HackerNews

思科已修复 Unified Communications Manager 中的一个漏洞，该漏洞允许网络上未经过身份验证的攻击者向设备写入文件，并进而提权至 root。 该漏洞编号为 CVE-2026-20230，概念验证（PoC）利用代码已经公开。思科 PSIRT 表示尚未发现该漏洞被用于实际攻击，但公开的 PoC 无疑缩短了防御窗口期。 该漏洞属于服务器端请求伪造类型。Unified CM 及其...

谷歌发布 2026 年 6 月安卓安全补丁，共计修复 124 项系统漏洞，其中CVE-2025-48595权限提升漏洞已被黑客在真实定向攻击中实战利用。   本次安全更新覆盖全系统 124 处安全缺陷，漏洞 CVE-2025-48595 CVSS 评级 8.4 分，为本次补丁重点，该漏洞现已出现野外利用案例。   受影响系统版本：Android 14、Android 15、An...

美国财政部海外资产控制办公室（OFAC）宣布制裁伊朗头部加密货币交易所 Nobitex，理由是该平台协助处理涉恐怖活动相关资金流转。   美方认定 Nobitex 协助相关主体规避经济制裁，同时为伊朗伊斯兰革命卫队（IRGC）相关资金提供交易通道。美方监管部门在链上流水中查到多组钱包地址，背后是隶属于伊朗伊斯兰革命卫队的勒索软件黑产团伙。     美国财政部公告原文：...

俄罗斯联邦安全局（FSB）发布消息，指控境外情报机构在俄方高级官员手机中植入恶意程序，用以窃听通话、远程开启设备摄像头，但未披露任何技术实证，也未指明涉事国家。   2026 年 6 月 2 日，俄罗斯联邦安全局发布通报，称破获并查实一起境外情报部门发起的大规模情报窃取行动，目标为俄高层公务人员的移动终端。相关设备遭植入间谍恶意软件，可窃取本机数据、截获通话录音，还能在后台私自启用麦克风...

主流 Web 服务器的 HTTP/2 默认配置存在安全缺陷，攻击者可组合压缩炸弹与类 Slowloris 长连接锁死攻击链路实施打击。   加州安全研究人员警示，多款已知拒绝服务（DoS）攻击手法可拼接形成全新攻击利用程序，能造成主流网页服务器下线瘫痪。     该攻击被命名为 HTTP/2 炸弹，借助 OpenAI Codex 工具被发现，它融合了针对 HTTP/2...

Redis 官方修复了其阻塞客户端代码中的一处释放后重用（use-after-free）漏洞，该漏洞允许已认证用户在运行该数据库的服务器上执行任意操作系统命令。此漏洞是由一款专为大型代码库设计的自主 AI 漏洞挖掘工具发现的。   该漏洞编号为CVE-2026-23479，最早出现在 Redis 7.2.0 版本中，并在所有稳定分支中潜伏了两年多，直至 5 月 5 日才被修复。美国国家漏...

美国网络安全与基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）、能源部及多家美方政府机构联合发布安全预警：黑客正盯上公网暴露的自动油罐计量系统（ATG），该设备广泛应用于多个关键基础设施行业，用于油料与液态储罐监测。   CISA 介绍，能源、化工、农林食品、交通运输等关键领域普遍部署 ATG 系统，实现储罐液位、罐体温度、泄漏隐患的远程监测。   &nb...

美国网络安全与基础设施安全局（CISA）已下发指令，要求各级政府机构紧急加固系统，封堵一款高危 Oracle WebLogic Server 漏洞。该漏洞早在两年前就已发布官方补丁，如今黑产团伙已在真实攻击中频繁利用此漏洞入侵系统。 Oracle WebLogic Server 是企业级 Java 应用中间件服务器，多用于搭建大型多层分布式业务系统。   漏洞编号CVE-2024-211...

六款微软 365 安卓客户端存在同源漏洞，数十亿次下载对应的用户设备均存在被入侵隐患。   漏洞由 AI 自动化漏洞挖掘厂商 Enclave 率先发现，相关研究原定周二对外公开，内容已独家交由《SecurityWeek》首发。问题根源是Word、PowerPoint、Excel、微软 365 Copilot、Microsoft Loop、OneNote 这六款安卓应用正式版代码里遗留了调...

一场名为 WeedHack 的大规模恶意软件攻击专门瞄准 Mincraft 玩家，自今年 1 月起已造成超 116000 台设备中毒。   该恶意软件依托 Mincraft 相关的恶意模组、游戏客户端、外挂作弊程序与辅助工具扩散，攻击者借助油管引流、搜索引擎投毒（SEO 污染）推广上述有害程序。 WeedHack 属于恶意软件即服务（MaaS）类信息窃取程序，搭建了后台控制面板，使用者可...

