HackerNews 编译，转载请注明出处： 黑客在Marimo开源响应式Python笔记本平台漏洞公开披露仅10小时后即开始利用。 该漏洞编号CVE-2026-39987，GitHub评分9.3（满分10分），允许在Marimo 0.20.4及更早版本中无需认证执行远程代码。...

HackerNews 编译，转载请注明出处： 广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。 微软Defender安全研究团队今日发布的报告中表示："该缺陷允许同一设备上的应用绕过安卓安全沙箱，获取私有数据的未授权访问。"...

Horizon3.ai报告，Apache ActiveMQ Classic中潜伏13年的远程代码执行（RCE）漏洞可与旧漏洞链接以绕过认证。
Apache ActiveMQ是开源消息和集成模式服务器，作为处理消息队列的中间件代理，广泛应用于众多行业。ActiveMQ Classic是该代理的原始版本。...

HackerNews 编译，转载请注明出处： 最新OpenSSL更新修复了七处漏洞，其中包括一个可导致敏感数据泄露的缺陷。 该数据泄露问题编号CVE-2026-31790，评级为"中等严重性"，影响使用RSASVE密钥封装建立秘密加密密钥的应用程序。问题在于OpenSSL有时未能正确验证加密是否成功，但仍可能返回"成功"消息，将未初始化内存缓冲区的数据暴露给攻击者。...

HackerNews 编译，转载请注明出处： 人工智能公司Anthropic宣布推出名为"Project Glasswing"的网络安全新计划，将使用其前沿模型Claude Mythos的预览版发现和修复安全漏洞。 该模型将由包括AWS、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达和Palo Alto Networks在内的少数组织使用，共同保护关键软件。...

HackerNews 编译，转载请注明出处： Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。 该漏洞编号CVE-2026-0740，目前正遭攻击利用。据WordPress安全公司Defiant称，其Wordfence防火墙过去24小时已拦截超过3600次攻击。...

HackerNews 编译，转载请注明出处： 黑客正在利用开源平台Flowise中的最高严重性漏洞CVE-2025-59528执行任意代码。Flowise用于构建自定义大语言模型应用和代理系统。 该漏洞允许在无任何安全检查的情况下注入JavaScript代码，去年9月公开披露时警告称，成功利用可导致命令执行和文件系统访问。...

HackerNews 编译，转载请注明出处： Cisco发布更新修复集成管理控制器（IMC）关键安全漏洞，成功利用可使未经认证的远程攻击者绕过认证，以提升权限访问系统。 该漏洞编号CVE-2026-20093，CVSS评分9.8（满分10.0）。...

HackerNews 编译，转载请注明出处： 一场大规模凭证收集行动被观察到利用React2Shell漏洞作为初始感染媒介，大规模窃取数据库凭证、SSH私钥、亚马逊云服务（AWS）密钥、shell命令历史、Stripe API密钥及GitHub令牌。 Cisco Talos将该行动归因于其追踪的威胁集群UAT-10608。活动已入侵至少766台主机，横跨多个地理区域和云服务提供商。...

HackerNews 编译，转载请注明出处： 通过向 Claude 助手输入简单指令，发现 Vim 和 GNU Emacs 这两款文本编辑器存在漏洞，用户打开文件时就可能导致远程代码执行。 Claude 助手不仅创建了多个版本的概念验证（PoC）利用代码，还对其进行了优化，并针对这些安全问题提供了解决建议。...