CatEye

Cisco 开源 DefenseClaw 工具，为 OpenClaw 提供技能扫描、运行时监控和策略守卫，以应对 RCE 漏洞和恶意代码风险；同时，多个高危 GHSA 漏洞披露，社区关注代理执行链安全，建议通过升级版本、强制隔离和权限控制降低攻击面。

孚盟云 upload.ashx image 接口存在 SQL 注入漏洞，攻击者可利用该漏洞获取数据库敏感信息或写入木马以获取服务器权限，建议关闭互联网暴露面、设置访问权限或升级至安全版本。

KubePlus ResourceComposition 组件存在 SSRF 和 HTTP 头注入漏洞，影响 v4.2.0 等版本，攻击者可通过 chartURL 参数构造恶意请求访问内部服务或云元数据，并利用 wget 命令注入任意 HTTP 头，可能导致 IAM 凭证泄露或身份验证绕过。

CVE-2026-29955 是 KubePlus 中 kubeconfiggenerator 组件的命令注入漏洞，由于 chartName 参数未经验证直接拼接进 shell 命令，攻击者可通过 HTTP 接口注入任意命令，以 root 权限执行代码并窃取集群管理员权限的 ServiceAccount Token，可能导致集群被完全控制。

CVE-2026-3891 是 Pix for WooCommerce WordPress 插件中的未授权任意文件上传漏洞，影响版本至 1.5.0，由于 lkn_pix_for_woocommerce_c6_save_settings 函数缺少权限检查和文件类型验证，远程攻击者可上传恶意文件导致远程代码执行。

内容涵盖多个网络安全主题，包括 Linux 提权技术、多个 CVE 漏洞（如 HCL Traveler 信息泄露、Ubiquiti UniFi 输入验证、sbt 命令注入、NVIDIA SNAP-4 拒绝服务和缓冲区溢出、Chrome 0-day 内存破坏）、勒索病毒攻击、反弹 Shell 方法、供应链攻击（如 Apifox 投毒）、代码混淆工具、远控木马、SQL 注入绕过技巧、红队攻防技巧和文件上传漏洞利用。

美国正考虑派遣特种部队进入伊朗，以夺取或中和约450公斤60%丰度浓缩铀，这批材料深埋于Isfahan地下隧道，空袭无法触及。行动面临技术复杂性、外交矛盾和国际核保障体系风险，可能成为史上最大规模特种作战，但可能加剧伊朗核扩散动机和地区紧张局势。

Anthropic 因 CMS 配置失误泄露未发布的 Claude Mythos 模型信息，该模型在网络安全能力上远超现有模型，Anthropic 计划先向防御组织开放以应对风险。事件暴露了公司基础 IT 安全实践与 AI 安全承诺之间的落差。

CVE-2026-22557 是 UniFi Network Application 中的未授权任意文件读取漏洞，影响版本 ≤ 10.1.85，攻击者可通过路径遍历读取系统敏感文件。

CVE-2026-4909 是 code-projects Exam Form Submission 1.0 项目 /admin/update_s7.php 文件中的跨站脚本漏洞，根因在于 sname 参数未对用户输入进行充分过滤和输出编码，导致攻击者可远程注入恶意脚本，在受害者浏览器中执行任意代码，从而窃取敏感信息或进行未授权操作。

CVE-2026-4908 是 code-projects Simple Laundry System 1.0 中 /modstaffinfo.php 文件的 SQL 注入漏洞，根因在于 userid 参数未经过滤直接用于 SQL 查询，攻击者可远程注入恶意代码，导致未授权数据库访问、数据泄露或篡改。

pfSense 防火墙存在默认管理员凭据漏洞，使用默认用户名 admin 和密码 pfsense，攻击者可利用此漏洞获取完全管理权限，控制防火墙规则、路由和网络配置。

CVE-2026-4907 是 Page Replica 产品中 sitemap 抓取功能存在的服务器端请求伪造漏洞，由于 /sitemap 端点未对用户输入的 url 参数进行验证，攻击者可远程注入任意 URL，导致服务器发起对外部或内部网络服务的请求，从而访问敏感资源或进行网络侦察。

威胁组织 Red Menshen 利用隐蔽的 BPFdoor 植入物渗透全球电信网络，通过伪装进程和利用 HTTPS 流量隐藏命令，实现对关键基础设施的长期间谍活动。Rapid7 建议加强 Linux 内核级监控，并发布了检测工具以应对此类威胁。

Coruna iOS 漏洞利用套件复用 2023 年“三角行动”的内核漏洞代码，已从精准间谍工具演变为大规模攻击框架，针对未打补丁的 iOS 设备传播数据窃取恶意软件。该套件包含多个漏洞利用链，支持新型处理器和更新系统，模块化设计使其易于被其他威胁组织重用。

VoidLink Rootkit 是一种结合 LKM 与 eBPF 的 Linux 恶意软件框架，能隐藏进程、网络连接和文件，通过 ICMP 通道接收命令且不留痕迹。其最新变体 Ultimate Stealth v5 增加了反调试和混淆功能，开发速度快，利用 AI 辅助在不到一周内完成，并针对云服务器伪装成合法驱动。

CVE-2026-33935 是 MyTube 自托管视频下载播放器中的一个认证拒绝服务漏洞，由于三个公开访问的密码验证端点共享同一个 login-attempts.json 文件中的登录尝试状态，攻击者可通过向任意端点发送无效认证请求，逐步增加全局锁定时间，最终导致管理员和访客账户被锁定长达24小时，无法进行密码认证。

CVE-2026-33935 是 MyTube 视频下载播放器中的一个未授权账户锁定漏洞，由于三个公开的密码验证端点共享同一个登录尝试状态文件，攻击者可通过反复发送失败认证请求，逐步增加锁定时间至24小时，导致合法用户无法登录，造成持久拒绝服务。

CVE-2026-33935 是 MyTube 自托管视频下载器和播放器中的一个认证绕过漏洞，由于三个公开访问的密码验证端点共享同一个文件存储的登录尝试状态，攻击者可通过向任一端点发送无效认证请求，递增全局失败计数器并触发冷却时间，从而逐步增加锁定时间至24小时，导致合法用户无法进行密码认证，造成拒绝服务。

CVE-2026-33745 是 cpp-httplib HTTP 客户端中的跨源重定向认证凭据泄露漏洞，当客户端跟随跨源 HTTP 重定向时，会将存储的 Basic Auth、Bearer Token 和 Digest Auth 凭据转发到任意主机，导致攻击者可能通过恶意服务器重定向窃取明文凭据。