Meta被爆存在安全漏洞，可绕过双因素身份认证，Instagram 及Facebook受影响

Meta被爆存在安全漏洞，可绕过双因素身份认证，Instagram及Facebook受影响尼泊尔黑客GtmMänôz发现Meta账户中心在设置双重验证时没有尝试次数限制，因此攻击者可以暴力破解双重验证码，将受害者的电话号码/电子邮箱连接到其它Instagram或Facebook账户上(例外：无法在FB中添加已注册邮箱)，仅知道电话号码就可以关闭任何人的短信双重验证。理论上，鉴于目标不再启用双重验证，攻击者可以尝试通过网络钓鱼或其它手段获取密码然后接管受害者账户。Meta漏洞赏金官方称之为"2022年提交的最具影响力BUG之一"给予了GtmMänôz27200美元奖励。目前尚不清楚是否有人利用了这个漏洞。——

威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证等

威联通敦促用户尽快更新，其NAS产品存在漏洞：可绕过身份验证等https://www.ithome.com/0/754/654.htm：不正确的验证机制允许未经授权的用户通过网络（远程）破坏系统的安全性。：此漏洞可让通过身份验证的用户通过网络在系统上执行任意命令，可能导致未经授权的系统访问或控制。：此漏洞可让通过身份验证的管理员通过网络注入恶意SQL代码，从而破坏数据库的完整性并篡改其内容。

Thirdweb：发现多个智能合约存在安全漏洞

Thirdweb：发现多个智能合约存在安全漏洞12月5日消息，Web3开发工具平台Thirdweb在其官方博客中称，11月20日18:00发现多个Web3智能合约（包括Thirdweb的一些预构建智能合约）的常用开源库中存在安全漏洞，包括AirdropERC20（v1.0.3及更高版本），ERC721（v1.0.4及更高版本），ERC1155（v1.0.4及更高版本）等。除了智能合约受影响外，包括钱包、支付和基础设施服务，均未受到影响，正常运作。2022年8月，Thirdweb以1.6亿美元估值完成了2400万美元融资，由HaunVentures领投，CoinbaseVentures、Shopify、ProtocolLabs、Polygon、ShrugVC、亿万富翁JosephLacob等参投。