恶意 npm 包伪装成 Solara 执行器,攻击 Discord、浏览器和加密钱包。
JFrog 安全研究人员 Guy Korolevski 和 Meitar Palas 于 2026 年 3 月 12 日发现了一起针对 npm 生态系统的复杂供应链攻击 ,攻击者将窃取信息的恶意软件伪装成合法的 Roblox 脚本执行器。该攻击活动自称为“密码窃取者” ,使用了两个恶意软件包 bluelite-bot-manager 和 test-logsmodule-v-zisko ,以传播一个 Windows 可 ...
微软确认 Windows 11 24H2/25H2 版本漏洞导致无法访问系统盘 C 盘。
微软已正式承认部分三星设备上的 Windows 11 用户存在一个严重漏洞,该漏洞会导致用户在安装 2026 年 2 月安全更新后,系统盘 (C:) 完全无法访问。目前,微软正与三星积极合作,调查此问题。安装 2026 年 2 月星期二补丁更新(KB5077181,操作系统版本 26100.7840) 后,受影响的三星设备显示错误消息: “C: 无法访问 - ...
高危LangSmith账户接管漏洞使用户面临风险
Miggo Security 研究人员在 LangSmith 中发现了一个严重漏洞,追踪编号为 CVE-2026-25750,该漏洞可能导致用户令牌被窃取并最终导致账户完全被接管。作为调试和监控大型语言模型数据的核心平台,LangSmith 每日处理数十亿事件,这使得该漏洞成为企业级 AI 环境中的一个高风险安全问题。该漏洞源于 LangSmith Studio 内一个 ...
Google 修复两个已在野外被利用的 Chrome 零日漏洞(影响 Skia 和 V8)
Google 于周四发布了 Chrome 浏览器的安全更新,修复了两个高危漏洞。该公司表示,这些漏洞已被在野利用。 漏洞详情如下: CVE-2026-3909(CVSS 评分:8.8):Skia 2D 图形库中的越界写入漏洞。该漏洞允许远程攻击者通过特制的 HTML 页面执行越界内存访问。 CVE-2026-3910(CVSS 评分:8.8):V8 JavaScript 和 We ...
星巴克数据泄露——数百名用户的个人数据被泄露
2026 年 2 月 6 日左右,星巴克意识到某些星巴克合作伙伴中心帐户可能遭到未经授权的访问。 Partner Central 是星巴克员工使用的公司内部门户网站,内部称为“合作伙伴”。调查人员确定,威胁行为者通过将员工引导至旨在冒充合法合作伙伴中心登录页面的欺诈网站来获取有效的登录凭据,这是一种典型的中间对手网络钓鱼策略。 ...
研究人员仅在45秒内就破解搭载联发科芯片的安卓机 可解密所有数据
法国加密货币硬件钱包 LEDGER 旗下的安全研究团队日前公布联发科芯片中的安全漏洞,该漏洞已经提前通报给联发科,在已经完成漏洞修复后才公布安全报告。研究人员使用 Nothing CMF Phone 1 作为测试机,在演示中研究人员将这台测试机连接到笔记本电脑,随后在仅 45 秒内就自动获取设备 PIN 码并解密存储空间获得所有数据。作 ...
php包含那点事情
[color=Red]转个乌云上php include相关的总结帖,有很多内容也是从T00ls出去的。[/color]原地址:[url]http://zone.wooyun.org/content/2196[/url]有空就多整理下曾经研究过的知识和需要温顾的知识,明年可能去寻工作络. 关于PHP中LFI(Local File Include,本地文件包含)漏洞,大家都很熟悉了;paper很多很多,特别是国外的...不过 大家都懒得测试,我就来整理下. 1.普通本地包含; <?php $query ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2026 T00ls All Rights Reserved.