-
WordPress 十余款插件集中曝高危漏洞:CSRF、XSS、文件包含、权限提升,官方补丁缺失,百度云防护 WAF 可虚拟补丁拦截
2026 年 6 月 12 日,国家信息安全漏洞共享平台(CNVD)集中收录了 十余款 WordPress 插件的安全漏洞,涉及 跨站请求伪造(CSRF)、跨站脚本(XSS)、任意文件包含、权限提升、支付状态篡改 等多种高风险类型。这些插件包括 WP-Ultimate-Map、WpMobi、WP Emoticon Rating、WP Meta Sort Posts、WP GDPR Cookie C…- 76
- 0
-
Apache HTTP Server 连曝多个高危漏洞:缓冲区溢出、内存错误引用、无限循环可致 RCE 或 DoS,速升 2.4.68 或部署百度云防护 WAF
2026 年 6 月 10 日,国家信息安全漏洞共享平台(CNVD)集中收录了 四个 Apache HTTP Server 的高危漏洞,涉及 缓冲区溢出、内存错误引用、无限循环和内存分配过大 等严重缺陷。这些漏洞影响 2.4.0 至 2.4.67 的广泛版本,攻击者可利用它们实现远程代码执行(RCE)、服务崩溃(DoS)或信息泄露。官方已发布 Apache HTTP Server 2.4.68 修…- 28
- 0
-
Linux 内核高危漏洞 CVE-2026-23111:一个感叹号写错,普通用户直接提权 root
Linux 内核的 nf_tables 子系统中,一个错误的感叹号(!)导致了引用计数逻辑颠倒,攻击者可利用该漏洞触发 use‑after‑free,将普通用户权限提升至系统最高权限 root。该漏洞编号 CVE-2026-23111,影响大量 Linux 发行版,目前主流内核已修复。本文将详细拆解漏洞原理、危害范围,并提供完整的修复与临时防御方案。 一、 漏洞速览:一个字符的代价 项目详情CVE…- 62
- 0
-
Apache HTTP Server 双重释放高危漏洞(CVE-2026-23918):未认证远程攻击可致 RCE,升级至 2.4.67
一个 CVSS 评分高达 8.8(高危) 的双重释放漏洞,潜伏在 Apache HTTP Server 的 HTTP/2 协议处理模块中。攻击者无需任何身份认证,仅需一条 TCP 连接和两个 HTTP/2 帧,就能触发 Apache 工作进程崩溃,并在特定系统环境下实现远程代码执行,完全控制服务器。该漏洞仅影响 Apache HTTP Server 2.4.66 单一版本,PoC 和技术细节已公开…- 113
- 0
-
Apache OFBiz 连曝三个高危漏洞:SSRF、输入验证缺陷可致数据泄露,建议升级至 24.09.06 或部署百度云防护 WAF
2026 年 5 月 21 日,国家信息安全漏洞共享平台(CNVD)连续收录了 Apache OFBiz 的三个安全漏洞,涉及 服务端请求伪造(SSRF)、输入验证不当 等多种风险。攻击者可利用这些漏洞绕过访问控制、探测内网、窃取敏感信息。受影响版本为 Apache OFBiz < 24.09.06。官方已发布修复版本,在无法立即升级的情况下,部署 百度云防护 WAF 可通过网络层拦截恶意请…- 60
- 0
-
百度云防护5月21日安全规则大更新:新增50+条高危漏洞规则,覆盖网神、深信服、帆软、浪潮等主流系统
2026年5月21日,百度云防护WAF规则库迎来一次重磅升级,新增及优化超过50条安全规则,累计内置规则总数达到1163条。本次更新重点覆盖防火墙、堡垒机、中间件、OA系统、ERP、安防平台等企业级应用的高危漏洞,包括远程代码执行(RCE)、SQL注入、命令注入、反序列化、未授权访问等多种攻击类型。在厂商官方补丁发布之前,百度云防护即可提供“虚拟补丁”级的即时拦截,为企业应用争取宝贵的修复窗口期。…- 31
- 0
-
Oracle Database Server SQLcl高危漏洞(CVE-2026-21939):CVSS 7.0分,攻击者可通过本地输入验证缺陷接管组件,百度云防护WAF可提供网络层防护
2026年5月19日,CNVD正式收录了Oracle Database Server的一个高危安全漏洞(CNVD-2026-20786 / CVE-2026-21939)。该漏洞存在于Oracle数据库的SQLcl组件中,受影响的版本覆盖23.4.0至23.26.0。攻击者可利用该漏洞在本地触发任意代码执行,进而完全接管数据库组件,对企业核心数据资产构成严重威胁。本文详细解析该漏洞的技术原理与危害…- 35
- 0
-
Apache MINA 反序列化高危漏洞(CVE-2026-42779):9.8分严重风险,远程攻击者可执行任意代码
