不安全

TOTOLINK N300RB 8.54固件中存在隐藏远程支持功能漏洞，攻击者可利用静态密钥执行任意OS命令并获取root权限。

SugarCRM 14.0.0及以下版本存在SSRF和代码注入漏洞，攻击者可通过GET参数注入恶意LESS代码，导致服务器读取任意文件或触发SSRF。

文章介绍了一个针对Windows 11 Pro系统的本地权限提升漏洞（CVE-2025-49744），涉及gdi32.dll和win32kfull.sys组件。提供了一个PowerShell脚本来检测系统是否易受攻击，通过检查Windows版本、已安装的热修复补丁（如KB5039302）、关键文件的时间戳以及GDI32 API交互测试来判断系统是否已打补丁。

Keras 2.15及以下版本存在远程代码执行漏洞（CVE-2025-1550），攻击者通过恶意.keras文件利用反序列化漏洞，在加载模型时执行任意系统命令。该漏洞已修复于2025年4月更新中。

PivotX v3.0.0 RC3 存在存储型 XSS 漏洞，攻击者可通过未过滤的 title 和 subtitle 字段注入恶意脚本窃取管理员 cookie，并进一步实现远程代码执行（RCE）。

Langflow 1.2.x版本存在未认证远程代码执行漏洞（CVE-2025-3248），攻击者通过API端点发送恶意代码，利用exec()函数执行系统命令。

微软修补了Windows CLFS驱动中的CVE-2025-29824漏洞，该漏洞被用于勒索软件攻击链，通过入侵Cisco ASA防火墙并利用此漏洞实现权限提升。微软通过调整资源释放逻辑修复了该漏洞。

微软Windows 11版本22H2中发现提权漏洞CVE-2025-49677，该漏洞允许攻击者通过利用计划任务和批处理脚本获取SYSTEM权限并执行任意命令。

文章概述了过去一周的网络安全动态，包括Havoc Pro专业版发布、Meta支付或同意模式争议、英国逮捕散网勒索集团成员以及LudusHound网络重建工具等技术亮点。此外还涉及跨会话激活攻击、FortiWeb RCE漏洞利用及隐私泄露事件如瑞典首相地址被Strava数据曝光等。

这是一个开放的黑客社区，旨在帮助新手成长为专家。用户可以在社区中提问、回答问题并学习技能。该社区还提供了Discord链接以便进一步交流，并显示在线成员数量。

Scattered Spider黑客组织从保险和零售行业转向航空和运输公司实施网络攻击，利用员工自助密码重置和MFA疲劳等手段获取访问权限，并建议加强身份验证流程以防御此类威胁。

研究人员发现了一种名为NimDoor的macOS恶意软件系列，专门针对web3和加密货币组织。该恶意软件通过Telegram联系受害者，并引诱他们运行假的Zoom SDK更新。它利用不寻常的技术和基于信号的持久性机制，在被终止时重新部署组件以维持持久性。这种复杂的恶意软件展示了朝鲜网络攻击者的技术进步。

该文章主要讨论了如何处理网络连接错误代码521，包括常见原因、排查步骤和解决方法。

文章描述了一次新疆自驾之旅的精彩经历，从乌鲁木齐出发途经赛里木湖、晃晃村、伊昭公路、夏塔古道等地，展现了新疆的壮丽自然风光与丰富人文景观。旅途中既有震撼人心的峡谷地貌与广袤草原，也有充满诗意的民宿体验与独特的人文风情。

埃隆·马斯克的xAI公司推出Grok AI伴侣模式,提供虚拟女友形象及可选NSFW内容,需订阅SuperGrok每月30美元。未来或与名人合作开发数字人。

微软延长Microsoft 365 for Windows 10支持至2028年10月，期间功能更新至2027年1月，安全更新至2028年10月。此举为企业过渡至Windows 11提供更多时间。个人用户需升级至Windows 11以继续获得新功能。

文章描述了一个网络错误代码（521），解释了其含义、常见原因以及解决方法。

文章分析了网络连接错误代码521的原因及其对网站访问的影响，并提供了排查和解决问题的方法。

谷歌计划将 ChromeOS 与安卓系统合并，以提升用户体验并增强在教育市场的竞争力。由于 ChromeOS 在教育领域表现不佳且用户需求有限，谷歌希望通过整合两大系统为用户提供更优质的移动计算体验。