【安全圈】WordPress 插件漏洞导致 10 万余个网站面临权限提升攻击风险

关键词漏洞一项严重的安全漏洞出现在广受欢迎的 Advanced Custom Fields: Extended WordPress 插件中，已使 10 万多个网站 面临被完全接管的风险。该漏洞编号为

小米17 Ultra的主摄有多牛？光影猎人1050L深度解析

这款对应的正是豪威目前最高端之OV50X传感器， 其除了 LOFIC 技术这个能为其带来约110dB极高动态范围（约为18.3EV，实际输出应该达不到故小米也没宣传具体档数）的亮点之外，还有以下强悍表

【已复现】多款 Linux telnetd服务中招，仅需一个参数即可远程获取 Root 权限，GNU Inetutils telnetd 远程认证绕过漏洞(CVE-2026-24061)

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”漏洞概述漏洞名称GNU Inetutils telnetd 远程认证绕过漏洞漏洞编号CVE-2026-

东南亚120亿美元Telegram非法交易平台“土豆担保”停止交易

Part01东南亚大型非法交易平台疑似停运区块链网络安全公司Elliptic报告指出，东南亚地区基于Telegram的大型非法交易平台"土豆担保"(Tudou Guarantee)已停止其公开群组的交

Cloudflare 0Day漏洞可绕过防护直接访问任意主机服务器

Cloudflare Web应用防火墙（WAF）存在一个高危0Day漏洞，攻击者可借此绕过安全控制措施，通过证书验证路径直接访问受保护的主机服务器。FearsOff安全研究人员发现，针对_/.well

Anthropic官方Git MCP服务器曝链式漏洞，可致文件访问与代码执行

Anthropic PBC的官方Git Model Context Protocol（模型上下文协议）服务器存在多个安全漏洞，可能引发任意文件访问，某些情况下甚至能通过提示词注入（prompt inj

间谍软件反制升级，Predator恶意软件开始猎杀安全研究人员

商业间谍软件行业不再仅开发针对受害者的监控工具，他们正在构建专门用于反制研究人员的功能。Jamf Threat Labs最新技术分析报告揭露，臭名昭著的Predator间谍软件中潜藏着此前未记录的复杂

复旦白泽 ｜ MCPZoo上线：让 MCP 生态第一次“看得见、摸得着”

项目主页：http://security.fudan.edu.cn/zoo项目作者：复旦白泽团队1、背景介绍随着大型语言模型（LLM）能力的不断提升，模型上下文协议（Model Context Pro

未来已来：漏洞挖掘智能体VulnAgent 发现两个Suricata 高危漏洞，并获官方致谢!

01引言：从3小时到2周的开发实践2026 年 1 月，腾讯安全云鼎实验室自研的 AI 漏洞挖掘智能体在 Suricata 中发现了两个高危漏洞，均已获得 CVE 编号和官方致谢。为什么选择 Suri

欧盟拟立法禁止外国高风险ICT供应商，实现关基行业“自主可控”

关注我们带你读懂网络安全修订提案要求欧盟国家在关键领域禁止外国高风险ICT供应商，将此前的5G工具箱行动转化为强制制度，试图排除我国通信企业。前情回顾·欧盟数字安全领域动态欧洲委员会发布《欧盟网络安全

美国会听证会讨论利用进攻性网络能力遏制外国网络威胁

编者按美国众议院国土安全委员会下设的网络安全和基础设施保护小组委员会1月13日举行主题为“以攻筑防：审视美国网络能力以威慑和干扰针对美国本土的恶意外国活动”的听证会，旨在探讨美国如何加强其进攻性网络行

WordPress插件AdvancedCustomFields:Extended曝高危漏洞

点击蓝字 关注我们免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权

十五五网络安全合规与竞争新策略（六大方向解读）

“十五五”时期（2026-2030年）是我国全面建设社会主义现代化国家的关键阶段。网络安全作为国家安全屏障和数字经济发展基石，其战略地位进一步凸显。结合党的二十届四中全会《建议》及中央网信办、工信部等

深入浅出 Ollvm 混淆原理及反混淆技术

一、前言在对抗 OLLVM（Obfuscator-LLVM）混淆的征途中，理解其混淆原理是制定还原策略的第一步。本文将深入探讨 OLLVM 的三大核心混淆手段：指令替换、虚假控制流、控制流平坦化，并分

Redis 远程代码执行漏洞曝光：官方容器现“老式”栈溢出高危风险

近日，JFrog安全研究团队公开披露了Redis数据库中一个高危漏洞的完整利用链，证实“老式”栈缓冲区溢出攻击在2026年仍具极大危害性。该漏洞编号为CVE-2025-62507，CVSS评分高达8.

