漏洞详情：近期，研究人员披露了现代和创世纪汽车的一个关键漏洞，这个API漏洞可以远程控制汽车。

漏洞危害：在车辆门户网站上进行有效的注册后，可以调整电子邮件地址，然后可以使用“假的”电子邮件发布JWT。因此，只需了解用户的电子邮件，攻击者就可以欺骗登录，并获得允许完全访问车辆的令牌。

影响范围：该漏洞能够远程控制2012年后制造的车辆的锁、发动机、喇叭、大灯和后备箱。

漏洞详情：Algolia成立于2012年，为网站及APP的开发者提供搜索功能接口，可以提供发现和推荐功能，用户超过11万。新加坡网络安全公司CloudSEK研究人员发现其有1,550个移动APP，会泄露Algolia API密钥，让内部服务的敏感信息和存储的用户信息有泄露的风险。

漏洞危害：组织可以随意使用Algolia有问题的API，将搜索、发现和推荐等功能整合到其应用程序中。该API被超过11,000家公司使用，有问题的应用程序的下载量超过250万次，这可能使其用户数据受到恶意的攻击。黑客可利用这些漏洞读取用户信息（包括 IP 地址、访问详细信息和分析数据），或删除用户信息。

漏洞详情：新德里网络安全研究人员，在Shopify应用程序编程接口（API）的密钥中发现了一个严重的安全漏洞，超过400万手机用户的敏感数据面临被黑客攻击的风险。如果攻击者获得了硬编码密钥的访问权限，他们就可以访问相关敏感数据或进行程序执行操作。

漏洞危害：网络安全公司CloudSEK旗下的BeVigil（移动应用安全搜索引擎）发现了这一漏洞，该漏洞使400多万移动客户的个人身份信息（PII）面临潜在威胁。在数以百万的安卓应用程序中，有21个电子商务应用程序被识别出有22个硬编码的Shopify API密钥，任何有权访问该代码的人都可以看到该密钥。

漏洞详情：很多企业都将WAFs 作为安全支柱，但WAFs远达不到完美，研究人员和攻击人员能通过很多种方式绕过它们。在安全更新之前，使用基于JSON的黑客攻击可以绕过WAF的保护，以试图窃取数据。

漏洞危害：研究人员提到，Amazon Web Services、Cloudflare、F5、Imperva 和 Palo Alto公司，均未能识别出JSON 格式中向后端数据库提出的恶意SQL命令请求。这几家领先供应商的WAF在其SQL注入检查过程中未能支持JSON语法，这使得来自Claroty的Team82的安全研究人员能够将JSON语法添加到SQL语句中，从而使WAF无法检测这些恶意代码。