/
SolarWinds修复Web Help Desk四个关键漏洞,存在未认证远程代码执行风险
SolarWinds发布安全更新,修复Web Help Desk平台多个安全漏洞,包括四个可导致身份验证绕过和远程代码执行的严重漏洞。漏洞包括安全控制绕过、硬编码凭据、不可信数据反序列化等,CVSS评分高达9.8分。攻击者可利用这些漏洞获得未授权访问并执行任意命令。所有问题已在WHD 2026.1版本中修复,建议用户尽快更新。
微软Office零日漏洞CVE-2026-21509紧急补丁发布
微软发布Office零日漏洞CVE-2026-21509的紧急补丁,该漏洞CVSS评分7.8分,可绕过安全功能。攻击者通过发送特制Office文件诱导用户打开实施攻击。Office 2021及更新版本通过服务端自动保护,需重启应用生效。Office 2016/2019用户需安装特定更新或修改注册表。美国CISA已将此漏洞列入已知被利用漏洞目录。
Anthropic Git MCP服务器三个漏洞可致黑客篡改大语言模型
以色列Cyata公司研究人员发现,Anthropic官方Git MCP服务器存在三个安全漏洞,攻击者可通过提示注入攻击利用这些漏洞操控大语言模型。这些漏洞包括不受限制的git_init、路径验证绕过和git_diff中的参数注入。当Git MCP服务器与文件系统MCP服务器同时启用时,风险将达到临界级别。研究人员敦促企业开发者尽快更新到最新版本以降低安全风险。
Fortinet承认FortiGate SSO漏洞仍可被利用
Fortinet确认攻击者正在绕过12月发布的FortiCloud单点登录认证漏洞补丁,客户报告在已更新设备上发现可疑登录活动。该公司在新公告中表示,已发现针对FortiOS中基于SAML的SSO的新攻击路径,即使在已应用早期修复的系统上也能被利用。攻击者通过受损的SSO账户重新配置防火墙设置、创建后门管理员用户并窃取配置文件,整个过程高度自动化。
思科统一通信平台紧急修补零日漏洞
思科发布紧急补丁修复统一通信设备中的关键零日漏洞CVE-2026-20045,该漏洞已被野外攻击利用。漏洞影响多个产品的Web管理界面,允许未经认证的远程攻击者执行任意代码并可能提权至root。由于HTTP请求输入验证不当导致,攻击者可通过发送精心构造的HTTP请求触发漏洞。CISA已将其列入已知被利用漏洞清单,要求联邦机构限期修复。
思科统一通信产品现严重漏洞 已被黑客利用
思科发布补丁修复其统一通信产品中的关键远程代码执行漏洞,该漏洞正被攻击者主动利用。美国网络安全和基础设施安全局已将此漏洞添加至已知被利用漏洞目录。CVE-2026-20045漏洞源于HTTP请求中用户输入验证不当,未经身份验证的远程攻击者可利用此漏洞获得root权限。思科统一通信管理器、Unity Connection和Webex Calling专用实例均受影响。目前无可用的缓解措施,用户需升级至修复版本或应用特定补丁文件。
攻击者绕过SSO安全防护攻击FortiGate防火墙
安全公司Arctic Wolf警告称,攻击者已找到绕过SSO保护的方法,正在对FortiGate防火墙进行静默重新配置和数据窃取。自1月15日起发现的自动化恶意活动通过被入侵的SSO账户,修改防火墙设置、创建后门管理员用户并窃取配置文件。攻击利用两个关键身份验证绕过漏洞,尽管Fortinet已发布补丁,但管理员报告FortiOS 7.4.10未完全修复问题。
Cloudflare修复WAF绕过漏洞阻止攻击者侧门入侵
Cloudflare已修复其Web应用防火墙中的一个严重漏洞,该漏洞允许攻击者绕过安全规则直接访问源服务器,可能导致数据泄露或服务器完全被接管。漏洞源于ACME证书验证逻辑中的缺陷,当处理HTTP-01挑战请求时,系统未能验证令牌是否匹配活跃挑战的主机名,从而完全禁用WAF安全控制。研究人员警告,在AI驱动攻击面前,此类WAF绕过漏洞威胁更大。
思科修复统一通信系统关键零日漏洞CVE-2026-20045
思科发布补丁修复影响统一通信产品和Webex通话专用实例的严重零日漏洞CVE-2026-20045。该漏洞CVSS评分8.2分,允许未经身份验证的远程攻击者在受影响设备上执行任意命令并提升至root权限。漏洞源于HTTP请求中用户输入验证不当,攻击者可通过发送精心构造的HTTP请求利用此漏洞。思科已发布多个版本的修复程序,美国网络安全局已将此漏洞列入已知被利用漏洞目录。
Zoom和GitLab发布安全更新,修复远程代码执行等严重漏洞
Zoom和GitLab发布安全更新,修复多个严重安全漏洞。Zoom修复了影响多媒体路由器的关键远程代码执行漏洞CVE-2026-22844,CVSS评分9.9分,可能允许会议参与者进行远程代码执行攻击。GitLab修复了多个高危漏洞,包括可导致拒绝服务攻击和双因素认证绕过的安全缺陷。两家公司均建议用户尽快更新到最新版本以防范潜在威胁。
OpenAI修补ChatGPT提示注入漏洞但问题持续恶化
