Aggregator

Currently trending CVE - Hype Score: 1 - Stack traces in Grafana's Explore Traces view can be rendered as raw HTML, and thus inject malicious JavaScript in the browser. This would require malicious JavaScript to be entered into the stack trace field. Only datasources with the Jaeger HTTP API appear to be affected; ...

Currently trending CVE - Hype Score: 16 - Public dashboards with annotations enabled did not limit their annotation timerange to the locked timerange of the public dashboard. This means one could read the entire history of annotations visible on the specific dashboard, even those outside the locked timerange. This did ...

漏洞扫描器给出的初筛报告往往充满了大量的“噪音”和误报。如果不经过人工核实，直接把这份满是水分的报告丢给运维去修补，不仅会造成极大的资源浪费，更会透支安全团队的公信力。

面对爆火的OpenClaw ，CISO 必须了解这些关键风险。

漏洞来源漏洞描述vLLM 是一个用于大型语言模型 (LLM) 的推理和服务引擎。在 0.11.1 版本之前，vllm 的一个名为 Nemotron_Nano_VL_Config 的配置类存在一个严重的远程代码执行漏洞。当 vllm 加载包含 auto_map 条目的模型配置时，该配置类会使用 get_class_from_dynamic_module(...) 解析该映射，并立即实例化返回的类。这

本文通过 IDA 反汇编代码与 GDB 调试深度分析了 Cpp 常见 STL 容器的底层结构，结合长城杯的一道例题重点利用了 unordered_map 容器的特性进行了漏洞攻击

CrewAI FileWriterTool + PickleHandler 组合漏洞链 RCE 漏洞分析

SSHStalker 感染主机后，会下载 GCC 编译工具，在受害设备上直接编译恶意载荷，以提升程序可移植性与规避检测能力。

研究人员发现这一恶意扩展攻击活动后将其命名为 AiFrame。

Люди, создавшие GPT, больше не хотят иметь к нему отношения.

azure这一块 应用授权这一块 rbac这一块

2026年2月，美国驻孟加拉国大使布伦特·克里斯滕森面对路透社镜头，罕见地撕下了外交辞令的遮羞布——"对我在

图片：据称，这张由俄安全部门确认身份为瑞安·克里斯托弗·福格尔的美国男子的俄外交身份证，是由俄签发。

本篇文章继续来分析一下AI方面的漏洞，具体是ComfyUI-Manager的CVE-2026-22777漏洞。

Найдена дыра в главной системе верификации интернета.

SandboxJS <0.8.26因未沙盒化AsyncFunction等构造器，可通过.constructor获取原生构造器实现沙盒逃逸与远程代码执行。

漏洞来源漏洞描述n8n 的工作流表达式求值系统存在严重的远程代码执行 (RCE) 漏洞。已认证用户在工作流配置期间提供的表达式可能会在与底层运行时隔离不足的执行上下文中进行求值。已认证的攻击者可以利用此漏洞，以 n8n 进程的权限执行任意代码。成功利用此漏洞可能导致受影响实例完全被攻陷，包括未经授权访问敏感数据、修改工作流以及执行系统级操作。漏洞分析漏洞入口点在packages/cli/src/s

马斯克把太空光伏推向风口，也给了钙钛矿材料弯道超车的机会。

Армия Швейцарии завершила проверку безопасности программных платформ Palantir.