-
安全保卫者的无奈投降:cURL因AI洪流淹没,宣布终止漏洞赏金计划
当AI学会了批量生成“看似专业”的漏洞报告,开源世界的守护者们正被一场由机器发起的“垃圾邮件攻击”拖垮。 2026年1月21日,一个标志性的事件震动了开源与安全社区:网络工具领域的基石之一、被数十亿设备广泛使用的cURL项目,正式宣布将于本月底终止其安全漏洞赏金计划。 其核心开发者Daniel Stenberg的声明中充满了疲惫与无奈——项目持续遭到海量AI生成的虚假漏洞报告的“轰炸”,仅由7人组…- 0
- 0
- 0
-
流行美容院管理系统曝XSS漏洞,客户数据面临窃取风险
您的美容院预约系统,可能正在成为黑客窃取客户隐私的“后门”。 国家信息安全漏洞共享平台(CNVD)最新披露,广泛应用于中小型美容、美发、SPA机构的 Complete Online Beauty Parlor Management System(在线美容院综合管理系统)1.0版本 中存在一个跨站脚本(XSS)漏洞(CNVD-2026-05329 / CVE-2025-15188)。该漏洞存在于关键…- 0
- 0
- 3
-
Snap商店供应链攻击升级!黑客劫持过期域名,正版应用变“钱包杀手”
你从官方商店更新的“正版”应用,可能正在将你的加密资产助记词,悄然发送到黑客的服务器。 2026年1月20日,前Canonical资深员工、维护近50个Snap应用的社区专家Alan Pope发出重磅警告:Ubuntu背后的Canonical公司所运营的Snap商店,正遭受一种极其隐秘的新型供应链攻击。攻击者不再伪造新应用,而是通过劫持开发者过期域名,“合法”接管已有数年信誉的官方应用,并通过商店…- 0
- 0
- 1
-
PHPEMS曝出CSRF漏洞(无官方补丁),考试系统面临成绩与题库篡改风险
当一次“钓鱼链接”的点击,可能悄然篡改你的期末考试试卷——这个存在于众多在线考试系统中的漏洞,正在等待修补。 国家信息安全漏洞共享平台(CNVD)近日披露,广泛应用于教育及企业培训领域的 PHPEMS在线考试系统(≤11.0版本) 存在一个跨站请求伪造(CSRF)漏洞(CNVD-2026-04663 / CVE-2025-15405)。核心风险在于:截至目前,官方尚未发布任何修复补丁。 这意味着,…- 0
- 0
- 1
-
苹果发布紧急安全更新:修复正被黑客利用的“极其复杂”WebKit漏洞,iPhone用户需立即行动
一次普通的网页浏览,可能正在让你的iPhone控制权悄然易手。苹果的紧急警告背后,是一个已被黑客武器化的高危漏洞。 2026年1月19日,苹果在其安全公告页面发布紧急通知,强烈敦促所有iPhone和iPad用户立即将设备系统更新至最新版本。此次更新旨在修复存在于WebKit浏览器引擎中的两个“极其复杂”的安全漏洞,且已有明确证据表明这些漏洞正在被黑客积极利用。 01 漏洞深度解析:你的“无害”点击…- 0
- 0
- 3
-
PHPEMS曝CSRF漏洞(暂无补丁),在线考试系统面临数据篡改风险
一个尚未修复的漏洞,可能正让成千上万的在线考试暴露在题目篡改、成绩操纵的威胁之下。 近日,国家信息安全漏洞共享平台(CNVD)披露了一个影响 PHPEMS 在线考试系统的跨站请求伪造(CSRF)漏洞(编号:CNVD-2026-04663 / CVE-2025-15405)。该漏洞危害评级为“中”,但关键点在于:截至目前,官方厂商尚未发布任何升级补丁或修复方案。 这意味着,所有使用 PHPEMS 系…- 0
- 0
- 7
-
WordPress插件All In One SEO Pack信息泄露漏洞深度解析
近日,国家信息安全漏洞共享平台(CNVD)收录了WordPress插件All In One SEO Pack的一处信息泄露漏洞(CNVD-2026-04186),对应的CVE编号为CVE-2025-64295。该漏洞影响范围较广,所有版本号低于或等于4.8.6.1的插件均存在风险,危害级别被评为“中”。本文将对该漏洞的背景、影响、修复方案等进行系统梳理。 漏洞概述 CNVD-ID:CNVD-202…- 0
- 0
- 15
-
新型Linux恶意软件框架VoidLink曝光,专门瞄准阿里云及腾讯云等国内外主流云平台
1月14日消息,网络安全公司Check Point近日发布报告,披露一款名为VoidLink的新型Linux恶意软件框架。该软件复杂度被评定为“远超典型恶意软件”,其设计展现出一个完整、可长期潜伏的攻击生态系统,表明背后很可能是拥有充足资源的专业威胁组织。 研究人员指出,VoidLink并非单一病毒程序,而是一个高度模块化的攻击平台。框架目前包含超过30个功能模块,攻击者可根据入侵的不同阶段和目标…- 0
- 0
- 7
-
