导航
首页
部门概况
部门简介
部门职责
部门设置
联系我们
大事记
成果展示
党建工作
工作动态
通知公告
规章制度
政策法规
学校规章制度
标准规范
网络安全
网安新闻资讯
风险预警信息
软件正版化
微软正版化
WPS正版化
服务指南
教室多媒体服务
校园网络接入服务
智慧校园
AI应用指南
网络安全
网安新闻资讯
风险预警信息
首页
网络安全
风险预警信息
风险预警信息
17
2026-06
【安全通告】Microsoft 发布 2026 年 6 月安全更新(含多个高危漏洞补丁)
预警背景:监测到微软官方发布了2026年6月安全更新。此次更新共修复204个漏洞,涵盖39个严重漏洞及165个重要漏洞。预警描述:受影响产品包含了Windows 10 、Windows 11、Windows Server 、Microsoft SQL Server、 Microsoft Office、 Microsoft 365 Apps、 Microsoft Azure等多个产品系列。其中部分重要漏洞描述如下:1、Nuance PowerScribe不受信任数据反序列化漏洞(CVE-2026-26142)在Nuance PowerScribe中发现了一个反序列化不可信数据的漏洞。未经授权的攻
10
2026-06
【安全通告】HTTP/2 远程拒绝服务漏洞(CVE-2026-49975)
预警背景:近日监测到HTTP/2协议存在远程拒绝服务漏洞(CVE-2026-49975),该漏洞危害等级为高危,POC与EXP已公开,尚未发现在野利用情况。预警描述:HTTP/2 是当前主流的 Web 通信协议,广泛应用于各类服务器、代理和边缘设备中。该漏洞源于 HTTP/2 头压缩(HPACK)与流控制机制的组合性设计缺陷。攻击者可利用 HPACK 压缩炸弹技术,将一个字节的数据在服务器端扩展为数千倍的头部条目,同时通过设置零字节窗口大小使内存无法释放,最终导致服务器内存耗尽并瘫痪。攻击者利用该漏洞无需身份验证,可通过网络直接发起,影响 Web 服务正常运行。风险:攻击者可利用该漏洞在无权限
15
2026-05
【安全通告】Microsoft 发布 2026 年 5 月安全更新(含多个高危漏洞补丁)
预警背景:近日,监测到微软官方发布了2026年5月安全更新。此次更新共修复137个漏洞,其中,23个漏洞被评定为高危,包含14个紧急漏洞和9个重要漏洞。预警描述:受影响产品包含了Windows Kernel、 Windows Win32k、Microsoft Word、 Windows Common Log File System Driver、 Windows Netlogon、 Microsoft SSO Plugin for Jira & Confluence、 Microsoft Exchange Serve等产品,涉及操作系统及办公软件的多个核心模块。其中部分重要漏洞描述如下:1、M
08
2026-05
【安全通告】Microsoft 发布 2026 年 4 月安全更新(含多个高危漏洞补丁)
预警背景:2026 年 4 月,监测到 Microsoft 官方发布了 4 月安全更新,共发布165 个漏洞的补丁信息:93个特权提升类漏洞,20个信息泄漏类漏洞,20个远程执行代码类漏洞,12个安全功能绕过类漏洞,10个欺骗类漏洞,9个拒绝服务类漏洞,1个篡改类漏洞,在此次更新的补丁中,有8个漏洞被微软标记为严重漏洞,且部分漏洞存在在野利用。预警描述:本次微软安全更新涉及组件包括:.NET, .NET and Visual Studio,.NET Framework,Applocker Filter Driver (applockerfltr.sys),Azure Logic Apps,Az
12
2026-03
关于Nginx UI信息泄露漏洞(CVE-2026-27944)的预警提示
一、漏洞详情Nginx UI是一款基于Web的图形化管理工具。近日,监测到官方修复Nginx UI信息泄露漏洞(CVE-2026-27944),该漏洞源于/api/backup端点无需身份验证即可访问,并在X-Backup-Security响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据(用户凭据、会话令牌、SSL私钥、Nginx 配置)的完整系统备份并解密。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Nginx UI < 2.3.3三、修复建议官方已发布安全补丁,请及时更新至最新版本:Nginx UI >= 2.3.3
12
2026-03
OpenClaw 安全性风险全链路分析及提示
04
2026-03
关于Microsoft Windows记事本远程代码执行漏洞(CVE-2026-20841)的预警提示
一、漏洞详情Windows记事本(Notepad)是微软Windows操作系统内置的一款纯文本编辑器,被广泛用于查看、创建和编辑各类文本文件。近日,监测到官方修复Microsoft Windows记事本远程代码执行漏洞(CVE-2026-20841),该漏洞源于应用程序在处理Markdown文件中的超链接时,未能对特殊协议或命令元素进行充分的中和与验证。攻击者可利用该漏洞构造特制的恶意Markdown文件,诱骗用户打开文件并点击其中的恶意链接,进而在受害者设备上执行任意恶意代码。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Windows 记事本 < 11.2510三、
05
2026-01
MongoDB未授权内存泄露漏洞(CVE-2025-14847)
一、漏洞详情MongoDB是一款基于C++开发的开源NoSQL数据库系统,广泛应用于现代Web应用程序。近日,监测到MongoDB存在未授权内存泄露漏洞(CVE-2025-14847)。在message_compressor_zlib.cpp中,原代码使用output.length()返回已分配的内存大小,而非实际解压缩数据的长度。攻击者可通过发送格式错误的网络数据包,触发未初始化堆内存的读取,从而导致敏感信息泄露。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围MongoDB Server 8.2.0 - 8.2.2MongoDB Server 8.0.0 - 8.0.
