安全研究员ALR披露高危认证绕过漏洞，仅需添加Authorization: Basic请求头即可绕过整个认证系统，访问50余个API端点，赏金$3000。

安全研究人员发现Zoho存在DOM XSS和PostMessage配置错误两处漏洞，可被利用直接接管用户账户，建议尽快修复。

安全研究员披露Twitter高危漏洞：攻击者可绕过用户隐私设置，通过电话/邮箱获取任意账号ID。540万用户数据被爬取并在暗网出售，漏洞源于安卓客户端授权流程，赏金5040美元。

Google发布紧急安全更新，修复Chrome浏览器高危0day漏洞CVE-2026-11645。V8引擎越界内存访问，可远程代码执行，已野外利用。建议立即更新至149.0.7827.102/.103。

Nightmare Eclipse再出手发布RoguePlanet零日漏洞，利用微软Defender竞态条件在打完2026年6月补丁的Windows系统上提权SYSTEM。附原版RCE三条攻击路径和BitLocker绕过细节。

Fortinet披露FortiSandbox两个CVSS 9.1高危漏洞，CVE-2026-39808未授权命令注入可直接RCE，CVE-2026-39813路径遍历绕过认证，攻击者可彻底接管沙箱。

JCE Editor插件CVSS 10.0满分漏洞，未认证攻击者可通过profiles.import端点直接上传PHP文件并执行命令。受影响版本1.0.0-2.9.99.4，补丁仅在2.9.99.5。