GitLost:公共 GitHub Issue 可诱骗 GitHub 智能体工作流泄露私有仓库数据

GitLost:公共 GitHub Issue 可诱骗 GitHub 智能体工作流泄露私有仓库数据

Noma Security 的研究人员展示,公共 Issue 可诱骗 GitHub 智能体工作流(Agentic Workflows)泄露组织私有仓库的内容。攻击者只需在公共仓库上提交一个看似普通的 Issue,无需窃取凭据,无需访问目标组织。若该组织已授予智能体跨仓库(含私有仓库)的读取权限,Issue 便可诱导其将私有内容写入公共评论。

Read More
GhostApproval 符号链接漏洞可让恶意代码库在 AI 编程代理中执行代码

GhostApproval 符号链接漏洞可让恶意代码库在 AI 编程代理中执行代码

Wiz 研究人员发现,六款主流 AI 编程助手存在 GhostApproval 符号链接缺陷,可让被植入陷阱的代码项目通过看似无害的批准请求,将攻击者的 SSH 公钥或恶意 shell 配置写入开发者的敏感文件。受影响工具包括 Amazon Q Developer、Anthropic 的 Claude Code、Augment、Cursor、Google Antigravity 和 Windsurf;三家已发布修复,两家正在修复中,Anthropic 否认其为缺陷。

Read More
六个新的U-Boot漏洞可让恶意镜像使设备崩溃或在启动时执行代码

六个新的U-Boot漏洞可让恶意镜像使设备崩溃或在启动时执行代码

固件安全公司Binarly的研究人员在U-Boot(一个用于启动家用路由器、智能摄像头以及数据中心服务器内部管理芯片等各类硬件的小程序)中发现了六个新的安全漏洞。其中四个漏洞可导致设备崩溃,另外两个可能让攻击者将恶意镜像送至引导加载程序面前,在设备尚未确认软件真实性之前执行自己的代码。这些漏洞覆盖了从U-Boot v2013.07版本起的超过50个稳定版本,Binarly已通过BRLY-2026-037至BRLY-2026-042六个编号进行披露,但目前尚未分配CVE编号。

Read More
最高严重等级 Adobe ColdFusion 漏洞遭在野利用

最高严重等级 Adobe ColdFusion 漏洞遭在野利用

据漏洞情报公司 KEVIntel 透露,攻击者正在利用一个严重等级(max severity)的 Adobe ColdFusion 漏洞 CVE-2026-48282。受影响的 ColdFusion 版本包括 2025.9、2023.20 及更早版本,攻击者无需权限即可在未打补丁的系统上远程执行代码。Adobe 已发布安全更新,而 KEVIntel 创始人 Ryan Dewhurst 警告称,在公开细节发布后不到两小时内就观测到在野利用。

Read More
Opera GX 漏洞允许恶意网站自动安装 Mod 以窃取访问页面数据

Opera GX 漏洞允许恶意网站自动安装 Mod 以窃取访问页面数据

研究人员在面向游戏玩家的 Opera GX 浏览器中发现一个漏洞,允许恶意网站静默安装 Mod,并利用该 Mod 从受害者访问的页面中窃取特定数据。攻击者可在零点击情况下重建已登录用户的完整 Gmail 地址。Opera 已通过版本 130.0.5847.89 完成修复,未分配 CVE 编号,并将该漏洞评定为最高 P1 级别,支付了 5,000 美元赏金。

Read More