不安全

当前网络环境异常，请完成验证后继续访问。

当前环境出现异常状态，需完成验证后方可继续访问服务。

当前环境出现异常，请完成验证后继续访问。

索尼发布RX1R III相机，配备6100万像素传感器及新处理器；雷蛇推出兼容NVIDIA和AMD显卡的eGPU坞；掌阅发布iReader Neo 3墨水屏阅读器；荣耀X70主打防摔防水及长续航；HMD推出149元4G手机；《赛博朋克2077》将于7月上线Mac平台。

美国网络安全和基础设施安全局（CISA）将Wing FTP Server的一个关键漏洞（CVE-2025-47812）加入已知被利用的漏洞目录。该漏洞由MITRE发布，源于空字节处理不当，允许攻击者注入恶意Lua代码并远程执行命令。此漏洞可被匿名或认证用户利用，默认以root或SYSTEM权限运行。CISA要求联邦机构于2025年8月4日前修复受影响版本（7.4.4以下）。

White Star Software Protop v4.4.2 存在本地文件包含漏洞 (LFI)，攻击者可通过 `/pt3upd/` 端点利用 URL 编码遍历序列获取任意文件。该漏洞 CVSS 评分 8.2 分，已向厂商报告并修复。

这篇文章描述了一个针对Node.js 24.x版本的路径遍历漏洞（CVE-2025-27210）的PoC脚本。该脚本通过构造恶意路径利用Windows保留设备文件名（如AUX），允许攻击者访问受限文件。

MikroTik RouterOS 7.19.1 存在反射型 XSS 漏洞（CVE-2025-6563），攻击者可通过构造恶意 URL（如 http:///login?dst=javascript:alert(3)）触发漏洞。该漏洞需用户交互，可用于钓鱼或重定向攻击。MikroTik 已确认此问题并提供修复建议。

WP Publications WordPress插件（版本≤1.2）存在存储型XSS漏洞，因未对文件名进行转义处理。高权限用户可注入JavaScript代码，在管理面板执行恶意脚本，甚至绕过多站点环境的`unfiltered_html`保护。建议更新或禁用该插件以修复漏洞。

TOTOLINK N300RB 8.54固件中存在隐藏远程支持功能漏洞，攻击者可利用静态密钥执行任意OS命令并获取root权限。

SugarCRM 14.0.0及以下版本存在SSRF和代码注入漏洞，攻击者可通过GET参数注入恶意LESS代码，导致服务器读取任意文件或触发SSRF。

文章介绍了一个针对Windows 11 Pro系统的本地权限提升漏洞（CVE-2025-49744），涉及gdi32.dll和win32kfull.sys组件。提供了一个PowerShell脚本来检测系统是否易受攻击，通过检查Windows版本、已安装的热修复补丁（如KB5039302）、关键文件的时间戳以及GDI32 API交互测试来判断系统是否已打补丁。

Keras 2.15及以下版本存在远程代码执行漏洞（CVE-2025-1550），攻击者通过恶意.keras文件利用反序列化漏洞，在加载模型时执行任意系统命令。该漏洞已修复于2025年4月更新中。

PivotX v3.0.0 RC3 存在存储型 XSS 漏洞，攻击者可通过未过滤的 title 和 subtitle 字段注入恶意脚本窃取管理员 cookie，并进一步实现远程代码执行（RCE）。

Langflow 1.2.x版本存在未认证远程代码执行漏洞（CVE-2025-3248），攻击者通过API端点发送恶意代码，利用exec()函数执行系统命令。

微软修补了Windows CLFS驱动中的CVE-2025-29824漏洞，该漏洞被用于勒索软件攻击链，通过入侵Cisco ASA防火墙并利用此漏洞实现权限提升。微软通过调整资源释放逻辑修复了该漏洞。

微软Windows 11版本22H2中发现提权漏洞CVE-2025-49677，该漏洞允许攻击者通过利用计划任务和批处理脚本获取SYSTEM权限并执行任意命令。

文章概述了过去一周的网络安全动态，包括Havoc Pro专业版发布、Meta支付或同意模式争议、英国逮捕散网勒索集团成员以及LudusHound网络重建工具等技术亮点。此外还涉及跨会话激活攻击、FortiWeb RCE漏洞利用及隐私泄露事件如瑞典首相地址被Strava数据曝光等。

这是一个开放的黑客社区，旨在帮助新手成长为专家。用户可以在社区中提问、回答问题并学习技能。该社区还提供了Discord链接以便进一步交流，并显示在线成员数量。

Scattered Spider黑客组织从保险和零售行业转向航空和运输公司实施网络攻击，利用员工自助密码重置和MFA疲劳等手段获取访问权限，并建议加强身份验证流程以防御此类威胁。