最新文章

Top News

15 年历史的 Linux 漏洞"GhostLock"为研究人员赢得 Google 9.2 万美元奖金

Nebula Security 已发布针对一个 Linux 内核漏洞的技术信息和利用代码,该漏洞自 2011 年起影响所有主流发行版。该漏洞编号为 CVE-2026-43499,被称为 GhostLock,是在 Linux 2.6.39 中引入的,在内核中潜伏了 15 年,直到今年 4 月才发布补丁。 消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...

严重漏洞暴露 GitHub Agentic Workflows 面临提示注入风险

Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允许未经认证的攻击者泄露私有仓库数据。GitHub Agentic Workflows 允许用户使用 markdown 文件以自然语言编写工作流, 消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...

Google Dialogflow CX 漏洞可让攻击者劫持 AI 对话

Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者悄无声息地控制代理、操纵对话并窃取敏感信息。Dialogflow CX 是一个企业级对话式 AI 平台,允许组织构建复杂的虚拟代理和聊天机器人, 消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...

研究人员警告:严重 Gitea 漏洞正被积极利用

威胁行为者正在利用 Gitea 反向代理认证机制中的一个漏洞,仅需提供一个有效用户名即可访问互联网可访问的实例。Sysdig 威胁研究高级总监 Michael Clark 表示,该严重性安全缺陷特定于 Gitea 的官方 Docker 镜像,编号为 CVE-2026-20896(CVSS 评分 9. 消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...

新的 Januscape Linux 漏洞允许在 Intel 和 AMD 设备上实现虚拟机逃逸

一个名为 Januscape 的 16 年历史的 Linux 内核漏洞,允许攻击者逃逸虚拟机并在宿主机上执行任意代码。据发现该漏洞的安全研究员 Hyunwoo Kim 称,这个客户机到宿主机的逃逸漏洞(编号 CVE-2026-53359)源于 KVM/x86(为 x86 和 x86_64/AMD64 消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...

最高严重级别的 Adobe ColdFusion 漏洞现已在攻击中被利用

根据漏洞情报公司 KEVIntel 的消息,攻击者现在正在利用一个最高严重级别的 Adobe ColdFusion 漏洞,编号为 CVE-2026-48282。ColdFusion 是一个商业 Web 应用开发平台,旨在帮助构建和部署企业级网站。 消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...

FatFs 中的七个漏洞使 IoT 和嵌入式设备面临风险

runZero 在 FatFs 中发现了 7 个漏洞,FatFs 是用于 IoT 和嵌入式设备的文件系统。这些漏洞可通过精心制作的存储介质导致内存损坏、崩溃或数据泄露。网络安全公司 runZero 披露了 FatFs 中的七个漏洞。FatFs 是一个紧凑的开源库, FatFs 由一位开发者维护。runZero 多次尝试联系维护者,并让 JPCERT/CC 参与了协调过程。两次努力均未得到回应。对于七个 CVE 中的六个,没有上游补丁。唯一可用的修复是 R0.16 中解决的 GPT 扫描问题,即使如此,也需要下游供应商更新其 vended 副本。...

Cursor AI 代码编辑器严重漏洞可导致操作系统级远程代码执行

Cato Networks 报告称,流行 AI 代码编辑器 Cursor 中的两个严重漏洞可能导致在底层操作系统上执行远程代码。这些安全缺陷被追踪为 CVE-2026-50548 和 CVE-2026-50549(CVSS 评分 9.8),被称为 DuneSlide, 消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...

嵌入数百万设备中的文件系统被披露存在未修补漏洞

安全公司 runZero 披露了 FatFs 中的七个漏洞。FatFs 是一个小型文件系统库,允许设备读写 USB 驱动器和 SD 卡上使用的 FAT 和 exFAT 格式。这些漏洞之所以重要,是因为 FatFs 几乎无处不在。 难点在于:FatFs 由一位开发者在互联网的一个小角落维护,runZero 表示他们多次尝试联系该维护者,并联系了日本的 JPCERT/CC 协调中心,但均未得到回应。根据 runZero 的说法,内存损坏漏洞没有上游修复方案,没有安全邮件列表,...

CISA:Microsoft SharePoint RCE 漏洞现已被积极利用

美国网络安全和基础设施安全局(CISA)周三警告称,攻击者已开始利用一个高危的 Microsoft SharePoint 远程代码执行漏洞。该安全缺陷被追踪为 CVE-2026-45659,源于对不可信数据的反序列化弱点,它允许具有低权限的攻击者在低复杂度、无需用户交互的攻击中, 消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文...