小红花·文摘

开源DNS工具dnsmasq近日发现6个高危安全漏洞，影响所有版本。用户需及时更新以防止黑客攻击。漏洞包括缓冲区溢出和解析逻辑错误，修复版本2.92rel2已发布，开发者计划推出2.93版。

知名开源软件dnsmasq发布安全公告披露6个高危漏洞

蓝点网 ·

curl轻松扛住了最强安全模型Mythos“拷打”——17.6万行C代码仅发现1个低危漏洞

dotNET跨平台 ·

Mythos发现了5个curl漏洞：3个误报 1个普通bug 1个待确认

极道 ·

开源的透明度曾是护城河，AI 正在让它变成负担

乱世浮生 ·

谷歌阻止了一起声称由人工智能开发的零日漏洞攻击

The Verge ·

Anthropic通过其HackerOne漏洞赏金计划将“神话”置于Mythos之中

The New Stack ·

Linux 又爆 Dirty Frag 漏洞：Ubuntu、Debian、Arch、RHEL、WSL2 全中招｜CVE-2026-43284

小众软件 ·

Linux内核新漏洞Dirty Frag允许本地用户轻松提权至root，影响多种主流发行版，目前尚无补丁可用。研究人员建议删除esp4、esp6和rxrpc内核模块以提高安全性，但需评估其影响。该漏洞已存在约9年，具体利用情况尚不明。

新的Linux内核漏洞可以轻松从普通用户提权至root 多数发行版都受漏洞影响

蓝点网 ·

2026年4月29日，Cloudflare应对Linux内核“Copy Fail”漏洞（CVE-2026-31431），该漏洞允许本地特权升级。Cloudflare迅速确认其基础设施未受影响，客户数据安全。通过行为检测，Cloudflare在几分钟内识别出攻击模式并采取有效缓解措施，确保服务正常运行，所有受影响的服务器均已修补，未对客户造成影响。

Cloudflare如何应对“Copy Fail”Linux漏洞

The Cloudflare Blog ·

本文讨论了OpenClaw中的CVE-2026-32038漏洞，该漏洞源于Docker网络命名空间共享机制的审计盲区。攻击者可利用此漏洞在沙箱环境中横向移动，窃取敏感数据。文章强调了安全防护的重要性，建议升级至最新版本并严格限制网络配置，以防止类似攻击。

OpenClaw安全实战系列(四)：幽灵连通性 — 揭秘CVE-2026-32038沙箱网络隔离绕过与靶标实战

绿盟科技技术博客 ·

Qt SVG模块存在类型混淆和基于堆的缓冲区溢出漏洞（CVE-2026-6210），影响版本为Qt 6.7.0至6.8.8及6.9.0至6.11.1。该漏洞可能导致应用崩溃。建议仅从可信来源加载SVG内容，并在加载前进行验证和清理。解决方案是更新至Qt 6.8.8或6.11.1及以上版本。

安全公告：Qt SVG标记处理中的类型混淆和基于堆的缓冲区溢出漏洞影响Qt

Qt Blog ·

研究人员发现，Microsoft Edge 浏览器将用户保存的账号密码以明文形式加载到内存中，即使未使用时也会暴露。微软表示这是有意设计，不视为漏洞。攻击者可通过高权限访问窃取这些凭据。相比之下，谷歌浏览器和 Brave 浏览器仅在需要时解密数据，未出现此问题。建议用户在共享设备上使用后及时登出。

安全研究员发现Edge会将密码明文加载到内存中微软称并非漏洞而是设计如此

蓝点网 ·

介绍deepsec：用于发现代码库中漏洞的安全工具

Vercel News ·

Qt的VectorImage组件存在代码注入漏洞（CVE-2025-14576），影响版本6.8.0至6.8.6及6.9.0至6.10.1。该漏洞允许恶意SVG文件注入QML/JavaScript代码，可能导致服务拒绝或信息泄露。建议仅从可信来源加载SVG文件，并对内容进行验证和清理。应更新至Qt 6.8.7或6.10.2以修复此问题。