萬個網站而來攻擊活動,攻擊者運用經過JSFuck(研究人員稱為JSFireTruck)的混淆手法處理JavaScript惡意程式碼,並將它們植入受害網站。這種程式碼的組成內容主要是符號,例如:[、]、+、$、{、}等。
這些被植入的程式碼,將會檢查網站的引用來源(Website Referrer),一旦發現來源是搜尋引擎,惡意程式碼就會將使用者導向惡意網站,而有可能導致惡意軟體下載、惡意廣告,或是其他濫用流量獲利的行為。但駭客為何要進行上述過濾流程,研究人員並未說明。
2.資料圖形視覺化Grafana系統尚未修補XSS漏洞
研究人員發現,資料視覺化軟體Grafana 5月間修補的跨網站指令碼(XSS)資安漏洞,仍然有超過4.6萬臺系統未更新版本而處於曝險狀態。
Grafana是多平臺開源資料分析及視覺化網頁應用,可連結多種資料源生成圖表、互動式儀表板及警示,常用於系統監控和即時資料分析。
5月21日Grafana接獲外部研究人員通報一個跨站指令碼(XSS)漏洞,編號CVE-2025-4123。該漏洞是結合終端路徑穿越和開放重導向,可讓攻擊者將用戶導向一個代管前端外掛的網站並執行任意JavaScript。濫用本漏洞不需編輯器(editor)許可,只要有匿名存取權就能執行XSS,後果包括劫持用戶連線、變更帳號憑證。此外,如果用戶安裝了Grafana圖像渲染(Image Render)外掛程式,攻擊者還可能用它來執行開放重導向,導致可完整讀取受害機器的伺服器端請求偽造(Server-side request forgery,SSRF)。CVE-2025-4123 CVSS 3.1風險值為7.6。
研發本軟體的Grafana Labs已在5月釋出更新版修補。