04
2025-12
Microsoft Visual Studio远程代码执行漏洞(CNVD-2025-29343)
一、漏洞详情Microsoft Visual Studio是美国微软公司的开发工具包系列产品,是一个基本完整的开发工具集。Microsoft Visual Studio存在远程代码执行漏洞,攻击者可利用该漏洞在目标主机上执行代码。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Microsoft Visual Studio 2022 17.14三、修复建议目前官方已发布安全更新,建议用户尽快更新。
17
2025-10
7-Zip两大高危漏洞可导致任意代码执行(CVE-2025-11001/11002)
7-Zip存在目录遍历漏洞,攻击者可以构造特殊的ZIP文件,其中包含指向系统关键目录的符号链接,当具有管理员权限的用户使用7-Zip解压这些恶意文件时,攻击者可以绕过正常的文件路径限制,将恶意文件写入到系统目录中,从而实现任意代码执行。目前受影响的7-Zip压缩软件版本:7-Zip < 25.00官方已发布最新版本修复该漏洞,建议受影响用户将7-Zip更新到最新版本。下载链接:https://www.7-zip.org/download.html
13
2025-10
关于Redis Lua脚本远程代码执行漏洞(CVE-2025-49844)的预警提示
一、漏洞详情Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。近日,监测到官方修复Redis Lua脚本远程代码执行漏洞(CVE-2025-49844),该漏洞该漏洞存在于Redis的Lua脚本执行模块中,拥有低权限及以上用户权限的攻击者可通过构造特殊的Lua脚本,操控垃圾回收机制,触发释放后重用(Use-After-Free)漏洞,从而可能导致远程代码执行。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Redis < 6.2.207.2.0 <= Redis < 7.2.117.4.0 <= Redis < 7.4.68.0.0 <
09
2025-09
关于Django SQL注入漏洞(CVE-2025-57833)的预警提示
一、漏洞详情Django是一个高级的Python Web框架,用于快速开发安全、可维护的网站。近日,监测到Django框架中的一项高危SQL注入漏洞。该漏洞源于FilteredRelation功能在处理列别名时,未对通过kwargs传递给QuerySet.annotate()或QuerySet.alias()的字典进行充分验证。攻击者可以构造恶意字典,利用字典展开特性,将恶意输入注入SQL查询的列别名部分,从而绕过常规SQL注入防护。成功利用后,攻击者可读取、修改或删除数据库中的敏感数据,甚至执行任意SQL命令,导致数据泄露或完全控制数据库。建议受影响用户做好资产自查以及预防工作,以免遭受黑客
05
2025-09
百度网盘Windows客户端远程命令执行漏洞
一、漏洞概要组件名称:百度网盘影响范围:百度网盘Windows 客户端< 7.60.5.102漏洞类型:命令执行利用条件:1、用户认证:不需要用户认证2、前置条件:默认配置3、触发方式:受害者点击恶意HTML 界面二、漏洞分析2.1 组件介绍百度网盘是一个提供文件存储、同步和分享服务的云端平台。用户可以通过百度网盘存储个人文件,并可以通过链接或邀请他人共享文件。百度网盘还提供了文件同步功能,可以让用户在不同设备之间同步其文件。用户可以免费获得一定的存储空间,也可以通过付费获得更大的存储空间和更多功能。2.2 漏洞描述百度网盘Windows 客户端存在远程命令执行漏洞,网盘默认开启本地10000
04
2025-07
关于Linux sudo本地提权漏洞(CVE-2025-32462、CVE-2025-32463)的预警提示
一、漏洞详情Linux是一种免费开源的类Unix操作系统,sudo是安装在Linux系统上的特权命令行工具。近日,监测到 Linux sudo修复两个相互关联的本地提权漏洞(CVE-2025-32462、CVE-2025-32463),Linux sudo host权限提升漏洞(CVE-2025-32462)源于sudo的-h(--host)选项错误应用远程主机规则到本地,攻击者可绕过权限提升至root并执行任意代码。Linux sudo chroot权限提升漏洞(CVE-2025-32463)源于本地低权限用户通过特制的恶意chroot环境触发动态库加载,从而以root权限执行任意代码。建议
每页
14
记录
总共
27
记录
第一页
<<上一页
下一页>>
尾页
页码
1
/
2
跳转到
