一个 JSDoc 注释，一次 hover，一次点击，开发机就沦陷了。

近期发现Nginx存在远程代码执行漏洞（CVE-2026-42945），攻击者可通过特制HTTP请求触发堆缓冲区溢出，导致服务崩溃或远程执行代码。受影响版本为1.0.0至1.30.0，建议用户尽快升级至安全版本，并可通过修改配置进行临时防护。

开源编辑器Notepad++于2026年5月26日发布紧急安全更新v8.9.6.1，修复1个高危和2个严重漏洞。攻击者可利用这些漏洞执行任意代码，用户需立即升级以确保安全。主要漏洞包括CVE-2026-48770（崩溃）、CVE-2026-48778和CVE-2026-48800（通过配置文件执行代码）。安全研究人员建议增加白名单和用户确认对话框以提高安全性。

Google Play 要求所有 Unity 应用修补 CVE-2025-59489 漏洞，否则无法通过审核。建议使用 Unity 官方 Patch 工具进行修补，确保版本号递增并使用正式签名，修补后需重新签名并同步修改版本信息。

Kubernetes项目通过发布CVE记录提升透明度，帮助管理员和安全研究者。近期发现一些旧的CVE记录错误标注了修复版本，SRC将于2026年6月1日修正。文章提到三项未修复的漏洞（CVE-2020-8561、CVE-2020-8562、CVE-2021-25740），强调这些问题是架构设计的权衡，无法通过代码完全修复。Kubernetes建议采用安全配置来管理这些风险，并感谢安全研究者的贡献。

Adobe ColdFusion存在任意文件读取漏洞（CVE-2024-53961），攻击者可绕过限制读取敏感文件。受影响版本包括ColdFusion 2021 Update 17及2023 Update 11。建议用户尽快升级至安全版本以防护此漏洞。

近期发现Windows LDAP远程代码执行漏洞（CVE-2024-49113），攻击者可利用此漏洞导致拒绝服务或信息泄露。受影响的系统包括多个版本的Windows Server和Windows 10/11。建议用户尽快安装微软发布的安全补丁以防护此漏洞。

Ivanti发布安全公告，修复了多个产品的缓冲区溢出漏洞(CVE-2025-0282)。该漏洞允许未经身份验证的攻击者通过特制数据包执行任意代码，CVSS评分为9.0。受影响的版本包括Ivanti Connect Secure、Policy Secure和Neurons for ZTA，用户需尽快升级至安全版本。

Fortinet发布安全通告，修复FortiOS和FortiProxy中的身份认证绕过漏洞(CVE-2024-55591)。该漏洞允许攻击者通过特制数据包绕过身份验证，获取超级管理员权限。受影响版本包括FortiOS 7.0.0至7.0.16和FortiProxy 7.0.0至7.2.12。建议用户尽快升级至安全版本，并检查系统日志以防范攻击。

绿盟科技发布安全公告，修复了Rsync中的两个严重漏洞（CVE-2024-12084和CVE-2024-12085），可能导致远程代码执行和信息泄露。受影响版本为Rsync 3.3.0及以下，用户应尽快升级至3.4.0及以上版本以确保安全。若无法升级，可通过修改配置和编译选项进行临时缓解。

绿盟科技CERT监测到MongoDB Mongoose存在搜索注入漏洞（CVE-2025-23061），攻击者可利用该漏洞实现代码注入。受影响版本包括8.0.0-rc0至8.9.5、7.0.0-rc0至7.8.4及6.13.6以下版本。建议用户尽快升级至安全版本。

Palo Alto Networks发布安全公告，修复PAN-OS中的身份验证绕过漏洞（CVE-2025-0108）。该漏洞允许攻击者访问管理界面并获取敏感数据。受影响的版本包括PAN-OS 10.1、10.2、11.1和11.2。用户应尽快升级至安全版本，或通过限制管理界面访问进行临时防护。

PostgreSQL发布安全公告，修复SQL注入漏洞（CVE-2025-1094），CVSS评分8.1。攻击者可利用此漏洞执行任意代码。受影响版本包括17以下的多个版本，用户应尽快升级或采取临时防护措施，如验证UTF-8编码和限制psql访问权限。