俄罗斯黑客组织 “鱼叉”（Gamaredon）持续利用 WinRAR 漏洞，投放多种旨在窃取数据和传播的恶意软件。   据安全公司 Sekoia 称，此次攻击利用了 WinRAR 中的路径遍历漏洞 CVE - 2025 - 8088，将其武器化以启动名为 GammaPhish 的 HTML 应用程序有效载荷，然后该程序会检索一个名为 GammaLoad 的中间 V...

Rapid7 警告称，惠普多款 Poly Voice VoIP 电话型号存在严重漏洞，可被利用获取 root 权限并远程执行代码（RCE），使攻击者能在企业网络中立足。   该漏洞编号为 CVE - 2026 - 0826（通用漏洞评分系统 CVSS 评分为 9.2），是会话描述协议（SDP）属性解析过程中基于栈的缓冲区溢出问题，影响启用了交互式连接建立（ICE）功能的设备。 &nbsp...

一个被追踪为 DriveSurge 的威胁行为者，一直在利用 ClickFix 和 FakeUpdate 技术，对被入侵的网站开展大规模恶意软件分发活动。   据网络安全公司 SilentPush 的研究人员称，在 DriveSurge 发起的活动中，数千个网站遭入侵，访问者被重定向到恶意软件分发基础设施。   ClickFix 是一种常见的社会工程策略，诱骗受害者在其系统上复...

一场新的 “Mini Shai - Hulud” 供应链攻击行动，代号为 “Miasma”，入侵了 @redhat - cloud - services 软件包，旨在从开发者机器上窃取凭证和机密信息，并传播一种自我复制的蠕虫病毒。   Socket 公司表示：“这实际上是一场‘Mini Shai - Hulud&rs...

一个潜藏在 Linux 内核长达 19 年的漏洞，使得低权限用户能够在众多 Linux 发行版上获取 root 级别的权限。   这个被称为 CIFSwitch 的漏洞，影响 Linux 内核的 CIFS 子系统及其用于处理身份验证的 cifs - utils 用户空间辅助工具。CIFS 负责处理 SMB 网络文件系统协议的部分功能，如挂载共享、读写操作以及与服务器的 SMB 通信。 &...

荷兰警方表示，他们已成功瓦解一个由 1700 万台受感染计算机、智能手机和平板电脑组成的大型僵尸网络。   据当局称，一名安全研究人员向荷兰国家网络安全中心（NCSC - NL）报告后，该僵尸网络才被发现。   在对该僵尸网络的调查过程中，当局确定了 200 台用于控制受感染设备并发动网络攻击的服务器。   警方称，作为打击行动的一部分，从荷兰一家托管服务提供商处查封...

Defiant 公司发出警告，威胁行为者正在利用 WordPress 插件 WP Maps Pro 中的一个严重漏洞来接管网站。   WP Maps Pro 允许网站管理员在其站点中嵌入谷歌地图，并可通过高级位置、标记和类别进行自定义设置。   此次被利用的漏洞编号为 CVE - 2026 - 8732（CVSS 评分为 9.8），未经身份验证的威胁行为者可借此创建新的管理员账...

黑客正在利用 FortiClient 企业管理服务器（EMS）中的一个身份验证绕过漏洞（CVE - 2026 - 35616），来传播一款未公开的名为 EKZ 的凭证窃取程序。   攻击者将该恶意软件伪装成 Fortinet 终端的更新程序，并通过由 FortiClient 管理的 VPN 脚本工作流程来执行它。   被利用的这个严重漏洞属于访问控制不当问题，使得未经身份验证的...

联邦调查局（FBI）发出警告，在 2026 年世界杯前夕，出现了一些假冒国际足联（FIFA）的网站，这些网站旨在窃取个人和财务信息、售卖假门票与贵宾套餐，以及实施与赛事相关的其他诈骗活动。 这届国际足球锦标赛将于 6 月 11 日至 7 月 19 日在美国、加拿大和墨西哥举行，威胁行为者已准备了数百个钓鱼网站。 根据 FBI 发布的公共服务公告，这些假冒域名模仿官方的fifa.com，但利用一些不...

ESET 警告称，BTMOB 远程访问木马（RAT）因其具备数据窃取和设备接管能力，正对安卓用户构成日益严重的威胁。   据信，BTMOB 基于 SpySolr 恶意软件开发，通过网络钓鱼攻击传播，利用诸如流媒体、加密货币挖矿及其他常见服务作为诱饵。   然而，其开发者将它与 APK 构建器界面捆绑销售，使得威胁行为者无需编写代码，就能根据目标地域定制诱饵并创建新的有效载荷。 ...