CVE-2026-20408 高危Wi-Fi芯片漏洞曝光,影响多款联发科及Aruba设备
国家信息安全漏洞库(CNNVD)收录了一个编号为 CVE-2026-20408 的高危漏洞,该漏洞影响联发科(MediaTek)多款主流Wi-Fi芯片,并波及采用这些芯片的Aruba等厂商的网
阅读全文Windows记事本命令注入漏洞(CVE-2026-20841)【已复现】
漏洞概述漏洞名称Microsoft Windows 记事本命令注入漏洞漏洞编号CVE-2026-20841公开时间2026-02-10POC状态已公开漏洞类型命令注入技术细节状态已公开利用可能性低CV
阅读全文2026马年新春,船山安全团队有哪些新征程?
金马奔腾迎新岁,骏业日新展宏图。值此2026丙午马年新春佳节来临之际,船山院士网络安全团队向大家致以最诚挚的节日问候!辞旧迎新 日新月异 回首旧岁,我们在年前召开核心会议,线上齐聚、共话
阅读全文春秋云境Initial wp
flag1image-20260215131004497这里进来是一个登录的页面,但其实它不能登录,于是使用Tscan进行端口扫描发现web服务是用ThinkPHP搭建的(从网站图标也能知道)imag
阅读全文前端不是“透明玻璃”:打造真正可信的前端安全防线
作者:小浪船山院士网络安全团队 创始人微信公众号「船山信安」原创首发大家好,我是小浪。今天想和大家聊一个我们常常忽略、却又极其关键的问题:前端安全。很多人觉得,安全是后端的事。只要数据库加密、接口鉴
阅读全文关于学生党白嫖高级AI的这些事
前言现在的ai发展太快了,但是没米,不能体验到各种高级的AI,遂去想了一些办法找到了一些野生的API 虽然可以调用 但是体验很差还是提供一些网站:Unsecured API Keys - Find E
阅读全文明明连着网,网页就是打不开?90% 是这几个原因,值得点赞收藏!
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文【0 day 在野】安科瑞企业微电网能效管理平台存在敏感信息泄露漏洞 附POC
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文【首发复现】用友BIP LoginWithV8存在登录绕过漏洞
免责声明由于传播、利用本公众号船山信安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号船山信安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文瑞星发布报告:网络安全呈现智能化、隐蔽化和全局化新特征
新华社北京2月6日电(记者刘雅萱)瑞星公司最近发布的《2025年中国网络安全报告》显示,网络安全威胁正呈现智能化、隐蔽化与全局化新特征。2025年网络攻击手段持续升级,人工智能技术与供应链渗透成为年度
阅读全文拒付赎金!哈佛、宾大百万校友数据遭黑客公开
事件回顾:黑客公然“撕票”一个名为ShinyHunters的知名黑客组织,近日在其数据泄露网站上,公开了据称从哈佛大学和宾夕法尼亚大学窃取的数据,每家高校的数据量均超过百万条记录。此举被普遍视为因勒索
阅读全文攻击者在ClickFix脚本中使用DNS TXT记录执行Powershell命令
随着KongTuke战役的复杂演变,网络安全形势变得更加严峻。自2025年中期开始活跃以来,该威胁执行组织不断改进其技术,以绕过传统的企业安全过滤器。他们的主要武器仍然是点击修复策略,这是一种社会工程
阅读全文基于IOT树莓派安全监测
背景出处:在近些年里物联网(IoT)与边缘计算设备均快速普及,比如树莓派这类成本较低的单板计算机被广泛应用于家庭服务器,智能网关及小型化业务布置等场景中。但是伴随而来的安全隐患和运维难题逐渐凸显:众多
阅读全文网传,国内已有企业收到通知,停用12家网安产品,要求上半年完成替换!
