SmarterMail 身份认证绕过漏洞复现
SmarterMail 身份认证绕过漏洞复现
Aggregator
工业和信息化部等八部门联合发文 推进汽车数据高效便利安全跨境流动
1 day 3 hours ago
CVE-2026-1819 | Karel ViPort up to 23012026 cross site scripting
1 day 3 hours ago
A vulnerability categorized as problematic has been discovered in Karel ViPort up to 23012026. This impacts an unknown function. Executing a manipulation can lead to cross site scripting.
The identification of this vulnerability is CVE-2026-1819. The attack may be launched remotely. There is no exploit available.
vuldb.com
Socure unifies identity, fraud, and program integrity for government at scale
1 day 3 hours ago
Socure has released Socure for Government (SocureGov) RiskOS to help public sector organizations deliver simpler, faster, and more transparent digital identity verification and fraud prevention at scale. SocureGov RiskOS unifies identity proofing, fraud detection, and program integrity into a single intelligent control plane, supporting the full constituent lifecycle, from onboarding and progressive verification to authentication, payments, and account recovery. By eliminating fragmented systems and slow decision cycles, RiskOS enables agencies to stop fraud earlier while … More →
The post Socure unifies identity, fraud, and program integrity for government at scale appeared first on Help Net Security.
Industry News
Phishing Campaigns Abuse Trusted Cloud Platforms, Raising New Risks for Enterprises
1 day 3 hours ago
ANY.RUN experts report a surge in phishing campaigns abusing trusted cloud and CDN platforms to bypass security controls and target enterprise users.
Owais Sultan
Rebrand Cybersecurity from “Dr. No” to “Let’s Go”
1 day 3 hours ago
Cybersecurity shouldn’t block mission outcomes. Cross Domain Solutions show how secure data access enables speed, trust and better decisions.
The post Rebrand Cybersecurity from “Dr. No” to “Let’s Go” appeared first on Security Boulevard.
Adam Maruyama
КГБ пытался запретить айтишникам дружить и меняться дискетами. Получилось предсказуемо плохо
1 day 3 hours ago
Рассекреченные документы описывают первые вредоносные программы в СССР: «Вена» и «Каскад».
Fingerprint enables enterprises to tell trusted AI agents apart from bots and scrapers
1 day 3 hours ago
Fingerprint has released Authorized AI Agent Detection, its new ecosystem of AI agents, including OpenAI, AWS AgentCore, Browserbase, Manus and Anchor Browser. The ecosystem enables enterprises to detect authorized agentic AI traffic with 100% certainty, allowing organizations to distinguish trusted, permissioned automation from malicious bots and scrapers. As AI agents account for a growing share of automated web traffic, organizations face a fundamental shift in how they evaluate digital interactions. Traditional “block all bots” approaches … More →
The post Fingerprint enables enterprises to tell trusted AI agents apart from bots and scrapers appeared first on Help Net Security.
Industry News
Alert Fatigue: Why SOCs Are Fighting the Wrong Battle
1 day 3 hours ago
Alert fatigue hides the real problem: Legacy SOC models can’t detect modern threats. Why alert-driven security fails and what replaces it.
The post Alert Fatigue: Why SOCs Are Fighting the Wrong Battle appeared first on Security Boulevard.
Alankrit Chona
Building a Zero-Trust Framework for Cloud Banking
