HackerNews 编译，转载请注明出处： TP-Link 已针对旗下 Archer BE230 Wi-Fi 7 路由器发布紧急固件更新，修复多款高危安全漏洞. 这些漏洞可使经过身份验证的攻击者执行任意操作系统（OS）命令，从而完全掌控设备管理权。...

Zoom 已修复一个严重安全漏洞（编号 CVE-2026-22844），该漏洞可能导致远程代码执行。 云端视频会议与在线协作平台 Zoom 发布了安全更新，修复了多个漏洞，其中包括存在于 Zoom Node 多媒体路由器中的命令注入漏洞。该漏洞编号为 CVE-2026-22844，CVSS 评分高达 9.9，攻击者可借此在远程执行任意代码。 Zoom 在安全公告中表示：...

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了影响开源自托管平台 Coolify 的多个高危安全漏洞的详细信息，这些漏洞可能导致身份验证绕过和远程代码执行。 漏洞列表如下：

CVE-2025-66209 (CVSS评分: 10.0) - 数据库备份功能中的命令注入漏洞，允许任何具有数据库备份权限的已认证用户在主机服务器上执行任意命令，导致容器逃逸和服务器完全被入侵。
CVE-2025-66210 (CVSS评分: 10....

日本网络安全应急响应中心（JPCERT/CC）本周发布警报称，Array Networks AG 系列安全接入网关存在的命令注入漏洞，自 2025 年 8 月起已被黑客在实际攻击中利用。 该漏洞暂未分配 CVE 编号，Array 公司已于 2025 年 5 月 11 日推出修复方案。漏洞根源在于 Array 的远程桌面访问解决方案 DesktopDirect，该功能允许用户从任意位置安全访问工作电脑。 JPCERT/CC 表示：“利用此漏洞，攻击者可执行任意命令。启用了提供远程桌面访问的‘DesktopDirect’功能的系统，均会受到该漏洞影响。”...

网络安全研究人员披露了热门工具 figma-developer-mcp（模型上下文协议，MCP）服务器中一个现已修复的漏洞。该漏洞可能使攻击者实现代码执行。 此漏洞编号为 CVE-2025-53967，CVSS 评分为 7.5，属于命令注入漏洞，根源在于对用户输入未进行安全处理，从而为攻击者发送任意系统命令打开了方便之门。 该漏洞的 GitHub 安全公告指出：“服务器会直接将未经验证的用户输入嵌入到命令行字符串中，进而构造并执行 Shell 命令。这使得 Shell 元字符注入（如 |、>、&& 等）成为可能。成功利用该漏洞可导致攻击者以服务器进程的权限执行远程代码。”...

HackerNews 编译，转载请注明出处： 黑客正积极利用热门TP-Link路由器中的漏洞发动攻击，这些路由器在亚马逊上拥有数万条用户评价。美国网络监管机构紧急呼吁用户停用无法获得安全更新的旧款路由器型号。 美国网络安全与基础设施安全局（CISA）已将TP-Link的一处命令注入漏洞添加到其“已知被利用漏洞目录”中。尽管该漏洞两年前已被发现，但此次目录更新表明网络犯罪分子近期正积极利用此漏洞实施攻击。...