985安全硕士、10年逆向经验！无名侠亲授，7天吃透 IDA 9.0+AES 逆向

还在被反调试技术虐得体无完肤？面对AES变种算法一脸懵？写IDAPython脚本总是卡壳？看雪论坛技术大牛「无名侠」亲授，7天从小白到逆向精英的蜕变之路✅ 掌握通用逆向方法论✅ 轻松剖析AES加密算法

车载以太网的概念理解与认知

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01概述之前的学习中对英飞凌TC3XX的ETH模块有所实操，仅是停留在MCAL配置之后在开发板上运行，对于其他方面的认知是极少的，目前愈感对这方面的知识匮

AutoSec 10周年大咖确认 | 浙江大学百人计划研究员：面向智能车的安全芯片设计

点击上方蓝字谈思实验室获取更多汽车网络安全资讯2026 年 3 月 12-13 日，由上海市普陀区科委指导，谈思实验室、谈思汽车主办，上海市车联网协会联合主办的「10周年行业年会 | AutoSec

快速简单理解i2c标准协议

点击上方蓝字谈思实验室获取更多汽车网络安全资讯对于嵌入式开发的朋友来说，I2C协议实在是再熟悉不过了，有太多的器件，采用的都是通过I2C来进行相应的设置。I2C协议中最重要的一点是I2C地址。这个地址

邮箱短信轰炸，一分钟崩溃

【免费领】渗透测试必备工具：Nmap实战技术全解教程

点击蓝字/关注我们今日福利渗透工具学习必备宝典 全面详尽的Nmap实战技术教程理论结合实操，学完具备基本渗透能力限时福利，请及时领取哦 ~该资料内容较多，以下为节选的部分目录：长按识别下方二维码，回复

直播预告 | “清风拂境 · 智御全域”绿盟科技大模型安全创新成果发布

『跨年SRC联合狩猎翻倍盛典』最后一期！最后机会0积分把OSRC新年礼盒抱回家！

跨年SRC(12家联手)GET奖励翻倍的挖洞狂欢DOUBLE REWARD联合狩猎翻倍盛典DOUBLETHEREWARD12家SRC联手共筑安全防线 · 赢大奖！G R A N D CEREMONY

火绒小问答 ——「个人版」功能使用类top问题解答

尊敬的用户，您好！在使用火绒安全软件（个人版）的过程中，访问网址时SSL证书被替换为火绒SSL证书、安装程序或软件时被拦截提示等情况较为常见，针对这两类的场景，为您梳理清晰的说明，助力您顺畅使用软件。

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

Windows SMB客户端漏洞可导致攻击者掌控Active Directory环境

Windows SMB客户端身份验证机制存在一个高危漏洞，攻击者可利用NTLM反射攻击方式入侵Active Directory环境。该漏洞被归类为访问控制不当漏洞，授权攻击者可通过精心设计的网络认证中

安全简讯（2026.01.21）

1. 谷歌Gemini间接提示注入漏洞曝光1月19日，网络安全研究人员近日披露一项利用间接提示注入技术攻击谷歌Gemini的漏洞，可绕过授权防护机制，将谷歌日历作为数据提取通道。Miggo Secur

Cursor配置有大坑，已被黑客组织“借刀杀人”

近期，一些主流的IDE如VS Code、Cursor等被曝存在配置缺陷，当开发者使用Cursor远程克隆（如git clone）任何项目时，都可能被在后台悄悄执行命令。这意味着，如果你打开了一个攻击者

紧急预警！CTF神器ToolsFx老版本暗藏涉黄陷阱

近日，一款在CTF竞赛、网络安全测试及开发者群体中广泛使用的跨平台密码学工具箱ToolsFx，被曝出严重安全隐患：1.18.0版本以下的旧版软件因内置翻译域名失效并被恶意接管，导致用户打开该域名时可能

超链接注入（HyperLink Injection，HLI）

官网：http://securitytech.cc自从我搬到意大利之后，我的职业生涯发生了巨大变化。在协议合规性和安全标准方面，欧洲的信息安全与网络安全水平比我们领先了好几年。这段时间以来，我一直在上