Anthropic MCP Design Vulnerability Enables RCE, Threatening AI Supply Chain Artificial Intelligence / VulnerabilityCybersecurity researchers have discovered a critical "by... 2026-4-20 10:42:0 | 阅读: 46 | 收藏 | The Hacker News - thehackernews.com mcp 2026 injection anthropic

Researchers Detect ZionSiphon Malware Targeting Israeli Water, Desalination OT Systems Cybersecurity researchers have flagged a new malware called ZionSiphon that appears to be specifica... 2026-4-20 07:34:0 | 阅读: 28 | 收藏 | The Hacker News - thehackernews.com machine zionsiphon israel operational network

Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials Cloud Security / Data BreachWeb infrastructure provider Vercel has disclosed a security breach tha... 2026-4-20 03:35:0 | 阅读: 30 | 收藏 | The Hacker News - thehackernews.com vercel security rotate attacker

$13.74M Hack Shuts Down Sanctioned Grinex Exchange After Intelligence Claims 嗯，用户让我帮忙总结一篇文章，控制在一百个字以内，而且不需要特定的开头。首先，我需要仔细阅读文章内容，抓住主要信息。 文章讲的是Grinex交易所被西方情报机构攻击，导致资金被盗。Grinex是Garantex的改名，之前被美国制裁过。这次攻击可能有政治目的，影响俄罗斯的金融主权。还有提到Chainalysis分析认为这可能是一次幌子行动。 接下来，我需要把这些要点浓缩成一句话。要包括Grinex被攻击、资金损失、西方情报机构嫌疑、政治目的以及可能的幌子行动。 然后，检查字数是否在一百字以内，并确保表达清晰准确。最后，确保没有使用“这篇文章”这样的开头。 </think> Grinex交易所因涉嫌资金 laundering被美英制裁后遭黑客攻击，损失1.374亿美元。该公司指责西方情报机构参与此次网络攻击，并称其目的是破坏俄罗斯金融主权。该事件或为幌子行动，进一步打击了支持俄罗斯规避制裁的金融基础设施。... 2026-4-18 07:59:0 | 阅读: 28 | 收藏 | The Hacker News - thehackernews.com grinex exchange funds garantex sanctions

Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要仔细阅读文章内容，理解主要信息。 文章讲的是网络攻击者利用TBK DVR和已停产的TP-Link路由器的安全漏洞来部署Mirai僵尸网络的变种。Fortinet和Palo Alto Networks的研究人员发现了这些攻击活动。攻击者利用CVE-2024-3721漏洞，部署名为Nexcorium的恶意软件，并且还利用了其他漏洞如CVE-2017-17215来扩大攻击范围。 此外，文章还提到TP-Link路由器的漏洞CVE-2023-33538被加入CISA的已知被利用漏洞目录，建议用户更换设备以避免风险。 总结时需要涵盖攻击目标、使用的漏洞、恶意软件名称以及建议措施。要简洁明了，控制在100字以内。 </think> 网络攻击者利用TBK DVR和已停产的TP-Link路由器的安全漏洞部署Mirai僵尸网络变种。研究人员发现攻击者通过CVE-2024-3721漏洞部署恶意软件Nexcorium，并利用其他漏洞扩大攻击范围。建议用户更新设备并避免使用默认凭据以降低风险。... 2026-4-18 06:1:0 | 阅读: 33 | 收藏 | The Hacker News - thehackernews.com security dvr routers tl nexcorium

Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解主要信息。 文章主要讲的是Huntress警告威胁行为者正在利用微软Defender的三个安全漏洞：BlueHammer、RedSun和UnDefend。这些漏洞都是零日漏洞，由一个叫做Chaotic Eclipse的研究人员披露的。BlueHammer已经被微软修复，但另外两个还没有补丁。Huntress观察到这些漏洞在野外被利用，特别是BlueHammer从4月10日开始被武器化使用。攻击者通过一些枚举命令进行手动操作，Huntress已经采取措施隔离受影响的组织。 接下来，我需要将这些信息浓缩到100字以内。重点包括：三个漏洞、微软Defender、零日漏洞、BlueHammer已修复、其他未修复、野外利用情况、攻击手法和应对措施。 然后，我要确保语言简洁明了，避免使用复杂的术语，同时保持信息的完整性。可能的结构是：威胁行为者利用三个漏洞攻击微软Defender，其中两个未修复，已在野外使用。 最后，检查字数是否符合要求，并确保没有遗漏关键信息。 </think> 威胁行为者正在利用微软 Defender 的三个安全漏洞（BlueHammer、RedSun 和 UnDefend）进行攻击。其中 BlueHammer 已被修复，另两个尚未有补丁。这些零日漏洞已被用于野外攻击，可能导致权限提升或服务中断。... 2026-4-17 13:21:0 | 阅读: 27 | 收藏 | The Hacker News - thehackernews.com microsoft bluehammer redsun undefend eclipse

