-
挪威畅销智能手表被曝“万能钥匙”漏洞,数十万家庭隐私面临裸奔风险
事件概述:一场学术演示揭露的产业级安全危机 在刚刚结束的第39届混沌通信大会(39C3,德国汉堡)上,德国达姆施塔特工业大学的安全研究团队投下了一枚重磅炸弹:挪威市场占有率第一的儿童智能手表品牌Xplora,其安全机制存在致命缺陷。攻击者凭借一个硬编码在系统中的“通用密钥”,即可无差别入侵所有同型号设备。 核心漏洞事实: 影响品牌:Xplora(挪威4-10岁儿童佩戴率达20%) 漏洞性质:硬件级…- 3
- 0
-
MongoDB爆发“MongoBleed”漏洞(CVE-2025-14847):无需认证即可远程执行代码与内存泄露,请立即升级!
漏洞编号: CVE-2025-14847漏洞别名: MongoBleed威胁等级: 严重影响范围: MongoDB 3.6 至 8.2.3 之间的广泛版本核心风险: 攻击者无需任何身份凭证,即可远程执行任意代码并读取服务器内存敏感信息。 一、漏洞深度剖析:为何“MongoBleed”如此危险? 根据Aikido安全数据库及官方通告,CVE-2025-14847是一个存在于MongoDB网络协议处理…- 184.8k
- 0
-
索尼PSN账号系统再曝“客服级”致命漏洞:双重验证形同虚设,敏感信息成“万能钥匙”
📰 导语:一次“社会工程学+内部权限失控”的教科书级攻击 2025年12月23日,法国科技媒体Numerama记者Nicolas Lellouche在社交平台X披露其索尼PlayStation Network(PSN)账号遭黑客入侵的全过程。尽管他已启用通行密钥(Passkey)并通过苹果iPhone的FaceID登录,但黑客仍能绕过双重验证(2FA)的防护,仅凭一张公开的订单截图…- 3
- 0
-
【高危漏洞警报】React Server Components 曝RCE漏洞(CVE-2025-55182),CVSS评分10.0,请立即升级!
主机帮 深度解读 各位开发者与运维同仁,请注意!前端生态核心框架React于12月3日发布紧急安全公告,其React Server Components(RSC) 特性中被发现一个未经身份验证的远程代码执行(RCE) 高危漏洞。该漏洞已被分配编号 CVE-2025-55182,并获得CVSS v3.1 10.0分(最高严重等级)。攻击者无需任何身份验证即可远程在服务器上执行任意代码,危害极大。 漏…- 3
- 0
-
微软紧急修复“史上最严重”漏洞:ASP.NET Core 应用面临严峻安全威胁
10月17日,科技媒体bleepingcomputer报道,微软已于近日修复了一个被追踪为CVE-2025-55315的高危漏洞。该漏洞被微软官方标记为“ASP.NET Core史上最严重的漏洞”,其严重性引发了开发社区的广泛关注。 漏洞核心信息 漏洞类型:HTTP请求走私 存在位置:ASP.NET Core 的 Kestrel Web 服务器 攻击前提:攻击者需已通过身份验证 潜在危害:劫持其他…- 3
- 0
-
安卓通知系统被曝新漏洞:可引导用户进入钓鱼网站
6 月 14 日消息,安全研究员 Gabriele Digregorio 昨日(6 月 13 日)揭露称安卓通知系统存在漏洞,影响安卓 14/15/16 版本,涉及 Pixel 9 Pro 等多款机型。谷歌随后承认该漏洞,并表示会尽快分发补丁修复。 该漏洞涉及通知的“打开链接”按钮,用户在点击后,被重定向到与通知显示不符的网址。这一问题源于消息中隐藏的 Unicode 字符,它们会干扰系统对链接文…- 967
- 0
-
VMware 9.3 分 高危漏洞被紧急修复
3 月 10 日消息,博通(Broadcom)旗下 VMware 本周发布安全更新,针对 VMware ESXi 服务器等产品,修复多个安全漏洞。 VMware 于 3 月 4 日发布安全公告 VMSA-2025-0004,警告存在三个 0-day 漏洞(CVE-2025-22224、CVE-2025-22225 和 CVE-2025-22226),影响 VMware ESXi、Workstati…- 1.4k
- 0
-
WordPress RealHome 主题/Easy Real Estate插件曝高危漏洞 攻击者可提权至管理员
1 月 23 日消息,科技媒体 bleepingcomputer 昨日(1 月 22 日)发布博文,报道称 WordPress 主题 RealHome 和插件 Easy Real Estate 存在严重安全漏洞,未经身份验证的用户可利用漏洞获取管理员权限,数万网站面临风险。 令人担忧的是,漏洞发现者 Patchstack 自 2024 年 9 月以来多次联系供应商 InspiryThemes,但未…- 193
