427 articles
威胁行为者在 2026 年 4 月 30 日将恶意版本的 PyTorch Lightning 2.6.2 和 2.6.3 推送到 PyPI,通过一个拼写错误的依赖项 —— Aikido Security, Socket… 窃取凭证。
据卡巴斯基称,Silver Fox 团伙冒充税务机关,向俄罗斯和印度的组织分发 ValleyRAT 和新的 ABCDoor 后门。
假基站发送诈骗短信;OpenEMR漏洞暴露患者数据;600,000个Roblox账户通过凭证填充被黑客攻击。网络威胁的繁忙一周。
亚当·卡萨迪,特朗普选择领导国务院网络和数字政策局的人选,以17-5的票数通过了参议院委员会投票,现在将进行全体投票。
谷歌和Mozilla发布Chrome 147和Firefox 150以修复关键和高严重性的漏洞,这些漏洞允许任意代码执行。用户被敦促立即更新。
CISA 将 CVE-2024-1708(ConnectWise ScreenConnect 路径遍历,CVSS 8.4)和一个未命名的 Windows 漏洞添加到其 KEV 目录,基于确认的积极利用。
CVE-2026-41940:未经认证的远程攻击者可以绕过 cPanel & WHM 和 WP Squared 的认证。CVSS 9.8。补丁于 2026 年 4 月 28 日发布。
CVE-2026-25874 (CVSS 9.3) 在 Hugging Face LeRobot 中通过不安全的反序列化启用未经认证的 RCE。
欧洲委员会发现Meta违反了数字服务法案,未能保护Facebook和Instagram上13岁以下的未成年人 —— 风险未被评估或减轻。
CVE-2026-3854(CVSS 8.7)允许具有推送权限的认证用户通过精心制作的git推送命令在GitHub.com和GitHub Enterprise Server上实现远程代码执行。
CVE-2026-35230: VirtualBox 的 SoundBlaster 16 模拟中存在竞态条件,允许具有高权限的本地攻击者提升权限。CVSS 7.5。
谷歌Project Zero发布了一份2017年的草案,详细描述了CVE-2017-3558,这是一个VirtualBox VM逃逸漏洞,允许主机用户空间被破坏。没有发布新的漏洞代码。
