目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 32320+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
暴露的Ollama/LiteLLM AI基础设施遭Strix/HexStrike利用分析
www.darkreading.com · 2026-06-30

### 漏洞概述 攻击者正在利用组织拥有的AI基础设施来执行复杂的威胁活动。具体来说,攻击者利用自托管的AI软件暴露的应用程序接口(API)进行攻击。这些API包括Ollama的`/api/generate`和`/api/chat`端点(端口11434),以及LiteLLM的`/v1/responses`端点(端口4000)。 ### 影响范围 - **攻击者行为**:攻击者通过暴露的API端点,…

Read more
libssh2 越界写入漏洞 CVE-2026-55200 关键级漏洞通报
github.com · 2026-06-30

### 漏洞概述 - **漏洞名称**: libssh2 1.11.1 及之前版本中的越界写入漏洞 - **CVE 编号**: CVE-2026-55200 - **严重程度**: 关键(Critical) - **CVSS 评分**: 9.2 / 10 - **描述**: libssh2 1.11.1 及之前版本在 `ssh2_transport_read()` 函数中存在一个越界写入漏洞,该漏…

Read more
酒店行业网络钓鱼攻击分析:恶意ZIP与TONResolver RAT
www.darkreading.com · 2026-06-30

### 漏洞概述 - **攻击类型**:网络钓鱼攻击,使用恶意ZIP文件伪装成酒店照片,旨在安装恶意软件以获取对系统的长期访问权限。 - **攻击手法**:攻击者通过发送包含恶意ZIP文件的电子邮件,这些文件伪装成酒店照片,诱骗用户点击。一旦点击,ZIP文件中的恶意软件将被安装,攻击者可以利用这些恶意软件进行进一步的攻击,如窃取凭证、横向移动和部署额外载荷。 - **技术细节**: - **Mic…

Read more
WordPress/PHP服务器恶意扫描防护规则与Cloudflare配置指南
code.backwater.systems · 2026-06-30

### 漏洞概述 - **漏洞名称**: 未明确具体漏洞名称,但涉及服务器软件漏洞和凭证泄露。 - **描述**: 通过流量日志分析,发现大量垃圾流量,这些流量匹配特定的模式,如 `/wp-admin/`, `/wp-content/`, `/wp-includes/`, `.env`, `.php` 等。这些流量可能是由恶意扫描器(如 `botnet`)发起的,旨在探测服务器软件漏洞和暴露的凭证…

Read more
Apple iOS/macOS Safari 26.5.2安全更新:修复WebKit RCE/内存损坏等20+漏洞
www.malwarebytes.com · 2026-06-30

### 漏洞概述 Apple发布了针对iOS、macOS Tahoe和Safari的安全补丁,修复了超过20个安全漏洞。这些漏洞涉及WebKit(浏览器引擎),可能通过加载恶意页面触发,导致内存损坏、数据泄露等问题。 ### 影响范围 - **iOS 26.5.2 和 iPadOS 26.5.2**:适用于iPhone 11及更新型号、iPad Pro 12.9英寸第3代及更新型号、iPad Pr…

Read more
AI生成Power Automate工作流权限过宽导致数据泄露风险
www.darkreading.com · 2026-06-30

### 漏洞概述 - **问题描述**:安全分析师在大型企业中发现了敏感HR文档被复制到Microsoft Teams频道,导致数百名员工可以访问。问题并非由恶意内部人员、被入侵的管理账户或高级攻击者引起,而是由Power Automate工作流导致。 - **原因**:开发人员使用AI助手生成自动化逻辑,以加快SharePoint和Teams之间的文档审批流程。然而,无人审查权限、数据流或安全影…

Read more
RUSTSEC-2026-0193: ammonia MathML mXSS漏洞
rustsec.org · 2026-06-30

# RUSTSEC-2026-0193 ## 漏洞概述 mXSS in ammonia via MathML `annotation-xml` encoding strip ## 影响范围 - **Package**: ammonia (crates.io) - **Type**: Vulnerability - **Categories**: format-injection - **Keywo…

Read more
CuteNews多类高危漏洞(RCE/XSS/SQLi)及PoC
news.ycombinator.com · 2026-06-30

### 漏洞概述 - **漏洞名称**: 多个漏洞 - **漏洞类型**: 跨站脚本(XSS)、SQL注入、路径遍历、远程代码执行(RCE) - **漏洞描述**: 该漏洞存在于一个名为“CuteNews”的PHP脚本中,该脚本用于管理新闻内容。攻击者可以通过构造恶意请求来执行跨站脚本攻击、SQL注入、路径遍历和远程代码执行。 ### 影响范围 - **受影响版本**: 所有版本 - **影响组件…

Read more
React DOM SSRF/CVE-2023-45133 漏洞分析与修复指南
mate.security · 2026-06-29

### 漏洞概述 - **漏洞名称**: React Server Components 中的 `react-dom` 漏洞(CVE-2023-45133) - **漏洞描述**: 该漏洞允许攻击者通过构造恶意输入,利用 React Server Components 中的 `react-dom` 库执行任意代码。 - **漏洞类型**: 代码注入 ### 影响范围 - **受影响版本**: Re…

Read more
wasmtime-wasi FilePerms权限绕过漏洞(RUSTSEC-2026-0188)
rustsec.org · 2026-06-29

### 漏洞概述 - **漏洞编号**: RUSTSEC-2026-0188 - **标题**: WASI 硬链接和重命名绕过 wasmtime-wasi 的 FilePerms 目标 - **报告日期**: 2026年6月24日 - **发布日期**: 2026年6月29日 - **包名**: wasmtime-wasi (crates.io) - **类型**: 漏洞 - **别名**: GH…

