排序
【零点击威胁】你的手机可能因一张动图被“夺权”:邪恶的贴纸
安全研究人员披露了即时通讯应用Telegram中的一个高危漏洞。该漏洞允许攻击者通过发送特制的动画贴纸,在无需目标用户任何交互的“零点击”条件下,远程执行代码并完全控制受害者的设备。该漏洞...
1个月前Payouts King勒索软件利用QEMU隐藏虚拟机绕过安全检测
Sophos安全研究人员发现Payouts King勒索软件组织使用QEMU开源虚拟机在受感染主机上构建隐藏Linux环境,从虚拟机内执行勒索和数安提取,彻底绑过终端安全软件检测。
41天前【工具武器化】软件供应链的信任坍塌:安全工具成致命武器
2026年3月19日,黑客组织TeamPCP在安全扫描工具Trivy的GitHub上嵌入了代码,窃取了扫描仪和自动化任务中的凭证。在短短一周内,以教科书般的精准操作,将两个本应守护数字世界的安全工具——漏...
1个月前Codex 发现隐藏 HTTP/2 炸弹:可使百万台服务器瘫痪
安全研究员 Codex 发现了 HTTP/2 协议中的一个致命缺陷。这种攻击仅需 100Mbps 带宽,就能在几十秒内消耗服务器 32GB 内存,80 万网站受影响。
13天前7-Zip 26.00堆溢出RCE漏洞分析(CVE-2026-48095)
GitHub安全实验室披露7-Zip 26.00存在严重堆溢出漏洞,攻击者构造恶意NTFS镜像文件打开即RCE,国内海量用户急需升级26.01。
21天前AI漏洞演示:从路径遍历到 Root 夺权 —— Langflow CVE-2026-5027 漏洞全解析
1. 漏洞背景:AI 工作流中的“后门” 在 2026 年 3 月底,流行的开源 AI 编排工具 Langflow 被曝出存在高危漏洞(CVE-2026-5027,CVSS 评分 8.8)。该漏洞隐藏在 POST /api/v2/files 接口中...
1个月前Ubiquiti UniFi OS曝3个CVSS 10满分漏洞:近10万台设备公网暴露
Ubiquiti UniFi OS一次性披露5个漏洞,3个CVSS 10.0满分,可无认证接管设备。近10万台暴露公网,企业网络管理员必须立即打补丁。
21天前CVE-2026-40369:浏览器沙箱内直接提权,Windows内核最后防线崩溃
安全研究人员披露Windows内核漏洞CVE-2026-40369,一个系统调用即可从浏览器沙箱内提权至SYSTEM,完整PoC已公开,预计短期内被武器化。
16天前开源AI工具Langflow惊现严重RCE 披露20小时即遭野外利用
开源AI工作流编排工具Langflow曝出严重远程代码执行漏洞CVE-2026-33017。漏洞于3月17日披露后,仅20小时内即遭真实攻击。在无公开PoC的情况下被快速武器化,再次刷新零日漏洞利用速度记录。
2个月前UnDefend:针对 Windows Defender 的 DoS PoC 工具(Rust 版)
安全研究人员发布Rust编写的Windows Defender拒绝服务PoC,可导致Defender服务崩溃。不需要管理员权限,配合bluehammer即可管理员权限运行任意程序。
43天前Notepad++ 爆出多个 RCE 漏洞(CVE-2026-48778 等)—— 千万级 Windows 用户受影响
Notepad++ 发布紧急安全更新,修复三个漏洞,其中两个可导致任意代码执行。建议所有用户立即升级到最新版本。
16天前利用VSCode漏洞一键窃取GitHub Token
安全研究员发现VSCode github.dev存在高危漏洞,攻击者诱导用户点击链接即可窃取GitHub令牌,读写私有仓库。
14天前