Gemini MCP 工具零日漏洞允许远程攻击者执行任意代码
Gemini MCP 工具中存在一个严重的零日漏洞,该漏洞使用户在没有任何身份验证的情况下容易受到远程代码执行 ( RCE ) 攻击。该漏洞被追踪为 ZDI‑26‑021 / ZDI‑CAN‑27783,并被分配了 CVE‑2026‑0755,其 CVSS v3.1 最高得分为 9.8,这反映了该漏洞易于利用且影响严重。根据趋势科技零日漏洞计划 (ZDI) 的一份新公告,该 ...
泄露了1.4TB数据的耐克,在上周被世界泄露组织 收录到了 泄露公司名单之中
耐克似乎进入了全面事件响应模式,因为一个勒索软件组织声称发布了大量被盗的内部数据。耐克向Infosecurity发布的简短声明称:“我们始终非常重视消费者隐私和数据安全。我们正在调查一起潜在的网络安全事件,并积极评估情况。”Infosecurity发现的数据泄露文件中的文件夹标题包括“开发”、“技术包与评估”和“示意图”。 ...
攻击者劫持官方 GitHub Desktop 代码库,以官方安装程序的形式分发恶意软件
网络犯罪分子发现了一种危险的方法,即利用 GitHub 的工作原理诱骗开发者下载恶意软件。该攻击涉及创建 GitHub Desktop 安装程序的虚假版本,并使其对毫无戒心的用户看起来合法。2025 年 9 月至 10 月期间,该活动主要针对欧洲和欧洲经济区的用户,但感染蔓延至日本和其他地区。该恶意软件伪装成标准开发工具安装程序,对依 ...
流行的 vm2 NodeJS 库中发现严重沙箱逃逸漏洞
vm2 Node.js 沙箱库中存在一个严重漏洞(编号为 CVE-2026-22709),允许攻击者逃逸沙箱并在底层主机系统上执行任意代码。开源的 vm2 库创建了一个安全上下文,允许用户执行不受信任的 JavaScript 代码,该代码无法访问文件系统。vm2 过去常用于支持用户脚本执行的 SaaS 平台、在线代码运行器、聊天机器人和开源项目,在 Git ...
热门AI助理项目Clawdbot存在安全缺陷 在VPS上部署可能直接暴露实例泄露数据
热门 AI 助理工具 Clawdbot 目前正在社交媒体上热传,已经有很多用户通过购买的 Mac Mini 部署,但本身该工具也可以通过容器或者 VPS 服务器部署,而在 VPS 服务器上部署默认是可以通过公网连接的。通过公网连接的 Clawdbot 可以在任意位置连接访问,问题在于部分用户并未部署安全策略导致 Clawdbot 直接暴露在互联网上,已 ...
近80万台Telnet服务器暴露于远程攻击之下
互联网安全监督机构 Shadowserver 正在追踪近 80 万个具有 Telnet 指纹的 IP 地址,以应对利用 GNU InetUtils telnetd 服务器中的关键身份验证绕过漏洞的持续攻击。该安全漏洞(CVE-2026-24061)影响 GNU InetUtils 版本 1.9.3(11 年前的 2015 年发布)至 2.7,并在版本 2.8(1 月 20 日发布)中得到修复。“telnetd 服务 ...
Wolves Security Team@精华文章集
今天抽时间整理了一下。力气活,不解释,有喜欢的兄弟下去吧。
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2026 T00ls All Rights Reserved.