AI冲击波及建站生态:从独立主题商店到前端框架的商业困境
1月11日行业观察,近期多位独立开发者和建站服务商反映,传统网站建设和主题销售业务正受到生成式AI工具的显著冲击。一位从业者在周报中坦言:“现在基本没人找我们建站了,连我们精心开发的WordPress主题也销量骤减。”他特别提到,其团队投入大量精力开发的“深度自定义与模块化设计的WordPress企业主题”市场反响冷淡,购买者寥寥。 针对这一现象,行业讨论普遍将原因指向以Vibe Coding为代…- 0
- 0
- 19
-
Instagram爆发大规模数据泄露:近1750万用户信息遭窃,母公司Meta暂未回应
1月11日综合消息,网络安全公司Malwarebytes于当地时间1月10日发布警告称,其在暗网监控中发现了一起涉及约1750万用户的Instagram大规模数据泄露事件。 据分析,此次泄露事件并非由传统的服务器入侵导致,而是攻击者通过一个可能在2024年末未受充分保护的API端点,系统性地抓取了公开接口中的数据。泄露的信息主要包括用户的全名、电子邮件地址、电话号码以及位置数据等个人敏感信息。安全…- 0
- 0
- 1
-
思科多款交换机突发异常重启循环,DNS客户端漏洞引全网震荡
2026年1月9日,网络安全媒体《BleepingComputer》披露,全球网络设备制造商思科(Cisco)旗下多款交换机产品从当日凌晨起突现大规模异常重启,导致全球众多企业网络陷入持续数小时的运行中断。 报道指出,大约自凌晨2点开始,这些交换机的内部DNS客户端服务因一处固件漏洞被触发,开始将普通的DNS查询失败误判为“致命错误”,进而致使设备陷入无限重启循环。受影响的交换机在每次重启前,系统…- 0
- 0
- 63
-
意大利对Cloudflare开出1.16亿元天价罚单
1月10日消息,意大利通信监管机构(AGCOM)于当地时间1月8日宣布,对美国网络服务公司Cloudflare处以14,247,698欧元(约合1.16亿元人民币)的巨额罚款,原因是该公司拒绝在其公共DNS服务“1.1.1.1”中屏蔽一系列盗版网站。 此项处罚依据意大利2024年通过的《Piracy Shield(反盗版盾牌)》法案作出。该法案要求网络服务提供商在接到版权方举报后,必须在30分钟内…- 0
- 0
- 3
-
CMSimple目录遍历漏洞曝光:老旧CMS系统潜藏RCE风险,数万网站面临安全威胁
CMSimple目录遍历漏洞曝光:老旧CMS系统潜藏RCE风险,数万网站面临安全威胁 漏洞信息速览 漏洞编号:CVE-2021-43741影响产品:CMSimple CMSimple 5.4漏洞类型:目录遍历 → 远程代码执行危害等级:高(影响机密性、完整性、可用性三重安全属性)公开日期:2026年1月8日当前状态:厂商尚未发布修复补丁利用条件:无需身份验证,远程攻击者即可利用 漏洞技术深度分析 …- 0
- 0
- 3
-
暗网曝ASML疑遭数据泄露,154个数据库文件被公开
1月7日综合消息,据外媒Daily Dark Web报道,一名自称“1011”的威胁行为者在知名暗网论坛BreachForums发布帖子,宣称已成功入侵荷兰半导体光刻机巨头阿斯麦(ASML)的系统。 发帖者声称,其获取并泄露了约154个SQL数据库文件,同时提供了如何将这些文件转换为CSV或纯文本格式的说明。根据描述,泄露的数据范围包括用户信息、软件相关数据、磁盘加密密钥以及设备详细信息等。 技术…- 0
- 0
- 111
-
奶牛快传1月10日停服,所有功能停止,数据开始清除
事件聚焦:又一款“良心”工具落幕,用户数据进入清除倒计时 停服时间:2026年1月10日0时(仅剩最后72小时)影响范围:所有奶牛快传用户(个人、团队、企业账户)核心风险:服务器数据将被永久清除,未备份文件将无法找回历史背景:该服务曾于2025年11月宣布12月8日停服,后因并购意向短暂延续,最终仍难逃关停命运 一、事件深度解读:不只是“又一个App关闭” 时间线还原:从并购希望到最终落幕 202…- 0
- 0
- 67
-
WooCommerce品牌插件曝SQL注入漏洞,电商网站面临数据全盘泄露风险
漏洞紧急通告:电商网站的核心组件沦陷 漏洞编号:CNVD-2026-00106(对应CVE-2025-68519)危害等级:严重高危(影响机密性、完整性、可用性三重安全属性)影响范围:WordPress Brands for WooCommerce Plugin <= 3.8.6.3 所有版本漏洞类型:SQL注入漏洞公开时间:2026年1月5日攻击特点:远程攻击者无需身份验证即可利用该漏洞,…- 0
- 0
- 3
-
WordPress Follow My Blog Post插件曝数据泄露漏洞,博客用户隐私面临风险
