Gogs 已修复一个严重的安全零日漏洞，该漏洞允许攻击者入侵面向互联网的实例并访问任何代码仓库（包括私有仓库）。 这个参数注入漏洞尚未分配 CVE ID，只能被没有管理员权限的已认证攻击者利用，影响所有 Gogs 0.14.2 及以下版本和 0.15.0+dev 版本。 攻击者可利用该漏洞入侵目标服务器，读取任何代码仓库（包括私有仓库），窃取凭据，横向移动到网络上的其他系统，并篡改任何托管的源代码。...

Google 周一宣布推出 Chrome 149 更新，修复了 74 个漏洞，其中包括一个已在野外被利用的零日漏洞。 该被利用的漏洞编号为 CVE-2026-11645，被描述为 V8 中的一个高危越界读/写问题，允许远程攻击者通过特制的 HTML 页面在沙箱内执行任意代码。 目前没有关于利用 CVE-2026-11645 的攻击细节，但威胁行为者很可能将其与沙箱逃逸漏洞进行了链式利用。...

WhatsApp 在调查用户报告的社会工程攻击后，检测并阻止了据称由 NSO Group 发起的鱼叉式钓鱼活动。 NSO Group 是一家以色列商业间谍软件供应商，以其先进的“Pegasus”工具而闻名，该工具曾被用于针对政界人士、活动人士、记者、学者及其他“高价值”个人。 自 2021 年 11 月以来，该公司因向外国政府提供被用于针对美国境内个人和组织的软件产品，一直被列入美国制裁实体名单。NSO 的工具也曾被一些被视为压制性的政权使用，用于针对其境外的异见人士。...

黑客在 PyPI 上入侵了 19 个软件包，这些包累计下载量达数十万次。这是一次新的 Shai-Hulud 供应链攻击，旨在分发窃取开发者机密的恶意软件。 许多受感染的包是流行的生物信息学工具，例如 Dynamo、Spateo、CoolBox、U-FISH 和 Napari-UFISH。 应用安全公司 Socket 发现了此次新活动，该活动涉及 19 个包的 37 个恶意发布版本，这些包似乎来自同一个维护者。...

Check Point 警告称，一个影响 Remote Access VPN 和 Mobile Access 部署的严重漏洞正遭到活跃利用，这些部署配置使用了已弃用的 IKEv1 密钥交换协议。 该漏洞编号为 CVE-2026-50751（CVSS 评分：9.3），是证书验证中的逻辑流缺陷，允许未经身份验证的远程攻击者绕过用户身份验证，在无需有效用户密码的情况下建立远程访问 VPN 连接。...

美国网络安全和基础设施安全局（CISA）周一将影响 BerriAI LiteLLM 的一个高危漏洞添加到其已知被利用漏洞（KEV）目录中，并引用了活跃利用的证据。 该漏洞编号为 CVE-2026-42271（CVSS 评分：8.7），是一个命令注入漏洞，可能允许任何经过身份验证的用户在主机上执行任意命令。 它影响以下版本的 LiteLLM Python 包：...

科技巨头东芝和大型零售商无印良品警告访客，其网站上出现的可疑登录弹窗可能会窃取用户凭证。 这两家日本公司均建议在认证界面中输入了账户登录信息的用户立即更改密码，以保护其服务账户安全。 这些登录弹窗由托管在 polyfill[.]io 的外部服务生成。该服务于 2024 年在其 CDN 分发的脚本中引入了恶意代码。...

黑客正在积极利用 Everest Forms Pro 插件中的一个关键漏洞（CVE-2026-3300），该漏洞可让他们完全控制 WordPress 网站。 该安全问题影响插件 1.9.12 及更早版本，无需身份验证即可被利用，在服务器上执行任意代码。 Everest Forms Pro 是 WordPress 表单构建插件 Everest Forms 的商业附加组件。它用于创建联系表单、注册表单、支付表单以及其他自定义应用表单。...

根据网络安全公司 Mandiant 的一份最新报告，Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和专业服务组织发起社会工程攻击，往往在初次接触后数小时内就完成数据窃取。 这份报告发布之前，FBI 上周发布了一份 FLASH 通告，警告称 Silent Ransom Group 正针对美国律师事务所进行社会工程攻击，甚至是现场数据窃取攻击。Mandiant 现在提供了有关入侵如何实施的更多技术细节。...

思科周四向客户通报，其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用的该类漏洞。 该新漏洞编号为 CVE-2026-20245，影响 Cisco Catalyst SD-WAN Manager 的命令行界面（CLI），目前思科尚未发布补丁。 拥有合法身份认证的本地攻击者可通过特制文件利用该漏洞，以 root 权限执行任意命令。...