版本号之困:OpenResty XRay 如何破解漏洞扫描中的误报难题

版本号之困:OpenResty XRay 如何破解漏洞扫描中的误报难题
OpenResty 官方博客
OpenResty 官方博客 ·
OpenClaw创始人回信确认360独家发现漏洞

OpenClaw创始人回信确认360独家发现漏洞
量子位
量子位 ·
Spring Cloud Config 5.0.2、4.3.2、4.2.6、4.1.9、3.1.13 发布,修复了 CVE-2026-22739 漏洞

Spring Cloud Config 5.0.2、4.3.2、4.2.6、4.1.9、3.1.13 发布,修复了 CVE-2026-22739 漏洞
Spring
Spring ·

群晖发布安全更新,修复Telnetd漏洞,建议用户禁用Telnet服务以提升安全性。使用Telnet的用户需立即更新,不使用的用户应确认服务已禁用。大多数用户无需开启Telnet。

群晖发布DSM安全更新修复Telnetd漏洞 但直接禁用Telnet服务更好
蓝点网
蓝点网 ·

谷歌威胁情报小组披露了名为DarkSword的iOS漏洞利用工具,该工具可在未更新系统的情况下完全接管iOS设备。自2025年11月起,该工具被多个间谍软件和黑客利用。苹果已通过安全更新修复漏洞,用户需及时安装更新以防攻击,建议开启自动更新和高级安全保护。

谷歌威胁情报小组曝光DarkSword漏洞 用于监控iOS设备和窃取各类敏感资料
蓝点网
蓝点网 ·
群晖两连更:几乎没人用功能,Telnetd 爆出两个 9.8 分 CVE 漏洞

群晖两连更:几乎没人用功能,Telnetd 爆出两个 9.8 分 CVE 漏洞
小众软件
小众软件 ·
Seer修复Seer:Seer如何指引我们发现漏洞并帮助修复故障

Seer修复Seer:Seer如何指引我们发现漏洞并帮助修复故障
Sentry Blog
Sentry Blog ·

安全研究员发现GNU InetUtils的telnet守护进程存在高危漏洞,攻击者可远程执行任意代码。建议用户禁用Telnet服务以降低风险,修复程序预计于2026年4月发布。

安全研究员披露Telnetd未修复的高危漏洞 攻击者可利用漏洞提权执行任意代码
蓝点网
蓝点网 ·

苹果发布全平台后台安全更新,修复WebKit中的高危漏洞CVE-2026-20643,该漏洞允许恶意内容绕过同源策略。受支持设备将自动下载安装更新,无需重启。

苹果推出iOS 26.3.1(a)等后台安全改进版更新 用于修复WebKit高危漏洞
蓝点网
蓝点网 ·
OWASP十大代理与人工智能漏洞(2026年备忘单)

OWASP十大代理与人工智能漏洞(2026年备忘单)
Alex Ewerlöf Notes
Alex Ewerlöf Notes ·
GitLab建议人工智能可以检测漏洞,但治理机制才是决定风险的关键

GitLab建议人工智能可以检测漏洞,但治理机制才是决定风险的关键
InfoQ
InfoQ ·

2025年12月,Cloudflare发现Pingora框架存在HTTP/1.x请求走私漏洞,编号CVE-2026-2833、CVE-2026-2835和CVE-2026-2836。虽然Cloudflare的CDN未受影响,但建议Pingora用户尽快升级至0.8.0版本以修复这些漏洞。

修复Pingora开源框架中的请求走私漏洞
The Cloudflare Blog
The Cloudflare Blog ·

Cloudflare推出了Web和API漏洞扫描器的测试版,专注于检测API中的BOLA漏洞。传统防御无法有效应对API逻辑缺陷,因此需要主动检测。该扫描器将帮助识别复杂的API漏洞,未来将扩展到更多安全扫描类型。

主动防御:为API引入有状态漏洞扫描器
The Cloudflare Blog
The Cloudflare Blog ·
如何防止Next.js API路由中的IDOR漏洞

如何防止Next.js API路由中的IDOR漏洞
freeCodeCamp.org
freeCodeCamp.org ·
大疆扫地机被Claude Code逆向并发掘漏洞可远程控制扫地机 目前已修复

大疆扫地机被Claude Code逆向并发掘漏洞可远程控制扫地机 目前已修复
蓝点网
蓝点网 ·
AI在开源项目中发现500+漏洞:Claude Code Security研究预览版上线

AI在开源项目中发现500+漏洞:Claude Code Security研究预览版上线
蓝点网
蓝点网 ·
AI代理正在加速漏洞发现。应用安全团队必须如何适应。

AI代理正在加速漏洞发现。应用安全团队必须如何适应。
The New Stack
The New Stack ·
Node.js项目漏洞报告的新HackerOne Signal评分要求

Node.js项目漏洞报告的新HackerOne Signal评分要求
Node.js Blog
Node.js Blog ·

认证令牌泄露导致的远程代码执行(RCE),涉及跨站WebSocket劫持(CSWSH)和不正确的资源转移(CWE-669):攻击者可构造恶意链接,诱使用户点击后将token泄露到攻击者控制的服务器,进而获得对OpenClaw网关的完全控制权。:在建立WebSocket连接时,会自动将用户的认证token发送到指定的gateway...

OpenClaw 漏洞(CVE-2026-25253)详情
dotNET跨平台
dotNET跨平台 ·
默认情况下,包含漏洞版本的第三方包next-mdx-remote的新部署现已被阻止

默认情况下,包含漏洞版本的第三方包next-mdx-remote的新部署现已被阻止
Vercel News
Vercel News ·
👤 个人中心
在公众号发送验证码完成验证