Google Blocks 8.3B Policy-Violating Ads in 2025, Launches Android 17 Privacy Overhaul 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我需要通读整篇文章，抓住主要信息。 文章主要讲的是Google在2025年更新了Play政策，加强用户隐私和防范欺诈。具体措施包括调整Android的联系人和位置权限，引入新的Contact Picker和简化的位置按钮。此外，Google还通过AI模型打击恶意广告，拦截了大量违规内容。 接下来，我需要把这些要点浓缩到100字以内。要注意关键词：隐私、反欺诈、Contact Picker、位置权限、AI打击广告。 然后组织语言，确保流畅自然。可能的结构是：Google更新政策，加强隐私和反欺诈；引入新功能；通过AI打击广告。 最后检查字数是否符合要求，并确保信息准确无误。 </think> Google更新Play政策以加强用户隐私并防范欺诈，包括改进Android的联系人和位置权限管理，并通过AI技术拦截恶意广告。... 2026-4-17 10:47:0 | 阅读: 22 | 收藏 | The Hacker News - thehackernews.com contacts declaration precise malicious suspended

NIST Limits CVE Enrichment After 263% Surge in Vulnerability Submissions 嗯，用户让我用中文帮他总结一下这篇文章，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头，直接写描述。首先，我需要通读整篇文章，理解主要信息。 文章讲的是NIST（美国国家标准与技术研究所）对处理网络安全漏洞和暴露（CVEs）的方式进行了调整。由于CVE提交量激增，他们现在只对满足特定条件的CVE进行丰富处理。这些条件包括CVE是否在CISA的已知被利用漏洞目录中、是否用于联邦政府软件、以及是否属于关键软件等。不满足条件的CVE会被标记为“未计划”，但仍然会列在NVD中。 此外，NIST还更新了其他操作流程，比如不再单独提供严重性评分、修改后的CVE只有在“实质性影响”时才会重新分析等。专家们对此有不同的看法，有人认为这是必要的调整，但也有人担心这会影响依赖NIST数据的组织。 接下来，我需要将这些信息浓缩到100字以内。重点包括：NIST调整处理方式、原因（提交量激增）、优先处理的条件、未计划的标记、其他操作变化以及专家观点。 可能会遗漏一些细节，但要确保主要信息都涵盖进去。最后检查字数是否符合要求，并确保语言简洁明了。 </think> 美国国家标准与技术研究所（NIST）宣布将调整其对网络安全漏洞和暴露（CVEs）的处理方式，优先处理高风险CVEs，如已知被利用漏洞、联邦政府软件及关键软件相关漏洞。未满足条件的CVE将被标记为“未计划”，不再自动丰富。此调整旨在应对 CVE 提交量激增带来的挑战，并推动行业转向基于威胁情报的风险管理方法。... 2026-4-17 07:14:0 | 阅读: 34 | 收藏 | The Hacker News - thehackernews.com cves enrichment nvd security

