427 articles
Google Chrome 148.0.7778.168 修复了 CVE-2026-8543 和 CVE-2026-8541 —— 这两个高危的越界读取漏洞存在于 Mac 和所有平台上的 FileSystem 和 UI 组件中。
CVE-2026-8568 (CVSS 3.1) 允许攻击者在渲染器被破坏后通过 AI 功能绕过 Chrome 站点隔离;CVE-2026-8566 (CVSS 4.3) 针对 Android 支付。
Google 在 Chrome 148.0.7778.168 for Windows 中修复了 CVE-2026-8556(ANGLE 跨源泄露)和 CVE-2026-8550(Google Lens 用后释放)这两个漏洞。这两个缺陷都需要一个被破坏的渲染器。
CVE-2026-46356:未经身份验证的攻击者可以通过伪造 True-Client-IP 头来绕过 Fleet 的 API 速率限制,从而在暴露的实例上启用暴力破解登录尝试。
CVE-2026-44638:libsixel 1.8.7-r1 及之前版本在 sixeldecoderaw 和 sixel_decode 中由于 malloc 后错误的 NULL 检查导致 NULL 指针解引用。CVSS 2.5。
CVE-2026-44428 (CVSS 4.7) 在 MCP Registry 1.7.6 之前的版本中,允许攻击者在注册表实例之间重用被盗的 GitHub OIDC 令牌,使未授权的服务器发布和...
在未命名的医疗管理系统中存在CVE-2025-67437(CVSS 6.5),允许未经身份验证的密码重置,原因是权限设置不安全。尚未发布补丁。
Open WebUI 修复了 CVE-2026-45314(SVG XSS)、CVE-2026-45303(iframe脚本注入)和 CVE-2026-44567(待定角色认证绕过)——全部在自托管的AI平台上。
秘密暴雪将Kazuar发展为具有150个配置选项的模块化P2P僵尸网络,绕过AMSI/ETW,并拥有静音模式节点。微软详细介绍了三模块架构。
CVE-2025-14972: Silicon Labs SixG301xxx 设备在 SYMCRYPTO 引擎中使用非随机 DPA 反制措施,使得密钥恢复成为可能。影响 KSU 密钥。
CVE-2026-44671 (CVSS 7.5): ZITADEL 身份平台未能在 LDAP 过滤器中转义用户名,允许未认证攻击者在登录期间注入任意过滤器逻辑。
CVE-2026-44504: Aegra 在 0.9.7 版本之前允许经过身份验证的攻击者通过跨租户IDOR读取检查点状态并向其他用户的线程注入消息。补丁已可用。
