- ChatGPT App 的模型切换入口,突然变得很难找3/17/2026
- Anthropic 超 8 万用户调研:81% 认为 AI 正兑现预期3/19/2026
- 据路透:华虹旗下华力微电子拟量产 7 纳米,华虹或成中国第二家 7nm 代工厂3/16/2026
- Google 把 Stitch 升级成 AI 原生设计画布3/19/2026
- 小米三款大模型齐发:MiMo-V2-Pro、Omni、TTS 完整解读3/19/2026
- DLSS 5 引发的争议:老黄说批评者完全错误3/19/2026
- 椰树集团相关公司招标 50 台人形机器人剥椰子,产线开始提具体指标了3/19/2026
- 营收涨三倍,宇树科技冲刺科创板3/20/2026
2026 年 5 月 13 日,安全研究机构 depthfirst 与 F5 联合披露了 NGINX 中一个编号为 CVE-2026-42945 的严重漏洞,CVSS v4.0 评分达 9.2。该漏洞属于堆缓冲区溢出类型,存在于 ngx_http_rewrite_module 模块中,最早可追溯至 2008 年引入的代码逻辑,在代码库中潜伏长达 18 年。Depthfirst 将该漏洞命名为 "NGINX Rift"。
漏洞技术原理该漏洞的根源在于 NGINX rewrite 指令的脚本引擎两遍执行流程中的状态不一致。rewrite 引擎在处理替换字符串时,分两遍执行:第一遍用于计
2026 年 4 月 29 日,安全研究公司 Xint Code(隶属 Theori)公开披露了一个 Linux 内核高危本地提权漏洞,编号 CVE-2026-31431,研究者将其命名为 "Copy Fail"。
该漏洞位于 Linux 内核加密子系统的 algif_aead 模块,允许任何本地普通用户在任意可读文件的页缓存(page
Wiz Research 在 GitHub 内部 git 基础设施中发现了一个严重的远程代码执行漏洞(CVE-2026-3854),攻击者仅需一个标准 git push 命令即可在 GitHub Enterprise Server(GHES)或 GitHub.com 的后端服务器上执行任意代码。
GitHub 在收到报告后 6 小时内修复了 GitHub.com,并于 2026 年 3 月 10 日发布 GHES 补丁。但截至公开披露时,Wiz 的扫描数据显示仍有约 88% 的 GHES 实例未升级修复。
漏洞概述CVE-2026-3854 — CVSS 8.7(高危
LiteLLM Proxy 组件被发现存在严重的预认证 SQL 注入漏洞(CVE-2026-42208 / GHSA-r75f-5x8p-qvmc),攻击者无需任何有效凭证,即可通过构造 HTTP 请求读取数据库中存储的各厂商大模型 API 密钥。
漏洞详情该漏洞位于 LiteLLM Proxy 的 API 密钥验证步骤中。在受影响版本(>= 1.81.16, < 1.83.7)中,代理将 Authorization: Bearer header 中的值直接拼接进 SQL 查询语句,未进行参数化处理。攻击者只需在 Bearer token 中插入单引号即可逃逸字符串字面量,追加




