网络安全研究人员披露了开源自托管版本控制平台 Gitea 中的一个安全漏洞，该漏洞允许未经过身份验证的远程攻击者无需账户、密码或其他凭证即可从 Gitea 部署实例中拉取私有容器镜像。该漏洞被追踪为 CVE-2026-27771（CVSS 评分：8.2），影响 1.26. 根据 Noscope 的说法，该安全缺陷可能影响分布在 30 多个国家的超过 3 万个部署实例，并且在近四年的时间里未被发现。绝大多数暴露实例位于美国、德国、法国和英国。受影响的组织涵盖医疗保健提供商、航空航天制造商、零售基础设施和互联网服务提供商。...

美国网络安全和基础设施安全局（CISA）要求美国联邦机构在四天内加固其服务器，以抵御 LiteSpeed cPanel 用户端插件中的一个关键漏洞，该漏洞目前已在攻击中被主动利用。 该漏洞被追踪为 CVE-2026-48172，是一个权限提升漏洞，与 Redis 启用/禁用功能处理不当有关，存在于 lsws.redisAble 函数中。漏洞源于错误的权限分配缺陷，使得没有权限的远程攻击者能够以 root 权限执行任意脚本。 LiteSpeed 在周四发布了紧急安全更新来解决该缺陷，并警告用户将 cPanel 用户端插件（与 WHM 插件捆绑）更新到最新版本。...

Novee 安全研究人员披露了 Pretalx 中的一个高危漏洞，Pretalx 是一个开源平台，为全球众多技术会议提供征稿（CFP）和日程安排服务。 该漏洞被追踪为 CVE-2026-41241，属于存储型 XSS 问题，允许任何已注册的会议演讲者植入恶意代码，一旦会议组织者搜索攻击者提交的内容，恶意代码就会悄悄执行。 该漏洞已在 Pretalx 2026.1.0 版本中修复。由于数十个知名技术会议共享同一个 Pretalx 代码库，单一攻击技术可以同时部署到所有实例上。恶意行为者可以向多个会议提交带有陷阱的演讲提案，等待组织者搜索他们的提交内容，然后无需进一步交互就能自动攻陷这些组织者的账户。...

黑客利用运行 KnowledgeDeliver 学习管理系统（LMS）的服务器中的一个关键零日漏洞，部署了 Godzilla Web Shell。 该缺陷是一个反序列化问题，被追踪为 CVE-2026-5426，可在无需身份验证的情况下被利用。其根源在于所有 KnowledgeDeliver 客户部署的 Web 门户配置中使用了共享的硬编码机器密钥（machine key）。 威胁行为者获取了机器密钥，并将其用于 ViewState 反序列化攻击，以签署恶意 ViewState 负载，从而实现操作系统级别的远程代码执行。...

Anthropic 表示，其 Claude Mythos 模型在超过 1,000 个开源软件（OSS）项目中发现了数千个严重漏洞。 据这家 AI 巨头称，Mythos Preview 已识别出超过 23,000 个潜在漏洞。其中，1,900 个已由外部安全公司审查，1,726 个已被确认，包括超过 1,000 个被评为“高危”或“严重”级别的漏洞。 这些发现仍在审查中，Anthropic 估计仅基于当前结果，将有近 3,900 个严重和高危漏洞被确认。随着扫描的持续进行，该公司认为严重漏洞的数量可能达到 6,200 个。...

OpenAI 表示，在近期影响数百个 npm 和 PyPI 软件包的 TanStack 供应链攻击中，两名员工的设备遭到入侵。作为预防措施，该公司已轮换其应用程序的代码签名证书。 在今日发布的安全公告中，OpenAI 称此次事件未影响客户数据、生产系统、知识产权或已部署的软件。 该公司表示，此次漏洞与 TeamPCP 勒索团伙近期发起的 “Mini Shai - Hulud” 供应链攻击活动有关，该活动通过在受信任的热门软件包中植入恶意更新，将开发者作为攻击目标。...

网络安全研究人员披露了多个影响 NGINX Plus 和 NGINX Open 的安全漏洞，其中包括一个长达 18 年未被发现的严重漏洞。 该漏洞由 depthfirst 发现，是一个影响 ngx_http_rewrite_module 的堆缓冲区溢出问题（CVE - 2026 - 42945，CVSS v4 评分：9.2），攻击者可利用此漏洞通过特制请求实现远程代码执行或造成拒绝服务（DoS）攻击。...

一名网络安全研究人员公布了针对两个未修复的微软 Windows 漏洞的概念验证（PoC）利用程序，这两个漏洞分别名为 YellowKey 和 GreenPlasma，其中 YellowKey 可绕过 BitLocker 加密，GreenPlasma 是一个权限提升漏洞。 这位名为 Chaotic Eclipse 或 Nightmare Eclipse 的研究人员称，BitLocker 绕过漏洞就像一个后门，因为存在漏洞的组件仅在 Windows 恢复环境（WinRE）中出现，该环境用于修复 Windows 系统的启动相关问题。...

周一，苹果发布了 11 份新的安全公告，告知用户其操作系统中已修复的数十个漏洞。 iOS 和 iPadOS 26.5 版本修复了 60 多个 CVE 漏洞，其中包括 20 个 WebKit 问题，这些问题可能导致系统崩溃、用户敏感数据泄露以及安全绕过。 其他漏洞可能被用于拒绝服务攻击、安全绕过、沙盒逃逸、访问用户敏感数据、权限提升以及用户追踪。...

cPanel 已发布更新，以修复 cPanel 和 Web 主机管理器（WHM）中的三个漏洞。这些漏洞若被利用，可能导致权限提升、代码执行以及拒绝服务攻击。 漏洞详情如下： CVE - 2026 - 29201（CVSS 评分：4.3）：在 “feature::LOADFEATUREFILE” 管理命令调用中，对功能文件名的输入验证不足，可能导致任意文件读取。...