漏洞事件概述:订阅功能背后的安全隐患 漏洞编号:CNVD-2026-00008(对应CVE-2025-64258)危害等级:高危(CVSS评分高,攻击复杂度低,无需身份验证)影响版本:WordPress Follow My Blog Post插件 <= 2.3.9 所有版本漏洞性质:敏感信息泄露公开时间:2026年1月4日攻击特点:远程攻击者无需任何凭证即可利用该漏洞访问敏感数据 插件背景与…- 0
- 0
- 31
-
MasterStudy LMS Pro插件曝信息泄露漏洞,数万在线教育网站面临数据裸奔风险
漏洞事件概览:在线教育平台的“数据后门” 漏洞编号:CNVD-2026-00009(对应CVE-2025-64213)危害等级:高危(CVSS评分待定,但CNVD评定为高危害)影响范围:WordPress MasterStudy LMS Pro插件 < 4.7.16 版本漏洞类型:敏感信息泄露公开时间:2026年1月4日攻击特征:无需身份验证,远程攻击者可利用该漏洞访问本应受保护的敏感数据 …- 0
- 0
- 1
-
百度云防护WAF自定义CC防护升级,JA3/JA4与多维度统计实现攻击者“精准画像”
引言:告别“IP唯一论”,进入多维特征识别时代 在CC攻击防御领域,IP地址统计长期作为核心判定维度,但其局限性日益凸显:秒拨IP、代理池、云函数攻击的泛滥,使得单纯依赖IP的防护策略如同“用渔网拦细沙”。近日,百度云防护WAF精准自定义CC功能迎来重大升级,新增JA3、JA4、URI PATH及多项自定义字段统计能力,标志着CC防护正式进入“多维度特征关联识别”的新阶段。 一、传统IP统计的三大…- 0
- 0
- 223
-
挪威畅销智能手表被曝“万能钥匙”漏洞,数十万家庭隐私面临裸奔风险
事件概述:一场学术演示揭露的产业级安全危机 在刚刚结束的第39届混沌通信大会(39C3,德国汉堡)上,德国达姆施塔特工业大学的安全研究团队投下了一枚重磅炸弹:挪威市场占有率第一的儿童智能手表品牌Xplora,其安全机制存在致命缺陷。攻击者凭借一个硬编码在系统中的“通用密钥”,即可无差别入侵所有同型号设备。 核心漏洞事实: 影响品牌:Xplora(挪威4-10岁儿童佩戴率达20%) 漏洞性质:硬件级…- 0
- 0
- 3
-
百度脑图:百度又一良心产品将彻底关停!
事件回顾:一款纯净工具的悄然退场 12月29日,百度旗下轻量级思维导图工具——百度脑图,在其官网悄然发布公告。公告显示,因“产品调整”,该服务将于2026年3月31日正式停止运营。官方提醒所有用户务必在此日期前,将重要数据导出并保存至本地设备。 百度脑图自上线以来,始终保持着简洁实用的产品特色: 完全免费:无任何会员等级、功能限制或广告干扰 极简体验:无需安装任何软件,打开浏览器即可使用 云端同步…- 0
- 0
- 31
-
MongoDB爆发“MongoBleed”漏洞(CVE-2025-14847):无需认证即可远程执行代码与内存泄露,请立即升级!
漏洞编号: CVE-2025-14847漏洞别名: MongoBleed威胁等级: 严重影响范围: MongoDB 3.6 至 8.2.3 之间的广泛版本核心风险: 攻击者无需任何身份凭证,即可远程执行任意代码并读取服务器内存敏感信息。 一、漏洞深度剖析:为何“MongoBleed”如此危险? 根据Aikido安全数据库及官方通告,CVE-2025-14847是一个存在于MongoDB网络协议处理…- 0
- 0
- 1.4m
-
百度云防护WAF重大升级:精准自定义CC防护上线JA4与区域匹配,实现黑客工具“精准画像”与地理围栏防御
发布日期: 2025年12月27日核心看点: 百度云防护WAF的“精准自定义CC”规则引擎迎来两大战略级更新——支持JA4指纹识别与区域匹配条件。这意味着防御方首次能同时对攻击者的“软件指纹”和“物理位置”进行双重锁定的精准打击,将CC防护从“流量对抗”带入“身份与意图识别”的新纪元。 一、 痛点回顾:传统CC防护的“模糊地带” 在本次升级前,虽然自定义CC规则已支持IP、URL、Host、JA3…- 0
- 0
- 63
-
开源社区的圣诞危机:Arch Linux官网再遭DDoS,IPv6成唯一“生命线”
事件概述:针对关键开源基础设施的“节日攻击” 2025年12月25日,西方传统圣诞假期期间,知名Linux发行版Arch Linux的官方网站遭遇大规模分布式拒绝服务攻击。此次攻击导致其官网在常规IPv4网络上完全不可用,项目团队被迫启用了一项非常规的应急措施:仅允许通过IPv6协议栈访问官网。目前,网站状态极不稳定,时而可访问,时而完全下线。 这已是Arch Linux在数月内第二次遭受重大DD…- 0
- 0
- 511