Operation PowerOFF Seizes 53 DDoS Domains, Exposes 3 Million Criminal Accounts 嗯，用户让我用中文总结一下这篇文章的内容，控制在100个字以内。不需要用“文章内容总结”或者“这篇文章”这样的开头，直接写描述。首先，我需要仔细阅读文章，抓住关键点。 文章讲的是一个国际执法行动，代号Operation PowerOFF，打击DDoS服务。他们关停了53个域名，逮捕了4人。这些服务被超过7.5万名网络犯罪分子使用。行动涉及21个国家，查获了300多万个犯罪账户，并发出了警告邮件和25份搜查令。 接下来，我需要把这些信息浓缩到100字以内。要突出国际执法、关停域名、逮捕人数、涉及国家数量以及查获的账户数量。同时，提到DDoS服务如何被滥用以及执法机构的努力。 可能的结构是：国际执法行动代号PowerOFF打击DDoS服务，关停53域名逮捕4人，涉及21国查获300万账户，并警告犯罪分子。这样既简洁又涵盖了主要内容。 </think> 国际执法行动代号"PowerOFF"打击商业DDoS服务，关停53个域名并逮捕4人。该行动涉及21个国家，查获超300万个犯罪账户，并向涉案人员发出警告邮件和25份搜查令。... 2026-4-17 05:46:0 | 阅读: 30 | 收藏 | The Hacker News - thehackernews.com criminal hire authorities poweroff europol

Apache ActiveMQ CVE-2026-34197 Added to CISA KEV Amid Active Exploitation 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。首先，我得仔细阅读文章，理解其主要内容。 文章讲的是Apache ActiveMQ Classic的一个高危安全漏洞CVE-2026-34197，CVSS评分8.8。这个漏洞被CISA加入到了已知被利用的漏洞目录中，并要求联邦机构在2026年4月30日前修复。漏洞允许攻击者通过Jolokia API执行任意代码，甚至无需认证，尤其是在某些旧版本中。受影响的版本包括5.19.4之前的和6.0.0到6.2.3之前的版本。建议升级到5.19.4或6.2.3。 用户的要求是用中文总结，不超过100字，不需要特定开头。我需要抓住关键点：漏洞名称、影响、CVSS评分、攻击方式、受影响版本和建议措施。 可能的结构是：Apache ActiveMQ Classic发现高危漏洞CVE-2026-34197（CVSS 8.8），允许攻击者通过Jolokia API执行任意代码，影响多个版本，需升级至5.19.4或6.2.3。 检查字数是否符合要求，并确保信息准确无误。 </think> Apache ActiveMQ Classic被发现高危漏洞CVE-2026-34197（CVSS 8.8），允许攻击者通过Jolokia API执行任意代码，影响多个版本，需升级至5.19.4或6.2.3以修复。... 2026-4-17 03:22:0 | 阅读: 29 | 收藏 | The Hacker News - thehackernews.com activemq 2026 broker security 34197

Newly Discovered PowMix Botnet Hits Czech Workers Using Randomized C2 Traffic 好的，我现在要帮用户总结这篇文章的内容。用户的要求是用中文总结，控制在100字以内，不需要特定的开头，直接写描述即可。 首先，我需要通读整篇文章，抓住主要信息。文章主要讲的是Cisco Talos研究人员发现了一个新的恶意软件PowMix，它是一个之前未被记录的僵尸网络，针对捷克共和国的劳动力进行攻击。 攻击链开始于一个恶意的ZIP文件，通过钓鱼邮件传播。ZIP文件中包含Windows快捷方式（LNK），启动PowerShell加载器，进而提取、解密并运行恶意软件。PowMix的特点包括随机的C2信标间隔、加密心跳数据、动态更新C2域名等，这些都是为了逃避检测。 此外，PowMix还能执行远程访问、侦察和代码执行，并通过计划任务实现持久性。它还带有误导机制，打开合规主题的诱饵文档，引用合法品牌和数据以增强可信度。 文章还提到PowMix与之前的ZipLine活动有战术上的重叠，比如使用相同的ZIP交付方式、计划任务持久性和滥用Heroku作为C2服务器。但目前尚未发现最终的有效载荷，动机尚不明确。 最后，文章还提到了另一个僵尸网络RondoDox的能力扩展，包括加密货币挖掘和DDoS攻击。 现在我需要将这些信息浓缩到100字以内。重点应放在PowMix的特点、攻击方式、逃避检测的机制以及与其他活动的关系上。 可能的结构是：研究人员发现PowMix僵尸网络针对捷克劳动力；通过钓鱼邮件传播；使用随机信标间隔和加密数据；具备远程控制功能；与ZipLine活动有战术重叠；动机不明。 现在检查字数是否在限制内，并确保信息准确且连贯。 </think> 研究人员发现了一个名为PowMix的新僵尸网络，针对捷克共和国劳动力展开攻击。该恶意软件通过钓鱼邮件传播恶意ZIP文件，并利用随机C2信标间隔和加密数据来规避检测。PowMix可执行远程访问、侦察和代码执行，并具备动态更新C2域名的能力。该活动与先前披露的ZipLine恶意软件在战术上存在重叠。... 2026-4-16 17:52:0 | 阅读: 21 | 收藏 | The Hacker News - thehackernews.com c2 powmix malicious remote talos