1 day 4 hours ago
Zero-trust architecture helps banks secure cloud environments, meet regulations, and scale innovation through identity-first security.
The post Building a Zero-Trust Framework for Cloud Banking appeared first on Security Boulevard.
Toni Trpkovski
Step Finance 称高管设备遭入侵,致 4000 万美元加密货币被盗
1 day 4 hours ago
HackerNews 编译,转载请注明出处: Step Finance 发布公告称,因公司高管团队设备遭黑客入侵,平台损失价值 4000 万美元的数字资产。 该平台于1月31日检测到此次入侵,并联系了网络安全研究人员,后者帮助其追回了部分被盗资产。 Step Finance是一个构建于Solana区块链上的去中心化金融(DeFi)平台和分析工具,允许用户可视化展示、跟踪、分析并管理自身加密资产及持仓情况。 该平台被视为最活跃且使用最广泛的Solana仪表板之一,还可通过自身界面支持交易执行、代币兑换、质押及其他去中心化金融操作。平台同时发行自有代币 $STEP,该代币交易量相对有限。 1 月 31 日,Step Finance 发布公告称,平台多个金库钱包遭入侵,威胁行为者利用了某一 “已知攻击载体” 实施攻击。 Step Finance 在初始声明中表示:“今日早些时候(亚太时段),我方多个金库钱包遭一名技术老练的攻击者入侵。” 该平台已向有关部门报备,并与网络安全专业团队紧密协作,快速制定漏洞修复及风险补救措施。 区块链分析机构 CertiK 当时通报,被盗资产折合 261854 枚 SOL 代币,价值约 2890 万美元,但 Step Finance 经调查确认,本次损失总额约为 4000 万美元。 得益于Token22保护机制和合作伙伴的协调,目前已追回价值约 370 万美元的 Remora 相关资产及 100 万美元的其他持仓。 受此次事件影响,平台已暂停部分业务,全力推进安全防护加固工作。Step Finance 指出,其旗下子平台 Remora Markets 未受此次事件波及,且所有 rToken 代币仍保持 1:1 全额储备。 平台建议用户在调查结束前,暂停所有 $STEP 代币相关操作。平台将对漏洞攻击前的系统状态进行快照留存,针对 $STEP 代币持有者的解决方案目前正在推进中。 Step Finance 未披露攻击细节及攻击者身份,这引发了外界对该事件可能是 “卷款跑路” 或 “内鬼作案” 的猜测,相关质疑目前尚未得到妥善回应。 该平台 4000 万美元的损失数额虽触目惊心,但仅占 1 月全球加密资产失窃总金额的约十分之一。CertiK 本周早些时候发布的数据显示,今年 1 月全球加密资产失窃总金额达 3.98 亿美元,其中仅约 436.6 万美元被追回。 2025 年全年共发生 147 起已确认的加密领域黑客攻击事件,总损失近 28.7 亿美元;而历史损失最高年份仍为 2022 年,当年 179 起成功攻击造成的损失达 37.1 亿美元。 消息来源:bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews
CVE-2026-21877:n8n Git 节点任意文件写入漏洞分析 (三)
1 day 4 hours ago
本篇是 n8n 漏洞分析系列的第三篇。在此前,我们分析了利用裸仓库特性的 CVE-2025-62726 和利用配置注入的 CVE-2025-65964。而今天要分析的 CVE-2026-21877,它利用 Git 节点的 `Clone` 操作,可以将恶意仓库的内容写入服务器的任意目录,进而导致远程命令执行漏洞。
CVE-2026-22218:Chainlit AI框架任意文件读取后端调用链深度解析
1 day 4 hours ago
漏洞简介2.9.4 之前的 Chainlit 版本在 /project/element 更新流程中存在任意文件读取漏洞。认证客户端可以发送带有用户控制路径值的自定义元素,从而使服务器将引用的文件复制到攻击者的会话中。由此产生的元素标识符(chainlitKey)可以通过 /project/file/<chainlitKey> 检索文件内容,从而允许披露 Chainlit 服务可读取的任
大模型驱动的多智能体系统安全现状分析
1 day 4 hours ago
大模型驱动的多智能体系统(LLM-MAS),可以看作是 AI 发展中的一次重要转向。早期的多智能体系统主要依赖规则、逻辑和人工设计的流程,而随着大语言模型的引入,智能体开始具备更强的理解能力、推理能力,以及一定程度的自主决策能力。
Linux 内核漏洞利用入门:pwn.college Kernel Security Writeup
1 day 4 hours ago
本文基于 pwn.college Kernel Security 模块的 12 个递进式挑战,系统讲解 Linux 内核漏洞利用技术。内容涵盖:通过 /proc 文件系统与内核驱动交互、commit_creds 提权原语、内核态 shellcode 编写、KASLR 地址泄露、SECCOMP 沙箱逃逸、跨进程内存读取以及 Egg Hunter 物理内存扫描。每个挑战均包含漏洞分析、利用思路和完整
CVE-2026-22218:Chainlit任意文件读取漏洞详细分析
1 day 4 hours ago
漏洞来源漏洞描述Chainlit 2.9.4 之前的版本在 `/project/element` 更新流程中存在任意文件读取漏洞。已认证的客户端可以发送一个自定义的 Element,其路径值由用户控制,从而导致服务器将引用的文件复制到攻击者的会话中。攻击者随后可以使用生成的元素标识符 (chainlitKey) 通过 `/project/file/<chainlitKey>` 检索文件
N1CTF Reverse题目全解
1 day 4 hours ago
N1CTF Reverse题目全解
CVE-2026-22219:Chainlit AI框架SSRF漏洞后端代码层面深度解析
1 day 4 hours ago
漏洞简介Chainlit是一个开源AI框架,2.9.4 之前的 Chainlit 版本在使用 SQLAlchemy 数据层后端配置时,/project/element 更新流程中存在服务器端请求伪造(SSRF)漏洞。认证客户端可以在元素中提供用户控制的 URL 值,该值由 SQLAlchemy 元素创建逻辑通过出站 HTTP GET 请求获取。这使得攻击者可以从Chainlit服务器向内部网络服务
CVE-2025-62726:n8n Git 节点裸仓库 RCE 漏洞分析
1 day 4 hours ago
准备梳理n8n 的漏洞时间轴,该漏洞作为n8n的第一个漏洞,是分析系列的第一篇文章
一篇文章带你了解Agent Skills安全:从威胁建模到纵深防御
1 day 4 hours ago
Agent Skills作为连接大语言模型与现实世界的桥梁,正在重塑人机交互范式。其可插拔、可组合、可执行的特性赋予了Agent强大的能力,但也创造了前所未有的攻击面。本文系统性地分析了Agent Skills面临的三重脆弱性:执行边界模糊、输入输出不可预测、数据流复杂性,并从提示注入、代码注入、SSRF、供应链投毒等多个维度剖析了攻击向量,并原创性提出Skills安全风险评估框架概念,提供了可审