发布快讯
安全资讯
5月14
-
NGINX 曝严重远程代码执行漏洞,潜伏代码库 18 年,全球数亿服务器面临风险
20:49 作者:糖茶砌站NGINX 曝严重远程代码执行漏洞,潜伏代码库 18 年,全球数亿服务器面临风险 2026 年 5 月 13 日,安全研究机构 depthfirst 与 F5 联合披露了 NGINX 中一个编号为 CVE-2026-42945 的严重漏洞,CVSS v4.0 评分达 9.2。该漏洞属于堆缓冲区溢出类型,存在于 ngx_http_rewrite_module 模块中,最早可追溯至 20…
5月12
-
TanStack 被 npm 供应链攻击
15:57 作者:糖茶砌站npm 曝大规模供应链攻击:TanStack 生态被投毒,可窃取云密钥与GitHub令牌 流行的前端开发库 TanStack 生态(包括 Router, History 等)确认遭遇严重的供应链攻击。攻击者利用受损的 GitHub Actions 工作流,在多个 npm 官方包中植入了名为 "mini-shai-hulud" 的恶意蠕虫。 安全专家及 TanStack 团队调查…
5月08
-
Linux 内核现严重本地提权漏洞,全主流发行版暂无补丁
07:10 作者:糖茶砌站Linux 内核现严重本地提权漏洞,全主流发行版暂无补丁 一名安全研究人员本周公开披露了一个被命名为”Dirty Frag”的 Linux 内核本地权限提升漏洞。该漏洞允许普通用户无需密码即可获得系统最高权限(root),且目前 Ubuntu、RHEL、Fedora、openSUSE 等全部主流发行版均尚无可用补丁。 该漏洞由韩国安全研究员 Hyunwoo Kim(网名…
5月02
-
PyPI 包 lightning 遭供应链攻击
16:55 作者:糖茶砌站PyPI 包 lightning 遭供应链攻击,窃取开发者凭证并毒化仓库 Socket 报告,深度学习 PyPI 包 lightning 的 2.6.2 与 2.6.3 版本被植入恶意代码,导入即自动下载执行混淆 JavaScript 载荷,窃取 GitHub token、云凭证和环境变量。偷得的权限被用于向仓库注入伪装提交并毒化本地 npm 包,模式类似 Shai-Hulud 蠕虫。维护账户 p…
5月01
-
cPanel&WHM 曝出严重身份验证绕过漏洞
19:10 作者:糖茶砌站服务器面板 cPanel&WHM 曝出严重身份验证绕过漏洞,已被黑客大量利用 据TechCrunch今天发布的消息,安全研究人员就知名Web 服务器管理软件 cPanel 和 WebHost Manager (WHM) 中新发现的一个漏洞发出安全预警。 该漏洞的官方追踪代码为 CVE-2026-41940,它允许恶意黑客远程绕过登录界面,从而获得对软件管理面板的…
4月30
-
九年 Linux 高危漏洞于今日被披露
18:19 作者:糖茶砌站九年 Linux 高危漏洞于今日被披露,需要立即采取措施 安全研究公司 Xint Code(隶属 Theori)于今日公开披露了一个 Linux 内核高危漏洞,编号 为 CVE-2026-31431 命名为"Copy Fail"。漏洞根植于内核加密子系统的 algif_aead 模块,允许任何本地普通用户以确定性、无竞争的方式在任意可读文件的页缓存中写入受控的 4…
4月24
-
Bitwarden CLI在持续的Checkmarx供应链攻击
01:04 作者:糖茶砌站Bitwarden CLI在持续的Checkmarx供应链攻击中被入侵 Socket研究人员发现,开源密码管理器Bitwarden的CLI版本2026.4.0在持续进行的Checkmarx供应链攻击中遭到入侵。攻击者滥用Bitwarden CI/CD管道中的GitHub Action,在npm包中植入名为`bw1.js`的恶意代码。该恶意代码与Checkmarx攻击共享C2端点和有效…
4月20
-
Cherry Studio 承认数据收集开关失效
17:24 作者:糖茶砌站Cherry Studio 承认数据收集开关失效,匿名统计将改为默认关闭 开源项目 Cherry Studio 近日承认,因代码重构及新增功能时的逻辑疏漏,导致其“匿名统计”开关在关闭状态下失效。自今年 3 月起,应用在用户明确关闭数据收集的情况下,仍持续向服务器上传版本号、操作系统、匿名客户端 ID 及启动时间戳等非敏感信息。该问题于 4 月 19 日由社区发现并反馈。 …
4月11
-
硬件监测工具 CPU-Z 官网遭黑客入侵
02:34 作者:糖茶砌站硬件监测工具 CPU-Z 官网遭黑客入侵,部分下载包被植入恶意代码 知名 PC 硬件监测工具 CPU-Z 和 HWMonitor 的开发商 CPUID 证实,其官网在 2026 年 4 月 9 日至 10 日凌晨期间遭到黑客入侵。入侵持续约 6 小时,导致主站的下载链接被随机重定向至恶意服务器,部分用户下载的安装包被植入了恶意代码。多名用户发现下载文件被 Windows Defend…
4月10
-
macOS 被曝存在 49.7 天网络故障漏洞
00:39 作者:糖茶砌站macOS 被曝存在 49.7 天网络故障漏洞,当前需重启修复 macOS 存在一项与 TCP/IP 网络栈有关的问题:设备连续运行至 49 天17小时2分47秒后,新的网络连接可能停止建立,现有连接则可能继续维持。报道援引 Photon 的研究称,问题出在 XNU 内核中的 tcp_now 计时器,该计时器以 32 位无符号整数记录自开机以来的毫秒数,达到上限后回绕,进而影响已关闭…
4月03
-
