赛克艾威-漏洞预警

SecEvery - Vulnerability Warning

Ivanti Endpoint Manager Mobile 代码注入漏洞(CVE-2026-1340)

北京赛克艾威科技有限公司

2026-01-29

Ivanti Endpoint Manager Mobile是一款移动设备管理软件,用于帮助企业控制和保护移动设备。该软件存在一个代码注入漏洞,允许攻击者在未经身份验证的情况下远程执行代码。

Apache ActiveMQ jolokia 代码执行漏洞(CVE-2026-34197)

北京赛克艾威科技有限公司

2026-04-07

Apache ActiveMQ 是一个开源的多协议消息代理服务器。2026年4月,官方披露 CVE\-2026\-34197 ActiveMQ Jolokia 远程代码执行漏洞。由于 允许对 ActiveMQ MBeans 执行 exec 操作。攻击者可通过Web 控制台默认暴露的 Jolokia JMX\-HTTP bridge 操作ActiveMQ MBeans,调用 addNetworkConnector 或 addConnector 方法,构造包含 brokerConfig 参数的 discovery URI从而ResourceXmlApplicationContext 加载远程恶意 Spring XML 配置文件,并最终导致代码执行。

Vite WebSocket 任意文件读取漏洞(CVE-2026-39363)

北京赛克艾威科技有限公司

2026-04-07

Vite开发服务器 WebSocket中的fetchModule方法未实施server.fs访问控制,导致攻击者可通过WebSocket连接并读取服务器上的任意文件。

Fortinet FortiClientEMS 远程代码执行漏洞 (CVE-2026-35616)

北京赛克艾威科技有限公司

2026-04-04

Fortinet FortiClientEMS 7.4.5 至 7.4.6 中存在一个不正确的访问控制漏洞,可能允许未经身份验证的攻击者通过精心构造的请求执行未经授权的代码或命令。

Google Chrome Dawn Use-After-Free漏洞

北京赛克艾威科技有限公司

2026-04-02

Google Chrome 是由谷歌开发的跨平台网页浏览器,以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目,支持现代网页标准,具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码,增强浏览器的安全性。它还提供了同步功能,允许用户在多个设备间同步书签、历史记录等数据。此外,Chrome定期更新,修复已知漏洞并增强功能,是全球使用最广泛的浏览器之一。2026年4月2日,启明星辰安全应急响应中心(VSRC)监测到Google Chrome Dawn Use\-After\-Free漏洞。该漏洞源于程序在释放内存后仍继续使用已失效指针,导致内存访问异常。攻击者在已突破renderer process沙箱的前提下,可通过构造恶意HTML页面触发该漏洞,从而实现任意代码执行或突破安全边界。该漏洞已被确认在野利用,表明其具备较高攻击价值与现实威胁。一旦被成功利用,可能导致用户终端被完全控制、敏感数据泄露,甚至成为攻击跳板,进而违反数据安全与隐私保护相关合规要求,对企业及个人用户构成严重安全风险。