小红花·文摘

大疆扫地机被Claude Code逆向并发掘漏洞可远程控制扫地机目前已修复

蓝点网 ·

AI在开源项目中发现500+漏洞：Claude Code Security研究预览版上线

蓝点网 ·

AI代理正在加速漏洞发现。应用安全团队必须如何适应。

The New Stack ·

Node.js项目漏洞报告的新HackerOne Signal评分要求

Node.js Blog ·

认证令牌泄露导致的远程代码执行（RCE），涉及跨站WebSocket劫持（CSWSH）和不正确的资源转移（CWE-669）：攻击者可构造恶意链接，诱使用户点击后将token泄露到攻击者控制的服务器，进而获得对OpenClaw网关的完全控制权。：在建立WebSocket连接时，会自动将用户的认证token发送到指定的gateway...

OpenClaw 漏洞（CVE-2026-25253）详情

dotNET跨平台 ·

默认情况下，包含漏洞版本的第三方包next-mdx-remote的新部署现已被阻止

Vercel News ·

Windows 记事本爆出 8.8 分漏洞，专门针对 markdown 格式｜CVE-2026-20841

小众软件 ·

微软修复了可能诱使用户点击恶意Markdown链接的记事本漏洞

The Verge ·

例如，在对 GitHub Actions...

技术速递｜借助 GitHub Security Lab Taskflow Agent 的 AI 支持漏洞分流

dotNET跨平台 ·

CloudCone因Virtualizor漏洞遭入侵，导致洛杉矶VPS服务故障，用户无法连接。官方正在调查并重建受影响节点，确保数据安全。建议用户备份数据，以防未来类似事件。

Virtualizor 面板漏洞导致 CloudCone、HostSlick 等多家 IDC 被入侵，遭勒索攻击，数据受损！

WordPress 果酱 ·

#安全资讯有黑客利用 React2Shell 漏洞入侵宝塔面板和 NGINX 服务器，通过篡改网站配置文件将流量跳转到非法博彩平台。此次攻击黑客目标是印度、印尼、泰国、孟加拉、秘鲁的网站，黑客篡改配置文件直接将流量转到黑客控制的服务器，然后通过更精密的流量控制将部分访问跳转到非法博彩网站，管理员如果不检查配置文件很难发现网站已经被劫持。查看全文：https://ourl.co/111768

有黑客通过漏洞入侵宝塔面板和NGINX服务器得手后劫持网站流量到博彩网站

蓝点网 ·

Vercel开源软件漏洞赏金计划现已上线

Vercel News ·

一只MacOS 26漏洞让我的3700美元Mac Studio变砖 - 我是如何奇迹般地恢复它的

ZDNET ·

#安全资讯飞牛官方终于不再装死，紧急发布 v1.1.18 版继续修复漏洞，但仍然对漏洞轻描淡写且淡化漏洞危害。在凌晨四点发布的安全公告中，飞牛只说外部流量异常影响系统稳定性，只字不提大量用户数据遭到访问，同时声称「我们发现了自身代码的一些疏漏」，另外飞牛强调升级 v1.1.18...

飞牛官方不再装死紧急发布v1.1.18版继续修复漏洞但仍然无法确认安全性

蓝点网 ·

飞牛fnOS疑似存在0Day漏洞，未登录状态下可遍历目录并注入恶意文件。官方未及时发布预警，建议用户关闭公网访问、更新至v1.1.15版本，并备份重要数据，等待修复工具。

飞牛 fnOS 疑似遭遇 0Day 严重漏洞，强烈建议先关闭公网访问

WordPress 果酱 ·

#安全资讯紧急安全提醒！飞牛 OS 最新版仍然存在漏洞，请立即断开网络连接进行排查，务必立即撤掉 fnOS Web 连接和内网穿透。目前无法确认 fnOS v1.1.15 版是否安全，鉴于飞牛官方一直在装死，已经有网友发出新的漏洞证明 (PoC)，该漏洞涉及到最新版的 WebSocket 命令注入，观测数据显示目前全网至少有 80 万台 fnOS...