ThreatsDay Bulletin: Defender 0-Day, SonicWall Brute-Force, 17-Year-Old Excel RCE and 15 More Stories 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章内容，看起来是关于本周网络安全事件的综述。 首先，我需要快速浏览文章，找出主要事件和关键词。文章提到了黑客攻击、漏洞、供应链问题、加密货币盗窃、恶意软件、勒索软件等。这些都是网络安全的重要方面。 接下来，我得确定每个部分的关键点。比如，Zerion钱包被黑，欧盟的年龄验证应用，微软的零日漏洞，旧Excel漏洞被利用，Raspberry Pi的安全更新，C2框架被发现，假冒Ledger应用导致资金损失等。 然后，我需要将这些信息浓缩成简洁的句子。要注意涵盖主要事件和趋势，同时保持在100字以内。可能需要合并一些相似的事件或只选取最重要的几个。 最后，确保语言流畅自然，避免使用复杂的术语或过于技术化的描述。这样用户能快速理解本周的主要网络安全动态。 </think> 本周网络安全事件综述：黑客攻击、漏洞利用、供应链问题频发；加密货币盗窃、恶意软件扩散及勒索软件活动持续；同时部分平台加强安全措施。... 2026-4-16 13:5:0 | 阅读: 27 | 收藏 | The Hacker News - thehackernews.com security 2026 microsoft cloud remote

[Webinar] Find and Eliminate Orphaned Non-Human Identities in Your Environment 嗯，用户让我帮忙总结一篇文章，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。首先，我得仔细阅读这篇文章，理解它的主要观点。 文章主要讲的是2024年云安全的漏洞，大部分是由被遗忘的服务账户和API密钥引起的。攻击者利用这些未被管理的非人类身份，比如服务账户、API令牌等，来进行入侵。传统IAM系统主要是管理人类用户，对机器身份管理不够。 接下来，我需要提取关键信息：68%的云安全事件是由于非人类身份被忽视导致的；每个员工有40到50个自动化凭证；这些凭证在项目结束或员工离职后仍然活跃且未被监控；攻击者无需入侵，直接使用遗留的密钥；AI和自动化增加了凭证数量，传统IAM无法应对。 然后，我要把这些信息浓缩成一百字以内。确保涵盖原因、影响以及解决方案的大致方向。比如提到非人类身份、传统IAM的不足、 webinar 提供的方法等。 最后，检查语言是否简洁明了，避免使用复杂的术语，确保读者能快速理解主要内容。 </think> 2024年云安全事件中68%由未管理的非人类身份（如服务账户、API密钥）引发。传统IAM忽视机器身份管理。 webinar将提供发现、清理和自动化管理这些"幽灵身份"的方法。... 2026-4-16 11:55:0 | 阅读: 26 | 收藏 | The Hacker News - thehackernews.com identities attackers webinar security artificial

Cisco Patches Four Critical Identity Services, Webex Flaws Enabling Code Execution 好的，我现在要帮用户总结这篇文章的内容，控制在100字以内。首先，我需要仔细阅读文章，抓住主要信息。 文章主要讲的是Cisco修复了四个关键的安全漏洞，影响了身份服务和Webex服务。这些漏洞可能导致任意代码执行和用户冒充攻击。漏洞包括CVE-2026-20184、CVE-2026-20147、CVE-2026-20180和CVE-2026-20186，CVSS评分都很高，9.8和9.9分。 接下来，我需要将这些信息浓缩到一句话中。要包括Cisco修复漏洞、影响的服务、漏洞可能导致的问题以及修复措施。同时，要注意不要使用“文章内容总结”这样的开头。 最后，确保语言简洁明了，不超过100字。 </think> 思科修复了四个关键安全漏洞，影响身份服务和Webex服务，可能导致任意代码执行和用户冒充攻击。其中三个漏洞需更新至指定版本以修复。... 2026-4-16 11:27:0 | 阅读: 35 | 收藏 | The Hacker News - thehackernews.com ise 2026 attacker remote