Nekogram 开发者承认手机号被发送至 Bot,但否认存在存储行为
17:36 作者:糖茶砌站Nekogram 开发者公开回应称,用户号码确实曾被发送到指定 Bot,但坚称这些数据“没有被存储,也没有与任何人共享”。同时,开发者还放出了相关组件源码 Extra.java,试图说明其实现逻辑。 不过,外界对比公开源码与 APK 实际编译版本中的混淆代码后发现,两者并不完全一致。分析指出,公开的 Extra.java 虽然确认了号码同步到 Bot 的流程,但删除了实际构建版本中疑似用于解析和回…
4月02
-
Nekogram 12.5.2 被曝存在后门,静默窃取用户手机号
22:35 作者:糖茶砌站Nekogram 12.5.2 被曝存在后门,静默窃取用户手机号 安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2(Google Play 版)内置后门代码,会在用户不知情的情况下收集所有已登录账号的手机号,并通过 Inline Query 外传至开发者控制的 Bot(@nekonotificationbot)。 后门代码位于 Extra…
4月01
-
开源库Axios遭到黑客投毒
03:31 作者:糖茶砌站流行的HTTP客户端库Axios在NPM平台的仓库被黑客攻击,黑客通过某种方式获得开发者管理员账号和密码,然后发布两个恶意版本 axios@1.14.1 和 axios@0.30.4 版。带毒版本并未直接在 Axios 添加恶意代码,而是偷偷注入隐藏依赖 plain-crypto-js@4.2.1 版,因此开发者执行安装时也会自动执行后门程序,最终会被安装远程访问木马。Axios 是全球最流行的 …
3月29
-
GitHub 大量仓库 issues 疑似被爆破,遭遇巨量黑产广告攻击
22:33 作者:糖茶砌站GitHub 大量仓库 issues 疑似被爆破,遭遇巨量黑产广告攻击 多个机器人高并发在 GitHub 热门仓库 Issues 中大量发布黑产引流信息。项目仓库反复出现中文赌博等垃圾讨论。一般表现为前段贴广告图片,后段为模仿开发相关解释和 AI 模型论述(详见引文)。举报和拉黑流程似乎无法生效。现在此前一些受影响仓库已关闭 issue 以恢复正常。
3月26
-
Apifox 桌面端遭供应链投毒
06:11 作者:糖茶砌站Apifox 桌面端遭供应链投毒:CDN 脚本被篡改,窃取 SSH 密钥与 Git 凭证 Apifox 桌面端被曝遭供应链投毒攻击。攻击者篡改了其 CDN 上的事件统计脚本,注入恶意代码,采集受害主机的 SSH 密钥、Git 凭证、Shell 历史记录及进程列表等敏感信息,并可进一步植入后门、发起横向攻击。 该攻击自 3 月 4 日起活跃,Windows、macOS、L…
3月22
-
雷神加速器称遭大规模恶意流量攻击,部分地区用户登录受影响
15:28 作者:糖茶砌站雷神加速器称遭大规模恶意流量攻击,部分地区用户登录受影响 雷神加速器 3 月 21 日晚发布说明称,当日 21:00 起遭遇大规模、持续性非法恶意流量攻击,导致部分地区用户出现登录困难、客户端加载超时和连接中断。 其技术团队已启动最高等级应急防御预案,并与运营商进行流量清洗和节点调度。官方称,用户账号资产及个人数据安全未受影响,团队仍在紧急修复。
3月08
-
高通骁龙 8Elite Gen 5 曝 GBL 漏洞,可绕过签名验证解锁 Bootloader
22:53 作者:糖茶砌站近日,安全研究人员披露了高通骁龙 8Elite Gen5(8E5)平台的安全漏洞。研究发现,该平台的 Android 引导程序(ABL)在从 efisp 分区加载通用引导程序(GBL)时,未开启 UEFI 安全启动校验。攻击者可通过在该分区植入自定义 UEFI 应用,获得 EL1 权限的代码执行能力。 利用该漏洞,研究者已成功修改 RPMB 中的 devinfo 数据,实现 Bootloader …
3月04
-
全球多地 OpenClaw 实例暴露风险
15:45 作者:糖茶砌站网络安全监控平台 OpenClaw Exposure Watchboard 近期披露了全球范围内多个公开可访问的活跃 OpenClaw 实例。监控数据显示,受影响实例广泛分布于中国大陆、新加坡、美国及德国等地,涉及阿里云(Alibaba Cloud)、腾讯云(Tencent Cloud)、百度云及 DigitalOcean 等主流云服务商。 部分暴露实例被检测出存在 CVE-2024-6387、C…
2月28
-
青龙面板多版本曝出鉴权绕过与远程代码执行漏洞
23:25 作者:糖茶砌站开源任务管理平台青龙面板(Qinglong)存在多项严重安全漏洞,涉及包括最新版 V2.20.1 在内的多个版本。由于 Express 框架路由匹配对大小写不敏感,且 URL 重写逻辑存在缺陷,攻击者可绕过 JWT 鉴权接口重置管理员密码。同时,依赖管理模块在执行安装命令时未对输入进行过滤,导致 shell 指令注入并实现远程代码执行(RCE)。此外,系统还涉及路径穿越风险,允许向服务器写入任意文…
2月26
-
青龙面板遭挖矿木马植入导致CPU占用达800%
00:30 作者:糖茶砌站青龙面板遭挖矿木马植入导致CPU占用达800% 2026年2月7日,多名用户发现青龙面板被植入名为.fullgc的挖矿木马,导致服务器CPU占用率异常升至800%。该木马通过篡改config.sh配置文件实现持久化,并能根据系统架构自动下载恶意程序。排查结果显示,暴露于公网IPv4环境的服务器是该木马的主要攻击目标。 安全机构判定该程序属于SusMiner家族,主要通过…
