427 articles
CISA 将 CVE-2024-57728 添加到已知被利用漏洞列表:通过 zip slip 的 SimpleHelp 路径遍历允许管理员用户上传任意文件并执行代码。截止日期为 2026 年 5 月 8 日。
CISA 将 CVE-2025-2749 添加到 KEV 目录:Kentico Xperience 路径遍历允许经过身份验证的 Staging Sync Server 上传任意文件。联邦机构截止日期:2026年5月4日。
CVE-2026-8741 (CVSS 3.1) 允许远程利用 EMQX 的 QoS 2 发布数据包处理器中的竞态条件,影响所有版本至 6.2.0。
一名攻击者使用被泄露的GitHub令牌下载了Grafana的整个私有代码库。公司表示没有客户数据被访问,该事件涉及勒索...
CVE-2021-47942(CVSS 7.5)在Home Assistant Community Store 1.10.0中允许未经身份验证的攻击者通过/hacsfiles/遍历读取.storage/auth文件,伪造JWT令牌,并获取...
CVE-2026-8743(CVSS 6.5)在 Open5GS 版本 2.7.6 及以下版本中,远程攻击者可以通过 AMF/MME ranuefindbyamfuengap_id 函数绕过授权。漏洞利用已公开。
CVE-2026-8731(CVSS 4.3)在Open5GS版本2.7.7及以下版本中,允许远程攻击者通过NRF组件的SBI客户端_pool参数触发拒绝服务。漏洞利用代码已公开。
Google Project Zero 发现了一个 Pixel 10 VPU 驱动程序缺陷,允许用户空间映射任意物理内存,包括内核映像。利用需要 5 行代码。
CVE-2026-8738 (CVSS 6.5) 在 Sanluan PublicCMS 5.202506.d 中允许远程攻击者通过 TradeOrderController.pay 中的业务逻辑错误操纵交易支付流程。
AI代理现在自主发现并利用不为人知漏洞,同时AI生成的代码使漏洞泛滥成灾。防御者必须适应代理规模的威胁。
Avada Builder(超过100万安装量)中的 CVE-2026-4782 和 CVE-2026-4798 允许攻击者读取 wp-config.php 并提取数据库哈希值。请更新至版本 3.15.3。
在 Windows 上的 Chrome 148 中的 CVE-2026-8573 (CVSS 8.3) 和 CVE-2026-8577 (CVSS 8.8) 允许通过精心制作的视屏或 HTML 页面进行沙箱逃逸和 RCE。立即更新。
