HackerNews 编译，转载请注明出处：

黑客在Marimo开源响应式Python笔记本平台漏洞公开披露仅10小时后即开始利用。

...

HackerNews 编译，转载请注明出处：

广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。

...

HackerNews 编译，转载请注明出处：

Horizon3.ai报告，Apache ActiveMQ Classic中潜伏13年的远程代码执行（RCE）漏洞可与旧漏洞链接以绕过认证。

Apache ActiveMQ是开源消息和集成模式服务器，作为处理消息队列的中间件代理，广泛应用于众多行业。ActiveMQ Classic是该代理的原始版本。

新发现的漏洞编号CVE-2026-34197，允许攻击者通过Jolokia API调用管理操作，诱使代理检索远程配置文件并执行操作系统命令。

据Horizon3.ai称，该安全缺陷是CVE-2022-41678的绕过方案——该漏洞允许攻击者通过调用特定JDK MBean将Web shell写入磁盘。修复方案添加了一个标志，允许通过Jolokia调用每个ActiveMQ MBean的所有操作。代码执行问题出现在运行时设置代理间桥接的操作中。

然而，该漏洞的利用还需针对ActiveMQ的VM传输功能——该功能设计用于在应用程序内嵌入代理，导致客户端和代理在同一JVM内直接通信。

如果VM传输URI引用不存在的代理，ActiveMQ会创建一个，并接受指示其加载可能包含攻击者提供URL的配置参数。

通过链接这两种机制，攻击者可诱使代理检索并运行Spring XML配置文件，"实例化所有bean定义，导致远程代码执行"，Horizon3.ai表示。

该网络安全公司还指出，在某些部署中，可通过利用CVE-2024-32114实现无需认证的RCE——该漏洞将Jolokia API暴露给未经认证的用户。

"CVE-2024-32114是ActiveMQ 6.x中的独立漏洞，/api/*路径（包括Jolokia端点）被无意中从Web控制台的安全约束中移除。这意味着在ActiveMQ 6.0.0至6.1.1版本中，Jolokia完全无需认证，"Horizon3.ai解释。

新发现的安全缺陷已在ActiveMQ Classic 5.19.4和6.2.3版本中修复，建议用户尽快更新部署。

...

HackerNews 编译，转载请注明出处：

最新OpenSSL更新修复了七处漏洞，其中包括一个可导致敏感数据泄露的缺陷。

...

HackerNews 编译，转载请注明出处：

人工智能公司Anthropic宣布推出名为"Project Glasswing"的网络安全新计划，将使用其前沿模型Claude Mythos的预览版发现和修复安全漏洞。

...

HackerNews 编译，转载请注明出处：

Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。

...

HackerNews 编译，转载请注明出处：

黑客正在利用开源平台Flowise中的最高严重性漏洞CVE-2025-59528执行任意代码。Flowise用于构建自定义大语言模型应用和代理系统。

...

HackerNews 编译，转载请注明出处：

Cisco发布更新修复集成管理控制器（IMC）关键安全漏洞，成功利用可使未经认证的远程攻击者绕过认证，以提升权限访问系统。

...

HackerNews 编译，转载请注明出处：

一场大规模凭证收集行动被观察到利用React2Shell漏洞作为初始感染媒介，大规模窃取数据库凭证、SSH私钥、亚马逊云服务（AWS）密钥、shell命令历史、Stripe API密钥及GitHub令牌。

...

HackerNews 编译，转载请注明出处：

通过向 Claude 助手输入简单指令，发现 Vim 和 GNU Emacs 这两款文本编辑器存在漏洞，用户打开文件时就可能导致远程代码执行。

...