• Xen privcmd 驱动绕过内核锁定漏洞 (CVE-2026-31788)https://sectoday.tencent.com/event/FDUSI50BVJfJhgnJd4IU
Xen 安全公告 XSA-482 披露了编号为 CVE-2026-31788 的严重漏洞,该缺陷存在于 Xen 虚拟化环境中的 Linux privcmd 驱动程序。攻击者可利用此漏洞修改页表,使用户模式能够访问并篡改内核内存,从而绕过 Kernel Lockdown 机制及 Secure Boot 防护。该漏洞影响运行于 Secure Boot 系统上的 PV、PVH 及 HVM 虚拟机,目前尚无其他缓解措施,必须应用 Xen 项目安全团队发布的特定补丁才能修复。
• Claude Chrome 扩展零点击 XSS 提示注入:源于域名白名单与 CAPTCHA 组件漏洞https://thehackernews.com/2026/03/claude-extension-flaw-enabled-zero.html
本文揭示了 Anthropic Claude 浏览器扩展中一个严重的零点击漏洞,攻击者仅需用户访问恶意网页即可通过利用宽松的域名白名单与跨站脚本(XSS)漏洞链,完全接管用户浏览器并窃取敏感数据。该案例深刻警示了随着 AI 代理能力增强,其信任边界中的最弱环节将成为攻击者的核心突破口,对 AI 安全架构设计具有极高的参考价值。
• TeamPCP 针对 LiteLLM 的供应链攻击事件https://sectoday.tencent.com/event/gDTdHZ0BVJfJhgnJFt7H
2026 年 3 月,威胁组织 TeamPCP 利用 Trivy CI/CD 流程中的漏洞,成功入侵热门 Python AI 网关库 LiteLLM,并在 PyPI 上发布了被篡改的 1.82.7 和 1.82.8 版本。攻击者绕过源代码审查,直接向分发包注入包含三阶段逻辑的恶意载荷:首先利用 Python .pth 机制实现无需导入即可触发的自动执行,随后窃取 SSH 密钥、AWS/GCP/Azure 云凭证、Kubernetes 配置及加密货币钱包数据,最后通过创建特权 Pod 逃逸容器并注册 systemd 服务建立持久化后门,实现横向移动。此次攻击波及全球数亿次安装,严重影响 OpenAI、Anthropic 等主流 AI 服务用户,迫使 PyPA 紧急下架恶意版本并建议用户立即轮换凭证。
• 通过 Null Routes 防止 IPv6 路由环路及固件放大漏洞https://blog.apnic.net/2026/03/26/make-this-one-change-to-prevent-ipv6-routing-loops-in-your-network/
本文揭示了IPv6网络中普遍存在的路由环路问题,并发现主流路由器固件中存在严重漏洞,可将单个ICMP请求放大超过25万次,构成巨大的DDoS攻击风险。文章不仅量化了全球影响范围,更提供了通过配置空路由(Null Routes)来修复这一关键安全缺陷的实用方案,对提升互联网基础设施的稳定性至关重要。
• libfuse io_uring 内存安全深度解析:UAF 与 NULL Deref 漏洞剖析https://seclists.org/oss-sec/2026/q1/386
本文深入剖析了 libfuse 3.18.0 中 io_uring 路径的严重内存安全漏洞,揭示了容器资源限制(如 cgroup pids.max)如何可靠触发 pthread_create 失败进而导致高危的释放后使用(UAF)漏洞。该研究不仅提供了详尽的根因分析与利用证明,还厘清了 CVE-2026-33150 与 33179 之间的独立触发机制,为云原生环境下的 FUSE 安全加固提供了关键指导。
• GoHarbor Harbor 严重漏洞 CVE-2026-4404 允许通过硬编码凭证完全接管注册中心https://gbhackers.com/goharbor-issues-urgent-patch/
本文揭示了 Harbor 容器镜像仓库中因默认凭证未强制重置而引发的严重供应链攻击风险(CVE-2026-4404),攻击者可借此直接接管 CI/CD 流水线并植入恶意镜像。该漏洞对云原生基础设施构成致命威胁,亟需安全团队立即手动修改密码并关注即将发布的自动化修复补丁。
• 利用量纲分析识别 DeFi 逻辑漏洞:原理与最佳实践https://blog.trailofbits.com/2026/03/24/spotting-issues-in-defi-with-dimensional-analysis/
本文巧妙地将物理学中的量纲分析法引入DeFi领域,提出了一种无需修改代码即可从逻辑层面彻底排除算术漏洞的创新思维。通过强制开发者在智能合约中显式定义和追踪代币、价格及流动性的“维度”,该方法能有效识别传统审计中极易被忽视的公式错误,为提升DeFi协议的安全性提供了极具价值的理论框架与最佳实践。
* 查看或搜索历史推送内容请访问:https://sectoday.tencent.com/* 新浪微博账号: 腾讯玄武实验室https://weibo.com/xuanwulab* 微信公众号: 腾讯玄武实验室
本篇文章来源于微信公众号: 腾讯玄武实验室
相关文章
