小红花·文摘

微软发布了.NET 10.0.7版的紧急安全更新，修复了一个评分为9.1的权限提升漏洞。该漏洞允许攻击者伪造身份验证Cookie，可能导致服务器被接管。微软建议所有使用.NET 10.0.0至10.0.6版本的用户立即升级。

微软发布紧急带外更新修复.NET组件中的权限提升漏洞该漏洞评分达9.1分

蓝点网 ·

本文分析了OpenClaw控制端UI的关键逻辑漏洞CVE-2026-25253，CVSS评分为8.8。该漏洞允许攻击者通过诱导用户点击恶意链接，劫持WebSocket连接并窃取身份令牌，进而执行任意系统命令。文章还探讨了漏洞的攻击链路及防护措施，包括严格的网关地址校验和动态审计流程，以增强系统安全性。

OpenClaw安全实战系列三：利用网关劫持实现 OpenClaw控制端1-Click RCE (CVE-2026-25253)

绿盟科技技术博客 ·

研究人员在 Microsoft Defender 中发现了名为“红日”的安全漏洞，攻击者可利用该漏洞提升权限，恶意文件可覆盖系统文件，造成严重危害。由于与微软安全响应中心的矛盾，研究人员公开了该漏洞，导致黑客开始利用。微软需尽快修复漏洞并解决与研究人员的矛盾。

安全研究员在Microsoft Defender中发现漏洞与微软产生矛盾后公开漏洞

蓝点网 ·

谷歌GCP存在漏洞，旧API令牌可无限制调用Gemini API，导致开发者账单激增至54,000欧元。谷歌正在改进消费限制，但仅适用于新生成的API密钥，旧密钥仍存在风险。开发者需立即更换密钥以避免损失。

又出现天价账单！谷歌GCP存在缺陷地图API都能直接调用Gemini且不受消费限制

蓝点网 ·

人工智能驱动的软件漏洞发现变革：维护者和漏洞发现者需要了解的事项

Cloud Native Computing Foundation ·

Codex Security代码审计初体验

离别歌 ·

开源项目New-API发现高危漏洞，攻击者可伪造充值。漏洞已修复，用户需升级至v0.12.10版，并检查近期充值订单是否异常。新版本增强了Stripe支付的安全性，确保请求来自Stripe。

开源AI中转站项目New-API修复高危漏洞利用缺陷可以伪造任意金额充值

蓝点网 ·

破解AI代理：通过GitHub安全代码游戏培养代理AI安全技能

The GitHub Blog ·

你的代码有多暴露？几分钟内免费了解

The GitHub Blog ·

Adobe 发布紧急安全更新，修复 Acrobat 和 Acrobat Reader 中的高危漏洞。该漏洞自 2025 年 11 月起被黑客利用，影响 Acrobat DC、Reader DC 和 Acrobat 2024。用户应立即更新至最新版本，以防止恶意 PDF 文档导致代码执行。漏洞评级为严重，CVSS 评分为 8.6，建议用户谨慎打开陌生来源的 PDF 文件。