近日,一则关乎国内企业网络安全与供应链布局的消息引发行业关注:据传中国主管部门已通知国内企业,基于国家安全考量,停止使用超过12家美国和以色列网络安全供应商的软件产品,要求2026年上半年前完成全面替
阅读全文一键触发漏洞:OpenClaw远程代码执行漏洞分析
深度安全研究团队depthfirst General Security Intelligence发现,开源AI个人助手OpenClaw(被超过10万开发者信任)存在一个高危漏洞,该漏洞已被武器化为可一
阅读全文2026年OWASP LLM安全新格局
近日,OWASP发布了其针对大语言模型应用安全的十大风险预测,揭示了2026年AI安全领域将面临的重大挑战。随着LLM技术的演进,安全威胁正在经历根本性转变。从传统提示注入到多模态攻击,从静态漏洞到动
阅读全文细思极恐!同一条视频,我们的评论区居然不一样
不知道你有没有过这样的经历?和朋友坐在一起,刷到同一条短视频,你随口吐槽 “评论区怎么都这么偏激”,朋友却一脸诧异:“不会啊,我看到的都是理性发言啊?”一开始我以为是错觉,直到看到相关解读才恍然大悟
阅读全文[分享]连用四个驱动!银狐开始硬刚EDR和杀软
近日,微步情报局捕获到大量Rootkit技术加持的银狐木马。与此前以被动规避检测为主不同,这批样本使用了多个驱动程序及相关功能组件,在内核态向EDR、杀软“主动进攻”,全方位限制甚至完全关闭其防护能力
阅读全文ThinkPHP框架代码审计
目录结构tp总目录application:应用目录extend:拓展类库目录(可定义)public:网站对外访问目录runtime:运行时目录(可定义)vendor:第三方类库目录(Composer)
阅读全文AstrBot任意文件读取漏洞漏洞详细分析及复现(CVE-2025-48957)
漏洞说明AstrBot是AstrBot开源的一个多平台 LM 聊天机器人及开发框架。AstrBot 3.4.4至3.5.12版本存在安全漏洞,该漏洞源于路径遍历缺陷,可能导致敏感信息泄露。影响版本3.
阅读全文聚贤纳新承初心,网安逐光赴新程——船山院士网络安全团队2026年纳新首次线上会议圆满落幕
“少年砺锋芒,笃行护网疆。” 当数字浪潮席卷寰宇,网络空间成为没有硝烟的战场,一群心怀家国、笃志笃行的网安追光者,正以技术为刃、以信念为盾,奔赴守护家国网络安全的使命之约。1月24日晚8时40分,船
阅读全文【漏洞预警】GNU InetUtils Telnetd USER环境变量注入 权限绕过漏洞(CVE-2026-24061)
漏洞名称:GNU InetUtils Telnetd USER环境变量注入 权限绕过漏洞(CVE-2026-24061)风险等级:高危风险漏洞描述:GNU InetUtils telnetd 是 GN
阅读全文日历间谍:揭秘"间接提示注入"如何将Google Gemini变成监控工具
安全研究人员在Google的AI生态系统中发现了一个新型漏洞,能将普通日历邀请转变为隐蔽监控工具。Miggo Security研究主管Liad Eliyahu带领团队发现了利用"间接提示注入"绕过Go
阅读全文Pulsar RAT 采用内存驻留执行与 HVNC 技术实现隐形远程控制
Pulsar RAT 作为开源 Quasar RAT 的复杂变种,通过引入危险的功能增强,使攻击者能够利用高级规避技术维持隐形远程访问。这款专注于 Windows 系统的模块化远程管理工具,标志着威胁
阅读全文Windows SMB客户端漏洞可导致攻击者掌控Active Directory环境
Windows SMB客户端身份验证机制存在一个高危漏洞,攻击者可利用NTLM反射攻击方式入侵Active Directory环境。该漏洞被归类为访问控制不当漏洞,授权攻击者可通过精心设计的网络认证中
阅读全文新型Kerberos中继攻击利用DNS CNAME记录绕过防护措施 - PoC已发布
Windows Kerberos认证中存在一个关键漏洞,该漏洞显著扩大了Active Directory环境中凭据中继攻击的攻击面。攻击者通过滥用Windows客户端在Kerberos服务票据请求期间
阅读全文Langflow远程代码执行漏洞(CVE-2025-3248)
漏洞说明CVE-2025-3248是Langflow平台中一个严重程度为高危的远程代码执行(RCE)漏洞。Langflow作为一个开源的AI工作流构建平台,允许用户通过可视化界面创建和管理AI驱动的自
阅读全文原创 | 揭秘风控系统:从亿级数据中揪出黑灰产,安全人必备技能!
作为安全从业者,你是否遇到过这样的困境:一款热门APP每天要扛住上亿次登录请求,其中混杂着黑产的批量注册、盗号登录;想通过验证拦截风险,却怕频繁弹窗让正常用户流失;明明有海量业务数据,却不知道如何从
阅读全文19号开始报名!山东省公安招网络信息(安全)岗人民警察27人
2026年度山东省公安机关考试录用特殊职位公务员(人民警察)报名即将启动,全省公安机关共设置应急处突、网络信息化2类招录职位、60个录用计划。一、职位情况(一)应急处突类职位1.突击职位(计划招录10
阅读全文