标签
一名安全研究人员发现,注册为FIFA代理人即可获得FIFA的Microsoft Entra租户访问权限,从而绕过客户端身份验证,访问2026年世界杯的实时直播流管理面板,包括所有比赛的RTMP流密钥。该研究人员不得不联系FIFA、MediaKind、HBS、CISA和FBI以修复此问题。
Marcelo Trylesinski 分享了他对 CVE-2026-48710 的看法,这是一个 Starlette 中的安全漏洞,涉及通过操纵 Host 标头绕过基于路径的授权。他认为该漏洞源于应用模式和部署方式,而非框架本身。
Starlette 和 FastAPI 中存在一个严重的主机头身份验证绕过漏洞(CVE-2026-48710),影响众多 Python ASGI 应用,包括 AI 推理服务器(如 vLLM)、AI 代理服务器(如 LiteLLM)和 MCP 网关,可能导致未授权访问。
开源ASGI框架Starlette中的一个严重漏洞(CVE-2026-48710,名为BadHost)使数百万AI代理和服务器面临数据被盗和凭证泄露的风险,影响了FastAPI、vLLM和LiteLLM等框架。该漏洞已在Starlette 1.0.1中修复,利用起来非常简单,凸显了AI工具生态系统中的风险。
关于 React 的批评性博客文章合集,涵盖性能问题、一个严重安全漏洞(CVE-2025-55182,CVSS 10.0)以及更广泛的生态系统问题。
Anthropic通过Doyensec发现了一个与Linked Data Signatures相关的Fediverse软件(Mastodon、Misskey及其分支)的严重漏洞。该漏洞允许通过JSON-LD扩展重排序属性,从而使攻击者能够利用已签名的对象。
Next.js 存在一个严重漏洞(CVSS 8.6),影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4,允许未经身份验证的攻击者访问内部服务、云凭证和 API 密钥。请立即升级到 15.5.16 或 16.2.5。
YellowKey 是一个概念验证漏洞利用工具,它利用 Windows 恢复环境中的一个漏洞,绕过 Windows 11 的 BitLocker 加密,从而实现对受保护卷的无限制访问。
一位安全研究员发现 Claude Code 中存在远程代码执行 (RCE) 漏洞,该漏洞由深层链接设置的不当解析引起,允许通过钩子 (hooks) 注入任意命令。此问题已在版本 2.1.118 中修复。
Ollama 被披露存在关键安全漏洞,包括被称为“Bleeding Llama”的内存泄漏利用漏洞以及 Windows 远程代码执行(RCE)漏洞,亟需用户紧急升级。
Pillar Security 研究人员披露了 Google 的 gemini-cli 及其相关 GitHub 工作流中存在一个关键的 CVSS 10 漏洞(TrustIssues),该漏洞允许攻击者通过 Prompt 注入窃取密钥并破坏仓库供应链。
本文详细介绍了 CVE-2025-5518(React2Shell)的发现与披露过程。这是一个存在于 React Server Components 中的严重远程代码执行漏洞,研究人员通过绕过 Flight 协议的验证机制来访问对象原型。
CVE-2026-31431(Copy Fail)是Linux内核中的一个本地提权漏洞,影响自2017年以来的所有主流发行版,允许非特权用户通过AF_ALG加密子系统对任何可读文件的页缓存进行确定性的4字节写入,从而获得root shell访问权限。
Copy Fail 2 是一个针对 Linux 内核 xfrm 子系统中非特权本地权限提升(LPE)漏洞的概念验证利用程序,攻击者可利用该漏洞在现代发行版上获取 root 权限。
本文认为,GNU IFUNC 以及将 OpenSSH 链接到 SystemD 的设计决策,才是 CVE-2024-3094 xz-utils 后门漏洞得以实施的主要促成因素,而非恶意代码本身。
在 Anthropic 的 Claude Code CLI 和 SDK 中发现了严重命令注入漏洞(CVE-2026-35022,CVSS 9.8),攻击者能够通过环境变量、文件路径和身份验证助手执行任意命令并窃取凭据。这些缺陷使得在 CI/CD 环境中能够进行毒化流水线执行攻击,需要立即修补和配置更改。