文章列表
WordPress Service Finder 主题存在严重漏洞,可绕过身份验证
威胁行为者正在积极利用影响 Service Finder WordPress 主题的严重安全漏洞,该漏洞使得未经授权访问任何帐户(包括管理员)并控制易受攻击的站点成为可能。该身份验证绕过漏洞编号为CVE-2025-5947(CVSS 评分:9.8),影响 Service Finder Bookings,这是与 Service Finder 主题捆绑在一起的 WordPres
Formbricks 存在高危漏洞 (CVE-2025-59934),攻击者可通过伪造JWT令牌导致未授权的密码重置
问题源于不当的令牌验证逻辑。公告指出:“此漏洞源于令牌验证例程仅对JWT进行解码(jwt.decode ),而不验证其签名。电子邮件验证令牌登录路径和密码重置服务器操作均使用相同的验证器,该验证器不检查令牌的签名、过期时间、签发者或受众。”攻击者若获取受害者的user.id ,可构造带有alg: “none”
黑客声称 Discord 漏洞暴露了 550 万用户的数据
Discord 表示,他们不会向那些声称从该公司的 Zendesk 支持系统实例中窃取了 550 万独立用户数据的威胁行为者支付报酬,这些数据包括政府身份证和部分人的部分付款信息。该公司还反驳了有关此次数据泄露事件中泄露了 210 万张政府身份证照片的说法,称约有 70,000 名用户的政府身份证照片被泄露。虽然
Qscan:一个速度极快的内网扫描器
一个速度极快的内网扫描器,具备端口扫描、协议检测、指纹识别,暴力破解,漏洞探测等功能。支持协议1200+,协议指纹10000+,应用指纹20000+,暴力破解协议10余种 特点spy 模式极速遍历常见B段,比常见的一个一个遍历,快上很多倍; 在精确识别端口的同时,又拥有极快的速度; 线程池优化:
浙江通鹏科技有限公司(tongpengvr.com) 某平台存在弱口令
浙江通鹏科技有限公司(tongpengvr.com) 某平台存在弱口令
Crimson Collective 利用 AWS 服务窃取敏感数据
一个自称 Crimson Collective 的新威胁组织已成为一个重大的网络安全隐患,该组织针对亚马逊网络服务 (AWS) 云环境发起复杂的数据泄露和勒索活动。该组织最近声称对攻击红帽公司负责,声称他们成功入侵并窃取了红帽公司 GitLab 基础设施的私有存储库。这一发展代表着以云为中心的网络犯罪令人担忧的升
Chrome 修复多个任意代码执行漏洞
#### 漏洞详情首个高危漏洞 CVE-2025-11458 是 Chrome 同步组件中的堆缓冲区溢出缺陷。攻击者通过发送特制的同步数据,可导致内存缓冲区溢出,进而在浏览器进程上下文中执行任意代码。该漏洞由昆仑实验室的"raven"于 2025 年 9 月 5 日报告,获得了 5000 美元漏洞赏金。第二个高危漏洞 CVE-2025-11460
Figma MCP 存在严重漏洞,可导致黑客远程执行代码 - 立即修复
网络安全研究人员披露了流行的figma-developer-mcp模型上下文协议 ( MCP ) 服务器中现已修补的漏洞的详细信息,该漏洞可能允许攻击者实现代码执行。该漏洞的编号为CVE-2025-53967(CVSS 评分:7.5),是一个命令注入漏洞,源于对用户输入的未净化使用,为攻击者发送任意系统命令打开了大门。GitHub针对
13 年的 Redis 漏洞曝光:CVSS 10.0 漏洞可让攻击者远程运行代码
Redis披露了其内存数据库软件中最高严重性安全漏洞的详细信息,该漏洞在某些情况下可能导致远程代码执行。该漏洞编号为CVE-2025-49844(又名 RediShell),CVSS 评分为 10.0。GitHub 针对该问题发布的公告指出:“经过身份验证的用户可能会使用特制的 Lua 脚本操纵垃圾收集器,触发 UAF,并可能导致远
采用人工智能安全解决方案的 5 个关键问题
在人工智能 (AI) 和云技术飞速发展的时代,企业越来越多地实施安全措施来保护敏感数据并确保合规性。在这些措施中,AI-SPM(人工智能安全态势管理)解决方案在保护人工智能管道、敏感数据资产和整个人工智能生态系统方面获得了广泛关注。这些解决方案可帮助企业识别风险、控制安全策略,并保护对其运营
