update

docs/2024/2024-23.md

@@ -71,9 +71,18 @@ Sora提供多种功能，包括故事板工具和社区创作分享。Plus用户
 > 消息来源：Cybersecurity News (https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29343)
 
 
-### 11 
+### 11 OpenWrt固件升级服务器发现严重安全漏洞，官方已紧急修复，建议大家迅速升级
+OpenWrt项目团队于12月6日发布安全公告，披露了其固件升级存在严重安全漏洞(CVE-2024-54143)。该漏洞由日本Flatt Security公司安全研究员RyotaK发现并报告。
+漏洞源于两个关键问题的组合：系统在构建固件时未对用户提供的软件包名称进行适当过滤，导致可能被注入恶意命令；同时，请求哈希机制仅使用SHA-256哈希值的前12个字符，大大降低了安全性，使攻击者可能通过制造哈希碰撞来污染合法固件。
+这一漏洞可能影响所有使用OpenWrt在线固件升级服务的用户。攻击者无需认证即可利用该漏洞，通过注入命令和制造哈希碰撞，使合法的构建请求收到预先生成的恶意固件以完成入侵。
+OpenWrt团队在漏洞报告后迅速采取行动，已于12月4日完成修复并部署。检查显示过去七天内未发现被利用痕迹。建议用户及时更新到最新版本以确保系统安全。
+> 消息来源：[官网安全公告](https://openwrt.org/advisory/2024-12-06) | NIST 漏洞数据库 (https://nvd.nist.gov/vuln/detail/CVE-2024-54143) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29352)
 
+### 12 CSDN被挂马：CDN疑似成为攻击入口
+奇安信威胁情报中心披露，CSDN网站被恶意组织挂马，攻击者利用潜伏期伪装流量，诱导用户下载恶意程序。攻击行为涉及分析受害设备IP并针对特定行业实施精准攻击，诱导用户执行伪装成更新程序的Payload，从而传播木马和后门程序。本次事件的攻击路径可能源于CDN污染，涉及政府、媒体等多个行业。目前，奇安信已支持对此类攻击的检测和防护。
+> 消息来源：[奇安信威胁情报中心](https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg) | [科技圈🎗在花频道📮](https://t.me/zaihuanews/29435)
 
+### 13 
 
 
 
@@ -143,8 +152,3 @@ Sora提供多种功能，包括故事板工具和社区创作分享。Plus用户
 
 
 
-
-
-
-<!-- TODO: https://t.me/zaihuanews/29167 -->
-<!-- https://t.me/zaihuanews/29341 -->