【MagicEden：疑似存在SOL漏洞可窃取Phantom钱包资产，提醒用户撤销可疑链接权限】

【MagicEden：疑似存在SOL漏洞可窃取Phantom钱包资产，提醒用户撤销可疑链接权限】 8月3日消息，Solana生态NFT市场MagicEden发推称，疑似存在一个SOL漏洞可以窃取Phantom钱包内资产。提醒用户进行以下设置保护资产：1.进入Phantom设置；2.受信任的应用程序；3.撤销任何可疑链接的权限。

[漏洞/一般] ACME 客户端证书获取过程中存在可执行任意代码/命令注入漏洞，且中国证书颁发机构 HiCA 在运行过程中滥用了

[漏洞/一般] ACME 客户端证书获取过程中存在可执行任意代码/命令注入漏洞，且中国证书颁发机构 HiCA 在运行过程中滥用了这个漏洞 处理 ACME 数据时，如果服务器返回的响应不是预期的 JSON 格式，而是其他任意内容，那么会将这些内容原样输出。在这种情况下，HiCA 利用这个特性，通过 Unicode 生成一个二维码，然后注入到 ACME 数据中。然后输出了一个二维码 据 Matt Holt 表示这是他知道的首次对 ACME 生态系统的公然滥用，同时担忧未来可能还会出现更多相同行为。他建议避免使用需要特定 ACME 客户端或有其他不寻常的限制/要求的证书颁发机构，并始终保持你的客户端最新 威胁：一般 ，但漏洞可远程执行 .sh 脚本，且需要使用者注意[实际的远程代码执行（RCE）威胁相对较低，因为用户需要明确配置一个违反 ACME 规定的恶意证书颁发机构] 处置建议：用户在配置 CA 时应避免使用未经信任或未经审核的 CA，并尽量不要使用未经审核的第三方客户端 注意：本次漏洞通报中没有直接证明 HiCA 存在恶意行为，且需要注意的是存在被第三方劫持的安全漏洞 相关链接：