排序
【深度揭秘】藏在收款机里的“特洛伊木马”:CVE-2026-4583 漏洞如何反向接管你的电脑?
导语: 你可能认为,一个简单的蓝牙收款机最多只能导致支付欺诈。但最新的安全研究揭示了一个惊人的事实:通过一个名为 M6Plus 的移动支付终端,攻击者可以利用一个低级但致命的协议漏洞,直接...
1个月前【视频】CVE-2026-32746,CVSS 评分高达 9.8
安全研究团队(Dream Security)近期公开了 GNU InetUtils telnetd 服务的一个底层缓冲区溢出漏洞。该漏洞被追踪为 CVE-2026-32746,CVSS 评分高达 9.8。它允许攻击者在无需登录的情况下,...
1个月前攻击者利用 Outlook 365 漏洞强制截获 NTLM 哈希
1个月前GIF 账户接管漏洞演示视频(PoC)。
GIF 账户接管漏洞(GIF Account Takeover) 通常是指由于 Web 应用在处理 GIF 图片(或通过图片上传/解析组件)时,存在逻辑缺陷或安全配置不当,导致攻击者可以通过诱导受害者加载一张“特制”...
1个月前从沙箱逃逸到系统主宰:解析 2026 年首个重大 Windows 内核提权漏洞
1. 攻击入口:\Device\Afd 的句柄操纵 在 Windows 中,所有对 afd.sys 的操作都通过打开 \Device\Afd 设备句柄完成。 深度细节:攻击者并不直接调用 socket(),而是通过 NtCreateFile 直接获取 ...
1个月前新漏洞!iOS 18.3/18.5 Filza 文件管理器,实测有效
DarkSword 漏洞利用,确定可以使用 Filza 文件管理器。关于 DarkSword 漏洞能力,想必大家都知道,内置多个漏洞的利用包,其中就包括内核漏洞,意味着有能力获取读写,支持范围在 iOS 15.0 至 i...
1个月前FortiClient EMS 预身份验证 SQL 注入漏洞 (CVE-2026-21643)
近期,Fortinet 旗下的终端安全管理系统 FortiClient EMS 被曝存在一个极其严重的 SQL 注入漏洞。该漏洞允许攻击者在无需任何身份验证的情况下,远程执行恶意 SQL 命令,甚至控制底层服务器。 &...
1个月前AI漏洞演示:从路径遍历到 Root 夺权 —— Langflow CVE-2026-5027 漏洞全解析
1. 漏洞背景:AI 工作流中的“后门” 在 2026 年 3 月底,流行的开源 AI 编排工具 Langflow 被曝出存在高危漏洞(CVE-2026-5027,CVSS 评分 8.8)。该漏洞隐藏在 POST /api/v2/files 接口中...
1个月前AI程序漏洞演示:CVE-2026-22812 (OpenCode RCE)【暗网卧底给的视频】一会删除
1. 漏洞核心:不设防的本地服务器 OpenCode 在运行时会自动启动一个本地 HTTP 服务器,用于处理 AI 代理与系统终端之间的交互。 根本原因:该服务器在设计上完全缺失了身份验证机制(CWE-306...
1个月前【工具武器化】软件供应链的信任坍塌:安全工具成致命武器
2026年3月19日,黑客组织TeamPCP在安全扫描工具Trivy的GitHub上嵌入了代码,窃取了扫描仪和自动化任务中的凭证。在短短一周内,以教科书般的精准操作,将两个本应守护数字世界的安全工具——漏...
1个月前【零点击威胁】你的手机可能因一张动图被“夺权”:邪恶的贴纸
安全研究人员披露了即时通讯应用Telegram中的一个高危漏洞。该漏洞允许攻击者通过发送特制的动画贴纸,在无需目标用户任何交互的“零点击”条件下,远程执行代码并完全控制受害者的设备。该漏洞...
1个月前OpenClaw又又又危!Axios npm被投毒,植入全平台木马
今日,Axios这个年下载量超36亿、JavaScript 生态最核心的依赖之一,在 npm 仓库遭遇供应链投毒。相关风险已传导至OpenClaw,在北京时间3月31日8:00-12:00期间正常安装使用OpenClaw时,会因上游...
2个月前