"CVE"的搜索结果
2026-06-09 03:19

博通发布 23 年来最大规模的 Spring Security 更新,随着通告上升 1,700%

据 Broadcom 称,6 月 9 日,该公司在 Spring 和 Java 生态系统中扩大了安全投资,发布了框架 23 年历史中规模最大的 Spring 安全更新集。Broadcom 表示,Spring 社区发布的月度安全通告数量在 2026 年 3 月至 4 月期间上升了超过 1,700%,因为 AI 工具加速了漏洞发现。该公司的 Tanzu Spring 企业订阅现已在补丁发布到开源之前,通过其 Spring Enterprise Repository 提供仅包含 day-zero CVE 的补丁发布,从而为客户提供可验证的软件供应链保护。
2026-04-29 02:24

Polymarket 数据泄露曝光超过 300K 条记录,威胁行为者发布利用工具

Gate 新闻消息,4 月 29 日——去中心化预测市场平台 Polymarket 似乎遭遇了数据泄露,威胁行为者 xorcat 在已知的网络犯罪论坛上发布了超过 300,000 条数据记录以及配套的利用工具。根据报道,攻击者利用了 Polymarket 的 Gamma 和 CLOB API 中未披露的 API 端点、分页绕过以及 CORS 配置错误来提取数据。 泄露的数据包括 10,000 名用户的完整个人信息 姓名、代理钱包以及基础地址、4,111 条评论、1,000 条举报记录 其中包含 58 个 ETH 地址以及管理员身份验证标识、48,536 条 Gamma 市场元数据条目、超过 250,000 个活跃 CLOB 市场自动做市商地址,以及 9,000 个关注者社交图谱数据点。 利用工具包包含多个漏洞的概念验证代码:CVE-2025-62718 Axios NO_PROXY 绕过,CVSS 9.9,可实现服务器端请求伪造,CVE-2024-51479 Next.js 中间件身份验证绕过,CVSS 7.5,以及 CORS 配置错误。该软件包还包含自动化的数据提取脚本以及完整的红队评估报告。
展开
ETH1.53%
2026-04-28 21:51

Red Hat 工程师发布 Tank OS,用于安全部署 OpenClaw AI 代理

Gate 新闻消息,4月28日——Red Hat 首席软件工程师 Sally O'Malley 已发布 Tank OS,这是一款开源工具,可将 OpenClaw(一个用于部署 AI 代理的软件平台)打包为安全、可启动的系统镜像。每个 OpenClaw 实例都会在隔离容器中运行,使用 Podman (a,这是一种 Red Hat 容器工具,它在不具备管理员权限的情况下运行,从而防止任何实例访问宿主机或其他代理。API 密钥会按每个实例分别存储,确保凭证隔离。 该工具直面代理式 AI 领域中的关键安全顾虑。1 月下旬,安全研究人员 Mav Levin 披露了 CVE-2026-25253,这是一处严重性评分为 10 分中 8.8 分的漏洞,允许攻击者通过访问单个恶意网页窃取登录凭证,并获得对整台计算机的完全控制。在发布修复程序之前,该漏洞已影响超过 17,500 个实例。此外,安全审计发现,ClawHub 插件中有 12–20% 被标记为恶意。 Tank OS 现已在 github.com/LobsterTrap/tank-os 上提供。O'Malley 作为 OpenClaw 的维护者,在设计该工具时兼顾了企业级加固,并以 Red Hat 的 Linux 生态系统为导向。
展开
2026-04-22 01:57

研究员披露:Cosmos 共识层 CometBFT 中存在关键 CVSS 7.1 零日漏洞

安全研究员朴度妍(Doyeon Park)披露了 Cosmos 的 CometBFT 中一个 CVSS 7.1 的零日漏洞,可能在同步期间导致节点冻结;厂商的抵制、降级以及披露最终促成了 4 月 21 日的揭露;验证者应在修复补丁发布前避免重启。 摘要:安全研究员朴度妍(Doyeon Park)披露了 Cosmos 的 CometBFT 共识层中一项关键的 CVSS 7.1 零日漏洞,该漏洞可能导致节点在区块同步时冻结,从而潜在影响为 $8 billion 以上资产提供安全保障的网络。该漏洞无法直接窃取资金。Park 从 2 月 22 日开始推动协调披露,但遭遇厂商对公开披露的抵制以及与 HackerOne 相关的问题。厂商于 3 月 6 日将相关漏洞 (CVE-2025-24371) 降级为信息级别(informational),促使 Park 在 4 月 21 日公开披露前先发布了网络层面的概念验证(proof-of-concept)。公告建议 Cosmos 验证者在发布补丁前避免重启节点;已经处于共识中的节点可能继续运行,但重启并进入同步可能使其遭受恶意对等方的攻击,进而带来死锁风险。
展开
ATOM0.89%