【慢雾：有黑客组织利用Calendly的功能插入恶意链接发起钓鱼攻击】

【慢雾：有黑客组织利用Calendly的功能插入恶意链接发起钓鱼攻击】 近期，慢雾安全团队发现有黑客组织利用Calendly的功能，使用“添加自定义链接”在事件页面上插入恶意链接发起钓鱼攻击。Calendly 是一款非常受欢迎的免费日历应用程序，用于安排会议和日程，通常被组织用于预约活动或发送即将到来的活动的邀请。黑客组织通过 Calendly 发送恶意链接与大多数受害者的日常工作背景很好地融合在一起，因此这些恶意链接不容易引起怀疑，受害者容易无意中点击恶意链接，在不知觉中下载并执行恶意代码，从而遭受损失。 慢雾安全团队提醒大家在使用 Calendly 的时候，如果发现界面上有链接，请注意识别链接的来源和域名，避免遭受攻击。可以在点击链接之前将鼠标移到文本上方，此时在浏览器的左下方会展示文本对应的链接地址，在点击之前请仔细核对好链接地址，避免访问到钓鱼链接。 快讯/广告 联系 @xingkong888885

WordPress 插件 ACF 被曝高危漏洞

WordPress 插件 ACF 被曝高危漏洞 Advanced Custom Fields（ACF）是一款使用频率较高的 WordPress 插件，已在全球超过 200 万个站点安装，近日曝光该插件存在 XSS（跨站点脚本）的高危漏洞。 ACF 的这个 XSS 漏洞允许网站在未经站长允许的情况下，未授权用户潜在地窃取敏感信息。 恶意行为者可能会利用插件的漏洞注入恶意脚本，例如重定向、广告和其他 HTML 有效负载。如果有用户访问被篡改的网站之后，用户设备就会感染并执行恶意脚本。目前官方已经发布了 6.16 版本更新，修复了上述漏洞。 来源 ， 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

【CMS Strapi：攻击者可利用漏洞接管Admin帐户等权限】

【CMS Strapi：攻击者可利用漏洞接管Admin帐户等权限】 4月23日消息，慢雾研究员 IM_23pds 发推表示，开源无头 CMS Strapi 发布安全提醒，攻击者可以利用已知漏洞接管 Admin 账户或 RCE 接管服务器权限。虚拟货币行业有大量项目方使用此产品，请立即升级。

【慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险】

【慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险】 据慢雾区消息，Honeyswap官方推特发文，Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官网仍未删除该恶意地址，请立即停止使用Honeyswap进行交易，到revoke.cash排查是否有approvals 交易到恶意地址，避免不必要的损失。