427 articles
信息专员办公室(ICO)对南斯塔福德郡水务公司罚款963,900英镑,因为Cl0p勒索软件团伙泄露了663,887名客户的数据 —— 钓鱼攻击未被检测到长达20个月。
West Pharmaceutical Services 在 5 月 4 日遭受勒索软件攻击并发生数据泄露后,全球系统下线。Unit 42 正在调查;可能已支付赎金。
Specops Software 解释了缓存凭证、Kerberos 票据和 ACL 持久性如何让攻击者在 AD 和混合 Entra ID 环境中的密码重置后存活下来。
Angular 表达式 <1.5.2 中的 CVE-2026-44643 允许攻击者通过恶意过滤器表达式逃离沙箱,在系统上执行任意代码。
Casdoor 的本地文件系统存储提供商 CVE-2026-6815 允许经过身份验证的管理员遍历路径以在沙箱外部写入任意文件。目前还没有补丁。
CVE-2026-6093:Corteza 的 MSSQL 后端存在 SQL 注入漏洞,允许未经身份验证的攻击者通过 Compose 记录元字段过滤器提取数据库内容。
CVE-2026-6433: Custom css-js-php 插件 ≤2.0.7 中存在未经认证的 SQL 注入漏洞,允许攻击者通过 eval() 执行任意 PHP 代码。目前没有补丁可用。
CVE-2025-61314: GmbH Mecury 管理打印服务 docuForm v11.11c 允许攻击者通过 dfm-menu_orderopt.php 中的精心构造的有效载荷执行任意 JS。
CVE-2025-65417: 在 docuFORM 管理打印服务客户端 11.11c 中存在一个反射型 XSS 漏洞,允许未经身份验证的攻击者通过登录页面执行任意脚本。
CVE-2026-5084: WebDyne::Session 通过 2.075 为 Perl 生成会话 ID,使用 rand() 种子的 MD5 哈希,使得会话预测和劫持成为可能。
CVE-2026-7813(CVSS 9.9)在 pgAdmin 4 服务器模式中允许经过身份验证的用户通过猜测对象ID来访问其他用户的私有服务器、组和调试器数据。
CVE-2026-8273 (CVSS 5.8) 在 D-Link DNS-320 2.06B01 中允许通过 system_mgr.cgi 中的多个 CGI 端点进行远程操作系统命令注入。目前没有补丁可用。
