增值服务
-
三个 WordPress 插件连环爆漏洞,官方均无补丁!站长请立即自查
2026 年 6 月上旬,国家信息安全漏洞共享平台(CNVD)连续收录了三个 WordPress 插件的安全漏洞,涉及 跨站请求伪造(CSRF)、跨站脚本(XSS)以及访问控制缺陷。这三个插件分别是 auto making JSON-LD、Animate Your Content、Account Manager for WooCommerce。更令人担忧的是,截至目前,官方均未发布任何修复补丁。如…... -
Kuicms Php EE 跨站脚本漏洞(CVE-2020-37222):影响 2.0 版本,官方无补丁,建议禁用评论或部署 WAF
2026 年 6 月 8 日,国家信息安全漏洞共享平台(CNVD)收录了 Kuicms Php EE 的一个跨站脚本漏洞(CVE-2020-37222)。Kuicms Php EE 是一套基于 PHP 的内容管理系统,适用于企业网站、个人博客等。该漏洞影响 2.0 版本,攻击者可通过在 bbs 回复端点提交特制内容,注入恶意脚本,导致管理员 Cookie 被窃取、页面被篡改等后果。目前官方尚未发布…... -
blooFoxCMS 跨站请求伪造漏洞(CVE-2020-37241):影响 0.5.2.1 版本,官方尚无补丁,建议限制后台访问或部署 WAF
2026 年 6 月 8 日,国家信息安全漏洞共享平台(CNVD)收录了 blooFoxCMS 的一个跨站请求伪造漏洞(CVE-2020-37241)。blooFoxCMS 是一款基于 PHP 的轻量级文本内容管理系统,主要面向个人博客、小型资讯站。该漏洞影响 0.5.2.1 版本,攻击者可利用 CSRF 漏洞在管理员不知情的情况下执行非授权操作(如修改配置、删除内容)。目前官方尚未发布修复补丁,…... -
Web 服务器常见安全漏洞有哪些?如何防范?
Web 服务器是互联网服务的核心,也是黑客攻击的首要目标。每天都有无数自动化扫描器在公网上爬取 IP 段,试图发现存在漏洞的服务器。一旦被攻破,轻则网站被挂黑链、流量被劫持,重则数据库被拖走、服务器沦为肉鸡。本文将梳理 Web 服务器最常见的几类安全漏洞,并给出从基础加固到专业 WAF 防护的完整方案。 一、 Web 服务器面临的常见漏洞类型 1. Web 应用漏洞(占据攻击事件 80% 以上) …... -
AI中转站涉嫌违法:国家安全部发布警示,数据裸奔、恶意植入风险不容忽视
2026年6月8日,国家安全部发布安全提示,直指当前“AI中转站”市场的乱象。随着人工智能应用需求的爆发式增长,批量提供海内外大模型访问服务的“AI中转站”在国内迅速走红。然而,部分中转站运营资质缺失、安全防护薄弱,用户隐私泄露、数据倒卖、恶意植入后门等问题频发。国家安全部提醒广大用户:切勿使用无来源、无资质、无保障的“三无”AI中转平台,避免个人隐私、商业机密甚至国家秘密外泄。 一、 什么是“A…... -
WordPress 隐藏风险:一个 15 年的链接竟指向菠菜网站,站长紧急排查
近日,有站长在论坛发帖求助:“刚接到服务商的电话,让我清理非法内容,打开一看,果然啊!打开 feed,xmlns:wfw='http://wellformedweb.org/CommentAPI',wellformedweb.org 已经被菠菜接管了!” 这条帖子迅速引发热议,不少站长纷纷自查,发现自己使用了十几年的 WordPress 网站,竟然也默默包含了这个指向菠菜(博彩…... -
豆包的“应用生成”,说没就没了
2026 年 5 月底,有用户发现:豆包 App 里那个“应用生成”的入口,不见了。随后官方在 App 内页面简单提示“应用生成功能已于 2026 年 5 月 31 日停止服务,历史创建的应用仍可在豆包会话中查看、复制、下载和分享”。没有公告、没有预告,更没有长篇的告别信。 如果说天涯重启是互联网 20 年情怀的续命,那豆包应用生成的关停,更像是 AI 时代一声温和但真实的叹息——做应用的人,没有…... -
WordPress 插件 Auto Thumbnail 跨站脚本漏洞(CVE-2026-8899):影响 ≤ 1.0.0,官方暂无补丁,建议立即停用或部署 WAF
2026 年 6 月 5 日,国家信息安全漏洞共享平台(CNVD)收录了 WordPress 插件 Auto Thumbnail 的一个跨站脚本漏洞(CVE-2026-8899)。该插件用于自动生成文章缩略图,安装量超过 2 万次。漏洞源于 athn_thumbnails 函数在处理短代码的 width 和 height 属性时未进行充分的输入清理和输出转义,直接将用户输入拼接至 HTML <…...
