📢

t00lscom

全球互联网关键基础设施NGINX出现高危漏洞 仅需发送特制HTTP请求即可拿下服务器（作者：sasser）全球互联网关键基础设施 NGINX 出现高危安全漏洞，攻击者只需要向暴露的 NGINX 服务器发送特制 HTTP 请求即可拿下服务器。该漏洞还是在 2008 年引入的，从 NGINX 0.6.27~1.30.0 版均受漏洞影响，使用 NGINX 的用户需尽快升级到 1.30.1 版或 1.31.0 版。

美国制药制造企业West Pharmaceutical Services披露遭遇数据窃取与系统加密攻击（作者：kalio）美国制药制造企业West Pharmaceutical Services披露，其遭遇一起重大网络安全事件，攻击者不仅从公司网络中窃取了部分数据，还加密了若干系统。

OpenAI受TanStack供应链攻击影响被窃取数据 基于安全考虑OpenAI再次轮换证书（作者：sasser）OpenAI 受 TanStack 供应链攻击影响，两名员工设备被感染并泄露部分数据，OpenAI 决定再次轮换代码签名证书。ChatGPT、Codex、Atlas 浏览器的 macOS 版用户都需要下载新版本，旧版本代码签名证书将被吊销，到时候用户将无法在 macOS 上安装。

NGINX堆缓冲区溢出漏洞已经开始被黑客利用 安全公司提醒用户尽快升级（作者：sasser）NGINX 堆缓冲区溢出漏洞已经开始被黑客利用，部分黑客尝试利用漏洞发起试探性攻击，漏洞检测和蜜罐分析平台 VulnCheck 就发现自己的蜜罐被黑客触发。观测数据显示目前暴露在公网且未升级的 NGINX 实例约有 570 万个，安全公司建议 NGINX 用户立即升级到最新版。

T00ls.com | 低调求发展，潜心习安全！求一个蛙池ai邀请码（作者：linand1）

T00ls.com | 低调求发展，潜心习安全！个人英语阅读水平还可以，想接触更多国外网安内容——求推荐（作者：xiaoshayu）

微软披露Microsoft Defender中存在的2个安全漏洞 可被黑客用于本地提升权限（作者：sasser）微软披露 Microsoft Defender 中存在的 2 个安全漏洞，可被黑客用于本地权限提升到 SYSTEM 权限。目前微软已经通过软件更新修复漏洞，用户只需要保持联网即可，Microsoft Defender 会自动下载和安装更新。

美国纽约市大型公立医疗体系NYC Health + Hospitals公立医疗系统遭第三方入侵泄露180万患者敏感数据（作者：kalio）纽约市的市政医疗保健系统正在通知近200万名患者，今年早些时候发现了一起涉及第三方供应商的黑客事件。

开源项目Laravel Lang(社区本地化项目)被攻击 黑客发布700多个恶意版本（作者：sasser）供应链攻击：开源项目 Laravel Lang (社区本地化项目) 被攻击，黑客劫持 GitHub 账号发布 700 多个恶意软件包。下游项目若是使用这些软件包请立即排查，此次攻击发生在 UTC 时间 5 月 22 日～23 日，恶意代码会窃取开发环境和本地软件 (例如 1Password) 的所有凭证。

CISA 警告 Drupal 核心 SQL 注入漏洞在攻击中被利用（作者：weak_hong）美国网络安全和基础设施安全局（CISA）发布紧急警报，关于 Drupal 核心中一个关键的 SQL 注入漏洞，该漏洞被追踪为 CVE-2026-9082，目前正在实际攻击中被积极利用。