Read more
rmcp DNS重绑定漏洞(CVE-2026-0189)及修复方案
rustsec.org · 2026-06-29

### 漏洞概述 - **漏洞编号**:RUSTSEC-2026-0189 - **漏洞类型**:DNS重绑定漏洞 - **影响组件**:`rmcp` crate 的 Streamable HTTP 服务器传输 - **报告日期**:2026年4月29日 - **发布日期**:2026年6月29日(最后修改:2026年6月30日) - **CVSS评分**:8.8(高危) - **CVSS向量**…

Read more
RUSTSEC-2026-0190: anyhow crate Unsafe Code Bug
rustsec.org · 2026-06-29

### 漏洞概述 - **漏洞编号**: RUSTSEC-2026-0190 - **漏洞类型**: 不安全性(Unsoundness) - **受影响函数**: `Error::downcast_mut()` - **描述**: 受影响版本的 `anyhow` crate 违反了借用规则,导致未定义行为。当用户通过 `Error::context` 添加上下文并随后调用 `Error::down…

Read more
RUSTSEC-2026-0191: solana_rbf越界指针访问漏洞
rustsec.org · 2026-06-29

# RUSTSEC-2026-0191 ## 漏洞概述 `solana_rbf::vm::EbpfVm::invoke_function` 方法存在不安全的指针算术运算,可能导致越界指针访问。该方法通过 `ptr::offset` 计算偏移量,但未确保指针在有效内存范围内,从而引发未定义行为。 ## 影响范围 - **受影响版本**:`solana_rbf` = 0.8.0, <= 0.8.5 #…

Read more
The Gentlemen勒索软件组织TTP分析与防御指南
securelist.com · 2026-06-29

### 漏洞概述 The Gentlemen 是一个以勒索软件即服务(RaaS)模式运作的组织,自2026年初开始活跃。该组织利用多种漏洞和技巧进行攻击,包括初始感染向量、侦察、横向移动、禁用安全产品、后门部署、勒索软件执行等。 ### 影响范围 - **目标**:大型企业和关键基础设施。 - **活动**:自2026年2月以来,The Gentlemen 的活动显著增加,成为2026年上半年数据…

Read more
Chrome修复382个安全漏洞公告
www.malwarebytes.com · 2026-06-29

根据提供的网页截图,以下是关于漏洞的关键信息总结: ### 漏洞概述 - **漏洞名称**: Chrome needs another whopper update to fix 382 security bugs - **发布日期**: July 1, 2026 - **描述**: Chrome浏览器需要再次更新以修复382个安全漏洞。 ### 影响范围 - **受影响产品**: Chrome浏…

Read more
Fluentd多个高危漏洞(CVE-2026-44024等)及修复指引
jvndb.jvn.jp · 2026-06-29

### 漏洞概述 - **漏洞编号**: JVNDDB-2026-000090 - **漏洞名称**: Fluentd中的多个漏洞 - **漏洞描述**: Fluentd提供的多个漏洞,包括路径遍历、敏感信息泄露、拒绝服务攻击等。 - **CVSS评分**: - **CVSS v3**: 9.8 (Critical) - **CVSS v4**: 9.3 (Critical) ### 影响范围 -…

Read more
AI代理信任边界失效漏洞分析及防御指南(MCP/提示注入)
portkey.ai · 2026-06-28

### 漏洞概述 该网页讨论了AI代理(Agent)中的信任边界失败问题,指出许多AI代理的漏洞并非源于模型或工具本身,而是由于组件之间的信任边界未正确定义。具体包括以下几种情况: 1. **MCP服务器返回额外的工具描述**:MCP服务器可能返回额外的工具描述,导致代理执行非预期的操作。 2. **通过日历邀请进行提示注入**:攻击者可以通过日历邀请等方式向代理发送恶意提示,诱导其执行危险操作。…

Read more
Java HotSpot Attach Socket跨进程注入漏洞分析
xz.aliyun.com · 2026-06-28

### 漏洞概述 该漏洞涉及Java Attach Socket在共享`/tmp`容器场景下的跨进程注入问题。HotSpot在启动时不会预先创建`/tmp/.java_pid`文件,而是由AttachListener线程按需启动,触发条件是在Linux下生成一组特定信号与一个特定文件名的组合。 ### 影响范围 - **目标JVM**:在目标JVM的当前工作目录下创建`.attach_pid`文件…

Read more
ToDesk配置密码继承漏洞分析 (CVE待定)
xz.aliyun.com · 2026-06-28

### 漏洞概述 该漏洞涉及ToDesk软件在版本升级后密码继承的问题。具体来说,ToDesk在安装目录下会生成一个`config.ini`配置文件,其中存储了设备代码、临时密码、安全密码等关键信息。利用这一特性,攻击者可以通过复制目标机器的`config.ini`文件中的`tempAuthPassEx`值到攻击者本机的`config.ini`文件中,从而获取目标机器的临时密码。 ### 影响范围…

Read more
CVSS 6.5
Gravity Forms Booking插件安全漏洞通报
gravitybooking.com · 2026-06-27

根据提供的网页截图,以下是关于Gravity Forms Booking插件的简洁中文Markdown总结: ### 漏洞概述 - **漏洞名称**: Gravity Forms Booking插件漏洞 - **漏洞描述**: 该插件存在安全漏洞,可能导致未授权访问或数据泄露。 ### 影响范围 - **受影响版本**: 所有使用Gravity Forms Booking插件的网站 - **潜在风…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。