OpenAI 表示，在近期影响数百个 npm 和 PyPI 软件包的 TanStack 供应链攻击中，两名员工的设备遭到入侵。作为预防措施，该公司已轮换其应用程序的代码签名证书。 在今日发布的安全公告中，OpenAI 称此次事件未影响客户数据、生产系统、知识产权或已部署的软件。 该公司表示，此次漏洞与 TeamPCP 勒索团伙近期发起的 “Mini Shai - Hulud” 供应链攻击活动有关，该活动通过在受信任的热门软件包中植入恶意更新，将开发者作为攻击目标。...

网络安全研究人员披露了多个影响 NGINX Plus 和 NGINX Open 的安全漏洞，其中包括一个长达 18 年未被发现的严重漏洞。 该漏洞由 depthfirst 发现，是一个影响 ngx_http_rewrite_module 的堆缓冲区溢出问题（CVE - 2026 - 42945，CVSS v4 评分：9.2），攻击者可利用此漏洞通过特制请求实现远程代码执行或造成拒绝服务（DoS）攻击。...

一名网络安全研究人员公布了针对两个未修复的微软 Windows 漏洞的概念验证（PoC）利用程序，这两个漏洞分别名为 YellowKey 和 GreenPlasma，其中 YellowKey 可绕过 BitLocker 加密，GreenPlasma 是一个权限提升漏洞。 这位名为 Chaotic Eclipse 或 Nightmare Eclipse 的研究人员称，BitLocker 绕过漏洞就像一个后门，因为存在漏洞的组件仅在 Windows 恢复环境（WinRE）中出现，该环境用于修复 Windows 系统的启动相关问题。...

周一，苹果发布了 11 份新的安全公告，告知用户其操作系统中已修复的数十个漏洞。 iOS 和 iPadOS 26.5 版本修复了 60 多个 CVE 漏洞，其中包括 20 个 WebKit 问题，这些问题可能导致系统崩溃、用户敏感数据泄露以及安全绕过。 其他漏洞可能被用于拒绝服务攻击、安全绕过、沙盒逃逸、访问用户敏感数据、权限提升以及用户追踪。...

cPanel 已发布更新，以修复 cPanel 和 Web 主机管理器（WHM）中的三个漏洞。这些漏洞若被利用，可能导致权限提升、代码执行以及拒绝服务攻击。 漏洞详情如下： CVE - 2026 - 29201（CVSS 评分：4.3）：在 “feature::LOADFEATUREFILE” 管理命令调用中，对功能文件名的输入验证不足，可能导致任意文件读取。...

周四，Ivanti 发布了 2026 年 5 月针对 Endpoint Manager Mobile（EPMM）产品的安全更新，修复了五个漏洞，其中包括一个在针对性攻击中被利用的零日漏洞。 这个被利用的漏洞编号为 CVE - 2026 - 6973，属于高危的输入验证不当问题，已认证且具备管理员权限的攻击者可利用该漏洞进行远程代码执行。 Ivanti 表示，知晓 “极少数客户” 成为利用 CVE - 2026 - 6973 漏洞攻击的目标。...

安全研究人员披露了 Linux 内核中一个尚未修复的新漏洞，代号为 “Dirty Frag”。该漏洞可让无特权的本地用户在大多数主流 Linux 发行版上获取完全的 root 权限， “Dirty Frag” 与 “Dirty Pipe” 系列漏洞相关，但独立于 “复制失败”（Copy Fail）缓解措施，这意味着已应用 algif_aead 黑名单的系统仍完全暴露在风险中。...

消息来源：thehackernews.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

消息来源：securityaffairs.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

消息来源：thehackernews.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...