漏洞

每日安全情报报告 · 2026-04-07报告时间：2026年04月07日 08:00 覆盖周期：近48小时（2026-04-05 ~ 2026-04-07）风险等级说明：🔴 严重（CVSS ≥ 9.0）｜🟠 高危（7.0-8.9）｜🟡 中危（4.0-6.9）｜⭐ 在野利用

每日安全情报报告 · 2026-04-06发布时间：2026-04-06 10:49 CST 风险概览：🔴 严重 3 项 | 🟠 高危 2 项 | 🟡 中危 1 项本期重点：Fortinet FortiClient EMS 预认证 RCE 在野利用、Progress ShareFile 未授权 RCE 漏洞链、36 个恶意 npm 包供应链攻击

每日安全情报报告 · 2026-04-05报告日期：2026年4月5日（星期日）情报范围：近48小时（2026-04-03 ~ 2026-04-05）风险级别说明：🔴 严重（CVSS ≥ 9.0）｜🟠 高危（CVSS 7.0-8.9）｜🟡 中危（CVSS 4.0-6.9）特别标注：⚡ 在野利用｜ 🆕 近24-48h披露｜ 💣 PoC已公开

每日安全情报报告 · 2026-04-02报告时间：2026年04月02日 08:40 覆盖周期：近48小时（2026-03-31 ~ 2026-04-02）风险等级说明：🔴 严重（CVSS ≥ 9.0）｜🟠 高危（7.0-8.9）｜🟡 中危（4.0-6.9） ⚠️ 重点关注：标注【在野利用】的漏洞已确认被攻击者实际利用，需立即处置

每日安全情报报告 · 2026-04-04报告时间：2026-04-04 18:00 CST 覆盖范围：近 48 小时新增高危漏洞、PoC 公开情报及安全态势要点风险等级说明：🔴 严重（CVSS ≥ 9.0）｜🟠 高危（CVSS 7.0–8.9）｜🟡 中危（CVSS 4.0–6.9）

每日安全情报报告 · 2026-04-03报告日期：2026年04月03日（星期五）信息来源：The Hacker News、CYFIRMA、Cyber Press、Horizon3.ai、CVEFeed、Dark Web Informer、Cyber Management Alliance、FreeBuf、NVD 风险等级说明：🔴 严重（CVSS ≥ 9.0） | 🟠 高危（CVSS 7.0–8.9） | 🟡 中危（CVSS 4.0–6.9）

每日安全情报报告 · 2026-04-01生成时间：2026-04-01 08:13 UTC+8 情报来源：NVD、GitHub、The Hacker News、Snyk、F5 Labs、Grafana 官方公告、FreeBuf、技术栈风险标注：🔴 严重（CVSS ≥ 9.0）｜🟠 高危（CVSS 7.0-8.9）｜🟡 中危（CVSS 4.0-6.9）｜⚠️ 在野利用

每日安全情报报告 · 2026-03-31报告日期：2026年3月31日（周二）覆盖周期：近 24–48 小时风险等级说明：🔴 严重（CVSS ≥ 9.0）｜🟠 高危（CVSS 7.0–8.9）｜🟡 中危（CVSS 4.0–6.9）

每日安全情报报告 · 2026-03-29 · 2026-03-29生成时间：2026-03-29 08:01 | 数据来源：NVD、CISA KEV、The Hacker News、GitHub Advisory

独角鲸网络安全实验室

惊魂零点击！OpenClaw漏洞（ClawJacked）突袭，开发者AI Agent遭无声劫持在AI Agent快速普及、成为开发者高效辅助工具的当下，一场针对开发者群体的高危零交互攻击悄然爆发。OpenClaw 0-Click漏洞（代号ClawJacked，CVE-2026-25253）凭借“零点击、全静默、高权限”的特性，成为AI工具生态中极具破坏性的安全隐患——攻击者无需诱导用户点击、安装插件或确认弹窗，仅需让开发者访问一个恶意网页，就能轻松劫持其本地运行的OpenClaw AI Agent，进而获取系统级控制权，窃取核心开发资产、执行恶意命令，对个人开发者、企业研发团队造成不可挽回的损失。

