FreeBuf互联网安全新媒体平台

Chrome 136将彻底封杀20年历史隐私漏洞，恶意网站再难窥探用户浏览记录。

AI驱动攻击激增，CISO部署智能防御体系应对威胁升级。

"AI工作流程暗藏数据泄露危机，CISO必须严控提示词风险！"

OWASP发布AI安全清单，企业部署大模型必防六大风险！

漏洞描述漏洞分析漏洞文件：wp-content/plugins/kubio/lib/integrations/third-party-themes/editor-hooks.php触发条件：攻击者在请求中添加参数__kubio-site-edit-iframe-preview=1，触发插件的「混合主题 iframe 预览模式」。代码逻辑：function kubio_is_hybdrid_them

打靶(红温)日记

本文学习分析了hutool这一常用组件下的动态代理、JDBC attack、JSON序列化与反序列化机制这三点在进行Gadget利用链的构造中分别可以起到的作用以及使用方式

vuluhub靶机：The Planets: Earth

思科七年旧漏洞仍可远程执行代码，1200+设备未修复！

Tycoon2FA钓鱼工具升级，隐蔽攻击微软365账户！

攻击者正利用OttoKit插件漏洞大规模入侵未配置的WordPress网站！

AI幻觉代码依赖引发新型供应链攻击，20%推荐包不存在！

英伟达AI容器漏洞补丁不彻底，攻击者可窃取敏感模型数据！

蓝宝石狼升级紫水晶窃密软件，瞄准能源企业窃取敏感数据。

黑客利用FortiGate漏洞获取root权限，补丁后仍可驻留！

"AD攻击链全解析：从入侵到防御，企业必看安全指南！"

黑客利用域控制器RDP漏洞部署勒索软件，企业损失惨重！

在公开披露仅数小时后，黑客就开始利用WordPress的OttoKit插件中一个可绕过身份验证的高危漏洞。

微软Defender隔离未受管设备，阻断攻击者横向渗透！

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！