一个CVSS评分高达9.8(严重)的反序列化漏洞,隐藏在Apache MINA网络框架中。攻击者无需任何身份认证,仅需向暴露的Apache MINA服务发送一个精心构造的恶意序列化对象,即可远程执行任意代码,完全控制服务器。该漏洞是此前CVE-2026-41635的不完整修复版本,影响所有2.1.0至2.1.11以及2.2.0至2.2.6版本。百度云防护WAF通过内置的反序列化攻击检测规则,可在网…- 21
- 0
-
全球近1/3网站拉响警报:Nginx潜伏18年高危漏洞曝光,攻击者一包即可夺权
你正在使用的Nginx版本,可能携带一个长达18年的“时间炸弹”。攻击者仅需向暴露的Nginx服务器发送一个精心构造的HTTP请求,就能远程拿下服务器。这个名为“Nginx Rift”的漏洞潜伏了整整18年,波及全球近三分之一的网站,CVSS风险评分高达9.2(严重)。F5已发布修复版本,请所有网站站长、运维人员立即检查版本,尽快升级! 一、 漏洞速览:CVE-2026-42945(Nginx R…- 480
- 0
-
Linux 内核高危漏洞 Dirty Frag 已遭黑客利用:低权限用户可提权至 root,微软发出紧急警告
一个名为“Dirty Frag”的 Linux 内核本地权限提升(LPE)漏洞,在官方补丁尚未发布时已被公开,并迅速被黑客用于实际攻击。攻击者只需拥有一个低权限账号,就能通过 SSH 连接获得 root 权限,进而窃取数据、篡改系统配置。微软安全团队已监测到在野利用,并警告该漏洞比此前曝光的“Copy Fail”更具威胁性。作为服务器运维人员,你需要立即采取行动。 一、 漏洞速览:Dirty Fr…- 68
- 0
-
高危漏洞预警:Grafana SQL 表达式远程代码执行漏洞(CVE-2024-9264)深度解析与防护方案
一、事件回顾:内置规则库中的一条高危告警 在运维百度云防护企业版的过程中,安全总览的“内置规则”列表里有一条标记值得所有使用 Grafana 的团队重点关注:Code_exec.CVE-2024-9264.A,风险等级为 高风险 / 代码执行,规则描述直指 Grafana SQL 表达式远程代码执行漏洞,规则更新时间为 2026 年 4 月 23 日。 这条内置规则的出现意味着:针对 CVE-20…- 29
- 0
-
百度云防护 4 月规则库再升级:新增 40+ 条规则,精准防御用友、致远、泛微、通达等主流 OA 高危漏洞
2026 年 4 月 28 日,百度云防护 Web 应用防火墙(WAF)规则库再次重磅更新。本次新增及优化 40 余条安全规则,累计内置规则总数达到 1039 条。重点覆盖用友 NC、U8 Cloud、致远 OA、泛微 OA、通达 OA 等企业级应用的高危漏洞,包括 JNDI 注入、反序列化 RCE、SQL 注入、文件上传、命令执行等多种攻击类型。在厂商官方补丁发布之前,百度云防护即可提供“虚拟补…- 218
- 0
-
Chrome高危漏洞曝光:恶意扩展可监控用户、窃取文件,你更新了吗?
安装一个看似无害的浏览器扩展,却能让攻击者偷偷调用你的摄像头、读取本地文件、截取屏幕画面——这不是科幻电影,而是刚刚曝光的Chrome浏览器真实漏洞(CVE-2026-0628)。3月2日,Palo Alto Networks安全团队披露了这一高危漏洞,攻击者可利用恶意扩展程序,通过Chrome的Gemini功能获取高阶权限,实现无接触监控和数据窃取。今天咱们就来聊聊这个漏洞是怎么回事,以及作为普…- 19
- 0
-
百度云防护Web应用防火墙2月更新:12大高危漏洞规则全面解读(附完整漏洞清单)
2026年2月9日至10日,百度云防护WAF内置规则库完成开年首次大规模升级,新增及优化958条虚拟补丁规则,重点推出12个核心规则ID(4181-4192),覆盖Microsoft Exchange、Apache Struts2、Shiro、Kibana、VMware、宝塔面板等近期活跃攻击面。本文逐条拆解这12条规则的漏洞原理、真实危害及WAF拦截机制。 一、 更新概览:12条核心规则,条条致…- 6
- 0
-
AI智能体OpenClaw曝高危漏洞:可绕过苹果安全机制,静默窃取开发者密码与密钥
当您信赖的AI助手学会欺骗您运行一条命令,整个数字身份和云端资产可能在顷刻间沦陷。 2026年2月4日,知名密码管理公司1Password安全团队发布紧急通告,揭露近期爆火的AI智能体OpenClaw存在严重安全风险。攻击者正利用其“技能”文件机制,向macOS用户传播和植入隐蔽性极强的恶意软件,专门窃取浏览器密码、SSH密钥、API令牌等高敏感数据。此次攻击手法新颖,绕过了包括苹果“文件隔离”在…- 18
- 0
-
英伟达显卡驱动曝高危漏洞:可执行恶意代码、篡改数据,请立即更新!