每日安全情报报告 · 2026-03-27📅 报告日期：2026-03-27 🔍 数据来源：NVD、CNNVD、The Hacker News、BleepingComputer、Phoenix Security、CrowdStrike、蚁景网安 ⚠️ 本报告聚焦近 24-48 小时内披露的高危漏洞、在野利用与安全事件

ReDoS（正则表达式拒绝服务攻击）理解与实测很有意思的一种攻击，值得记录一下给自己看。ReDoS 本质是利用正则表达式的灾难性回溯（Catastrophic Backtracking）实现的拒绝服务攻击。当正则表达式包含大量 “可选路径”（如嵌套的重复量词 */+/?），且输入字符串接近匹配但最终不匹配时，正则引擎会尝试所有可能的路径来验证匹配，导致 CPU 资源被耗尽，服务响应超时甚至崩溃，具体来说：

战神/calmness

CVE-2021-26295：Apache OFBiz 反序列化漏洞CVE-2021-26295：Apache OFBiz 反序列化漏洞[CVE-2021-26295]由于使用RMI的Java序列化，最新的Apache OFBiz中存在RCE漏洞

WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南目录一、漏洞基础信息二、漏洞涉及插件与场景三、漏洞成因深度解析（一）输入验证缺失，参数直接拼接SQL语句

独角鲸网络安全实验室

WhisperPair漏洞突袭：谷歌Fast Pair协议失守，数亿蓝牙设备陷静默劫持危机蓝牙设备的便捷性正被一场隐秘的安全危机打破——比利时荷语鲁汶大学团队披露的WhisperPair高危漏洞（CVE-2025-36911），直指谷歌Fast Pair快速配对协议的核心设计缺陷，导致全球数亿款支持该协议的无线耳机、蓝牙音箱等设备面临被静默劫持的风险。攻击者仅需在15米蓝牙覆盖范围内，通过树莓派、普通智能手机等廉价设备，10-15秒内即可完成无交互、无验证的非法配对，实现对设备的完全控制，进而实施窃听、音频劫持、位置追踪等恶意操作。此次漏洞波及索尼、谷歌、小米、JBL等10家主流厂商的17款热

白帽子凯哥哥

网络安全Web基础完全指南：从小白到入门安全测试在数字化转型的今天，Web应用已成为网络攻击的主要目标。根据2024年统计，超过70%的网络攻击都是针对Web应用的。无论你是开发者、运维人员还是安全爱好者，掌握Web安全基础都是必备技能。

独角鲸网络安全实验室

本地信任成“致命漏洞”：数千Clawdbot Agent公网裸奔，供应链与内网安全告急近日，安全社区曝出Clawdbot存在严重的“本地主机”信任机制漏洞，经全球网络空间扫描发现，公网中暴露的Clawdbot网关实例超千个，其中300余个未做任何身份认证防护，可被攻击者直接接管。该漏洞并非传统的代码逻辑缺陷，而是由默认本地信任设计与用户部署配置失误叠加引发的复合型安全风险，一旦被利用，攻击者可实现身份认证绕过、敏感数据窃取、远程命令执行，甚至以此为跳板横向渗透企业内网、污染数字供应链，波及个人终端、企业服务器、协作平台等多类场景，成为网络空间中又一隐蔽且危害深远的安全隐患。

【GaussDB】合入原生PG的PR来修复CVE-2025-1094漏洞后产生的严重隐患注意：本文篇幅很长,请预留好充足的阅读时间近期有应用开发人员发现，自己编写的C程序使用GaussDB 506.0SPC0100的libpq往GaussDB数据库插入数据时，原本有值，但是到了数据库里就变成了null。经过多方排查后，定位到可能与GaussDB 506.0SPC0100版本合入了原生PG的一个漏洞修复导致，漏洞编号为CVE-2025-1094 https://www.postgresql.org/support/security/CVE-2025-1094/

SQL 注入、文件上传绕过、MySQL UDF 提权、SUID 提权、Docker 逃逸，以及 APT 持久化技术渗透测试全流程第二次思路一.解题具体过程1.打开这个web2的机器同样的nmap扫端口。Dirsearch扫目录，使用漏扫工具扫一下，发现mysl以及80端口，和目录，我们登进去发现只有一个可以进去，还有一个文件上传，有一个那不能进去的我们提权进去后看看到底隐藏什么不让我看

Apache Struts XWork 组件 XXE 漏洞(CVE-2025-68493)[已复现]Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。