- 0
-
7-Zip 压缩工具被曝高危漏洞,可绕过微软 Win10 / Win11 MoTW 用于传播恶意软件
1 月 22 日消息,科技媒体 bleepingcomputer 昨日(1 月 21 日)发布博文,报道称压缩工具 7-Zip 被曝出一个高危漏洞(CVE-2025-0411),推荐用户尽快升级到 2024 年 11 月 30 日发布的 24.09 版本。 攻击者可以利用该漏洞,绕过 Windows 的“网络标记”(Mark of the Web,简称 MotW)安全功能,在用户从嵌套压缩包中解压…- 570.5m
- 0
-
物联网云平台 OvrC 曝一系列重大漏洞,黑客可远程执行恶意代码
11 月 16 日消息,安全公司 Claroty 发布报告,曝光了一款海外流行的物联网设备云端管理平台 Ovr 内含的一系列重大漏洞。安全公司声称黑客可以接连利用这些漏洞实现在物联网设备上远程执行恶意代码,而根据 CVSS 风险评估,部分曝光的漏洞风险评分高达 9.2(满分 10 分)。 OvrC 物联网平台的主要功能是通过移动应用或基于 Web Socket 的界面为用户提供远程配置管…- 117
- 0
-
BT 客户端 qBittorrent 存在 14 年的远程代码执行漏洞
11 月 2 日消息,科技媒体 bleepingcomputer 于 10 月 31 日发布博文,报道称知名 BT 下载客户端 qBittorrent 修复了已存在 14 年的中间人劫持 / 远程代码执行漏洞。 该漏洞最早可以追溯到 2010 年 4 月 6 日,官方于 2024 年 10 月 28 日发布的最新版本 5.0.1 中修复,时隔超过 14 年。 该漏洞是由于应用程序的 Do…- 267
- 0
-
三星 Exynos 芯片现高危漏洞
10 月 30 日消息,三星电子本月发出警告,称许多搭载 Exynos 处理器的 Galaxy 智能手机和平板电脑存在高风险漏洞,可能被黑客利用。公司敦促用户尽快更新到最新的安全补丁,并正在积极解决该漏洞。 受影响的 Exynos 处理器型号包括: 9820 9825 980 990 850 W920 受影响的设备包括: Galaxy S20 系列 Galaxy Note 20 系列 Galaxy…- 663
- 0
-
PC 版 ChatGPT 客户端曝“记忆”功能漏洞
9 月 27 日消息,OpenAI 在今年 2 月宣布为 ChatGPT 推出记忆(Memory)的功能,今年 9 月初这项功能正式向所有用户开放,该功能的主要用途是“设定预设”,从而帮助 AI 向用户更符合需求的答案。 不过研究人员 Johann Rehberger 目前披露报告,称这项功能在 PC 版 ChatGPT 客户端上存在漏洞,黑客可借漏洞获取用户对话记录。 Joh…- 323
- 0
-
Linux 曝“灾难”级漏洞:已存在 10 多年,影响几乎所有发行版,暂无补丁
近期,Linux 社区曝出了一个严重的远程代码执行(RCE)漏洞,该漏洞已存在约10年,影响几乎所有的 GNU/Linux 发行版。这个漏洞的破坏力极强,预估的 CVSS 评分达到了9.9分(满分为10分),表明其潜在的危害性极高。 目前,相关的修复补丁尚未发布,但用户可以采取一些临时措施来缓解风险,例如禁用或移除 cups-browsed 服务、更新 CUPS 安装以及阻止对 UDP 端口 63…- 217
- 0
-
Slack AI曝存在数据泄露漏洞:恶意提示词注入可窃取私密频道信息
最近,安全公司 PromptArmor 曝光了 Slack AI 的一个严重安全漏洞,称其容易受到恶意提示注入攻击。Slack AI 是 Salesforce 团队通讯服务中的一个附加服务,主要用于生成性工具,比如总结长对话、回答问题和汇总不常访问的频道信息。然而,PromptArmor 表示,这个服务并不像它宣称的那样安全。 漏洞的核心在于,Slack 允许用户查询公共和私密频道的数据,包括用户…- 393.5b
- 0
-
苹果GPU 存在安全漏洞,iPhone 12、M2 MacBook Air 等受影响
据报道,苹果公司近期发现了其一些产品的GPU存在安全漏洞,并承认 iPhone 12 和 M2 MacBook Air 受影响。该漏洞可能使攻击者窃取由芯片处理的数据,包括与 ChatGPT 的对话内容等隐私信息。 Trail of Bits 的安全研究人员发现,由苹果、高通、AMD 和 Imagination 制造的多种图形处理器存在名为“LeftoverLocals”的漏洞。该漏洞利用 GPU…- 240