游戏帧率或许可以等待,但系统安全刻不容缓。一次常规的驱动更新,背后可能是封堵系统后门的关键操作。 2026年1月31日,英伟达发布紧急安全公告,敦促全球用户立即升级GeForce RTX等系列显卡驱动。此次更新的核心目的并非提升性能,而是修复多个被评定为 “高危” 级别的安全漏洞,攻击者利用这些漏洞可在用户系统上为所欲为。 这警示我们,在数字世界中,即便是一个显卡驱动,也可能成为攻击链上最脆弱的一…- 9
- 0
-
新一轮高危漏洞来袭:Chrome浏览器曝出内存越界漏洞,攻击者可远程读取敏感数据
一次看似普通的网页浏览,可能正在将您设备内存中的秘密悄然泄露。 2026年1月26日,国家信息安全漏洞共享平台(CNVD)收录了一个影响全球数十亿用户的高危漏洞。该漏洞存在于 Google Chrome 浏览器的V8 JavaScript引擎中,攻击者仅需诱导用户访问一个恶意网页,即可实施越界内存读取,严重威胁用户隐私与数据安全。 01 漏洞核心分析:V8引擎的“边界失守” 漏洞标识:CNVD-2…- 26
- 0
-
WordPress W3 Total Cache缓存插件曝高危漏洞:CVE-2025-9501漏洞三次补丁均告失效,100万站点面临高危风险
📰 导语:一次“漏洞修复”的失败实验,暴露插件生态的深层危机 2025年12月24日,科技媒体Cyberkendra披露了WordPress头部缓存插件W3 Total Cache的严重安全危机:其近期被曝出的漏洞CVE-2025-9501,连续三次补丁版本(2.8.13、2.8.14、2.8.15)均被研究人员证明存在绕过风险,修复过程被形容为“安全马戏团”。该插件全球安装量超1…- 323
- 0
-
Cloudflare二次宕机报告出炉:一次为修复高危漏洞引发的全球“止血副作用”
核心摘要 昨夜,Cloudflare公布了一份坦诚得惊人的事故报告,揭示了12月5日全球服务中断25分钟的根本原因。这场波及全球28% HTTP流量的宕机,并非源于攻击,而是源于一个善意的初衷——为全网客户紧急修复此前我们重点预警的React高危漏洞(CVE-2025-55182)。 在升级WAF防护能力的变更过程中,触发了深埋多年的旧代码缺陷,导致连锁故障。 这起事件,是一次为互联网“动外科手术…- 427
- 0
-
BIND9高危漏洞解决方案
问题是什么? 简单来说,这是一个严重的网络安全问题。 涉事软件:BIND9,这是全球范围内使用最广泛的DNS服务器软件。绝大多数互联网域名解析服务都依赖它。 问题核心:BIND9软件中存在3个高危漏洞(CVE-2025-8677, CVE-2025-40778, CVE-2025-40780)。 漏洞危害: 服务中断:攻击者可以利用这些漏洞,向你的DNS服务器发送特制的恶意数据包,导致DNS服务崩…- 11
- 0
-
MySQL 数据库被爆一个存在20多年的高危漏洞一直未修复
6 月 26 日消息,科技媒体 DevClass 近日发布博文称 MySQL 中的一个严重漏洞自 2005 年报告以来 20 年未修复,引发社区对数据库完整性的担忧,也促使一些开发者转向使用 PostgreSQL。 该漏洞追踪编号为 11472,可追溯到 2005 年 6 月,被标记为“S2(Serious)”级别,截至目前为止,仍未被修复。 该漏洞描述为“更新 / 删除 foreign key …- 219
- 0
-
马自达 CMU 车机系统曝多项高危漏洞,可导致黑客远程执行代码
11 月 10 日消息,安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统(Connect Connectivity Master Unit)存在多项高危漏洞,可能导致黑客远程执行代码,危害驾驶人安全。 这些漏洞影响 2014 至 2021 年款 Mazda 3 等车型,涉及系统版本为 74.00.324A 的车机,黑客只需先控制受害者的手机,接着趁受…- 307
- 0
-
思科 SSM On-Prem 曝出高危漏洞:可更改服务器任意用户密码
根据最新消息,思科Smart Software Manager On-Prem(SSM On-Prem)近期曝出了一个高危漏洞,该漏洞被追踪为CVE-2024-20419,攻击者可以通过特制的HTTP请求,在未经认证的情况下更改服务器上任意用户的密码,包括系统管理员在内的账户。思科公司已经发布了安全更新修复了这个漏洞,并要求所有管理员必须升级到修复了该漏洞的版本,以确保服务器的安全性。 详细分析 …- 8.5k
- 0
-
由蚂蚁集团上报!Spring 框架「高危」漏洞,现已修复!
4 月 2 日消息,2022 年 3 月 30 日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行漏洞(CNVD-2022-23942)。并发布了关于 Spring 框架存在远程命令执行漏洞的安全公告,安全公告编号:CNTA-2022-0009。 下面是公告内容: 2022 年 3 月 30 日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行…- 1.1k
- 0