安全研究人员发现OpenAI的ChatGPT服务存在多个漏洞,可导致个人信息泄露。这些漏洞被称为ZombieAgent,是此前ShadowLeak攻击的升级版本。攻击者利用AI模型无法区分系统指令和不可信内容的盲点,通过预构建URL逐字符窃取数据,并滥用ChatGPT的记忆功能实现攻击持久化。尽管OpenAI已多次修补相关漏洞,但新的绕过方法不断出现,暴露了当前AI平台的结构性安全弱点。
Cloudflare修复ACME验证漏洞,防止绕过WAF访问源服务器
Cloudflare修复了自动证书管理环境ACME验证逻辑中的安全漏洞,该漏洞可能导致攻击者绕过安全控制直接访问源服务器。漏洞源于边缘网络处理ACME HTTP-01挑战路径请求时的缺陷,未能验证令牌是否与特定主机名的活动挑战匹配,使攻击者能够发送任意请求绕过WAF保护。Cloudflare已于2025年10月27日通过代码更改修复此问题,目前未发现恶意利用证据。
AI框架漏洞致企业云环境面临接管风险
网络安全公司Zafran发现开源AI框架Chainlit存在两个易被利用的漏洞,可能导致企业云环境数据泄露甚至被完全接管。这两个漏洞分别为CVE-2026-22218任意文件读取漏洞和CVE-2026-22219服务器端请求伪造漏洞。Chainlit每月下载量达70万次,广泛应用于金融、能源等行业。攻击者可利用这些漏洞窃取API密钥、云凭证等敏感信息,甚至伪造身份令牌接管用户账户。目前官方已发布修复版本2.9.4。
思科修复中国黑客组织利用的邮件网关零日漏洞
思科发布安全更新修复AsyncOS软件中的严重漏洞CVE-2025-20393,该漏洞CVSS评分高达10分。中国背景APT组织UAT-9686自去年11月起利用此漏洞,通过垃圾邮件隔离功能的HTTP请求验证缺陷执行远程命令,部署ReverseSSH、Chisel隧道工具及AquaShell后门。思科已发布多个版本补丁并清除持久化机制,建议用户立即更新并加强防火墙配置、禁用非必要服务、启用强身份验证。
Anthropic忽视提示注入漏洞,Cowork产品再现文件泄露风险
Anthropic的生产力AI工具Cowork遭遇与Claude Code相同的Files API数据泄露攻击。安全公司PromptArmor发现,攻击者可通过提示注入攻击诱骗Cowork传输敏感文件到攻击者账户。该漏洞早在去年10月已被报告但未修复。Anthropic将风险责任推给用户,建议避免连接敏感文档并监控可疑行为,但专家认为这对普通用户要求过高。
Palo Alto修复GlobalProtect拒绝服务漏洞,无需登录即可致防火墙崩溃
Palo Alto Networks发布安全更新,修复影响GlobalProtect网关和门户的高危漏洞CVE-2026-0227。该漏洞CVSS评分7.7,允许未经认证的攻击者对防火墙发起拒绝服务攻击,反复触发可导致防火墙进入维护模式。漏洞影响多个PAN-OS版本,目前已有概念验证攻击代码存在,但尚无野外利用证据。
微软Copilot AI助手曝重大安全漏洞 单击链接即可窃取用户隐私
微软已修复其Copilot AI助手中的一个安全漏洞,该漏洞允许黑客通过单击合法URL来窃取大量敏感用户数据。安全公司Varonis的研究人员发现了这个多阶段攻击方法,能够提取用户姓名、位置以及聊天历史等敏感信息。攻击利用间接提示注入技术,绕过了企业终端安全控制。即使用户关闭聊天窗口,攻击仍会继续执行。该漏洞仅影响Copilot个人版。
微软2026年首次补丁星期二修复112个安全漏洞
微软在2026年首个补丁星期二发布修复程序,涵盖112个CVE漏洞,其中包括多个已被公开披露或主动利用的零日漏洞,以及8个严重级别的安全缺陷。相比2025年12月仅修复56个漏洞,此次修复数量大幅增加。重点漏洞包括CVE-2026-20805信息泄露漏洞,已被观察到在野外利用;CVE-2026-21265安全启动证书到期绕过漏洞;以及影响VBS安全边界的严重权限提升漏洞,可能允许攻击者绕过高级防护机制。
Node.js爆出严重漏洞:async_hooks触发栈溢出导致服务器崩溃
Node.js发布安全更新修复影响几乎所有生产环境应用的关键漏洞。该漏洞源于启用async_hooks时发生栈溢出,系统直接退出而非抛出可捕获异常,导致拒绝服务攻击风险。漏洞影响React Server Components、Next.js、Datadog等多个框架和APM工具。已在20.20.0等多个LTS版本中修复,建议用户尽快更新。
Open WebUI出现高危漏洞,免费模型或成企业后门
安全研究人员发现Open WebUI存在高危漏洞CVE-2025-64496,攻击者可通过Direct Connections功能连接恶意模型服务器,注入恶意代码并劫持AI工作负载。该漏洞源于对服务器发送事件的不安全处理,可导致账户接管,严重情况下还能实现远程代码执行。影响0.6.34及以下版本,已在v0.6.35修复,企业需立即更新部署。
京公网安备 11010802021500号