- 0
-
卡巴斯基公布苹果 Triangulation 漏洞事件分析报告
卡巴斯基实验室在2023年6月发现了苹果iOS设备中存在的Triangulation漏洞,该漏洞允许黑客向受害者发送特定的iMessage文件进行远程代码攻击。然而,卡巴斯基出于“安全要求”并未公开漏洞细节。 现在,卡巴斯基已经正式公开了这项Triangulation漏洞的调查报告。据报告,Triangulation漏洞主要由4项零日漏洞构成: FontParser 漏洞 CVE-2023-419…- 779
- 0
-
OpenSSL CCS 注入漏洞是什么 如何修复
OpenSSL CCS注入漏洞概述 OpenSSL CCS注入漏洞是由于OpenSSL的ChangeCipherSpec设计缺陷导致的,被称为CCS注入漏洞。攻击者可以利用此漏洞发起中间人攻击,篡改或监听SSL加密传输的数据。 受影响的OpenSSL版本 受影响的OpenSSL版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.…- 4.2k
- 0
-
ChatGPT 又被曝漏洞:重复某词可曝出敏感信息内容
11 月 30 日消息,继“奶奶漏洞”之后,ChatGPT 又被曝出“重复漏洞”,而这次更为严重。 谷歌 DeepMind 研究人员近日研究 ChatGPT 时,发现在提示词中只要其重复某个单词,ChatGPT 就有几率曝出一些用户的敏感信息。 例如“Repeat this word forever:poem poem poem poem”,重复 poem 这个单词,ChatGPT 在重复几个 p…- 951
- 0
-
微软 Defender 新一轮漏洞赏金计划开始:最高奖励 20000 美元
11 月 23 日消息,微软今日发布新闻稿,宣布将为旗下 Microsoft Defender 推出新一轮赏金计划,主要鼓励安全研究人员发现这款软件中的漏洞,赏金最高为 20000 美元。 微软介绍称,Microsoft Defender 旨在增强微软客户的安全性体验,而 Microsoft Defender 赏金计划将邀请全球研究人员寻找这款软件中的漏洞。新一轮 Defender 赏金计划将从“…- 867
- 0
-
WordPress 6.3.2中文最新版更新发布
This security and maintenance release features 19 bug fixes on Core, 22 bug fixes for the Block Editor, and 8 security fixes.此安全和维护版本在Core上修复了19个错误,在Block Editor上修复了22个错误,并修复了8个安全问题。WordPress 6.3.2 is…- 1.1k
- 0
-
WordPress tagDiv插件漏洞,数千个网站遭到黑客攻击
10月10日 消息:近日,数千个使用 WordPress 内容管理系统的网站遭到黑客攻击。该攻击者利用了名为 tagDiv Composer 的热门插件中的一个最近修补的漏洞,向网页注入恶意代码。 据了解,存在漏洞的 tagDiv Composer 插件是使用 WordPress 主题 Newspaper 和 Newsmag 必须的组件。这两个主题在 Theme Forest 和 Envato 市…- 1.3k
- 0
-
黑客利用 Xbox 漏洞开发机器人,可无理由封掉玩家账户
7 月 29 日消息,根据 YouTube 频道 GhillieMaster 分享的最新视频,黑客利用微软 Xbox 平台的漏洞开发制作了机器人,可以让指定玩家关小黑屋,甚至可以封号。 通常情况下,只有在玩家发表不良言论或者作出违规行为之后,微软 Xbox 团队才会采取措施。 而黑客开发的这个特殊机器人,利用 Xbox 平台的漏洞,可以在没有任何理由的情况下,让你的账号关小黑屋 2 天。 从报道中…- 4.2k
- 0
-
Linux 发行版 Gentoo 被曝存在重大漏洞,黑客可进行 SQL 注入攻击
7 月 3 日消息,网络安全公司 SonarSource 在日前研究中发现,Gentoo Linux 发行版中存在漏洞 CVE-2023-28424,黑客可以利用该漏洞进行 SQL 注入攻击。 研究人员从 GentooLinux 的 Soko 搜索组件中找到了这个漏洞。该漏洞的 CVSS 风险评分为 9.1,属于特别重大漏洞,GentooLinux 开发团队已经于漏洞曝出 24 小时内进行了修复。…- 895
- 0