Obsidian Plugin Abuse Delivers PHANTOMPULSE RAT in Targeted Finance, Crypto Attacks 嗯，用户让我总结这篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得快速浏览一下文章内容。看起来这篇文章讲的是一个新型的社会工程攻击活动，利用Obsidian这个笔记软件作为初始入口，传播一种新的远程访问木马PHANTOMPULSE。 攻击者通过LinkedIn和Telegram联系目标，伪装成风险投资公司，然后引导他们加入Telegram群聊。接着让目标使用Obsidian连接到一个云托管的保险库，触发感染过程。这里的关键点是利用Obsidian的社区插件系统来执行恶意代码。 PHANTOMPULSE是一个AI生成的后门程序，使用Ethereum区块链来获取C2服务器地址，并且支持多种远程控制命令。攻击针对金融和加密货币行业。 现在我需要把这些要点浓缩到100字以内。要确保涵盖攻击方式、使用的工具、目标以及技术手段。同时保持语言简洁明了。 可能的结构是：描述攻击活动、利用的工具、如何传播恶意软件、恶意软件的功能以及攻击目标。 最后检查一下字数是否符合要求，并且确保没有遗漏关键信息。 </think> 研究人员发现一起利用笔记软件Obsidian进行社会工程攻击的活动，通过伪装成风险投资公司引导目标连接恶意云保险库，触发远程访问木马PHANTOMPULSE感染。该木马利用Ethereum区块链获取C2地址，并支持多种远程控制功能。... 2026-4-16 11:2:0 | 阅读: 25 | 收藏 | The Hacker News - thehackernews.com c2 security payload windows

Hidden Passenger? How Taboola Routes Logged-In Banking Sessions to Temu 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，抓住主要信息。 文章讲的是一个银行批准了Taboola的像素标签，结果这个像素标签将登录用户重定向到Temu的跟踪端点。这个过程银行和用户都不知道，也没有任何安全控制检测到问题。 接下来，文章解释了安全工具的缺陷，比如WAF、静态分析和CSP允许列表都是基于声明的来源进行检查，而不是实际请求链的最终目标。这导致了“首跳偏见”盲点。 然后是具体的案例分析，包括重定向链和关键头信息，说明Temu如何获取用户的跟踪信息。最后提到了监管问题和合规风险。 总结时要涵盖：银行、Taboola像素、Temu跟踪、未经同意、安全工具缺陷、合规风险等关键点。控制在100字以内，直接描述内容。 </think> 文章描述了一起银行因批准Taboola像素而意外允许Temu进行用户跟踪的安全事件。该事件未获用户同意且未被安全工具检测到。文章揭示了现有安全机制的缺陷，强调需关注实时请求链而非仅依赖声明来源，并指出合规风险。... 2026-4-16 10:30:0 | 阅读: 27 | 收藏 | The Hacker News - thehackernews.com taboola security temu hop approved

UAC-0247 Targets Ukrainian Clinics and Government in Data-Theft Malware Campaign 嗯，用户让我总结一下这篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头。首先，我需要通读整篇文章，抓住主要信息。 文章讲的是乌克兰的CERT-UA披露了一个新的网络攻击活动，目标是政府和医疗机构，使用恶意软件窃取敏感数据。攻击者通过钓鱼邮件传播LNK文件，利用mshta.exe执行HTA文件，进而下载恶意软件如AGINGFLY和SILENTLOOP。这些恶意软件能够远程控制、窃取数据，并使用多种工具进行侦察和横向移动。 接下来，我需要将这些信息浓缩到100字以内。重点包括攻击目标、传播方式、使用的恶意软件以及造成的后果。同时要保持语言简洁明了。 可能的结构是：乌克兰CERT-UA披露新活动，目标政府和医疗机构，利用钓鱼邮件传播恶意软件，窃取数据并控制系统。 这样既涵盖了主要信息，又符合字数限制。 </think> 乌克兰计算机应急响应团队披露了一起针对政府和医疗机构的网络攻击活动。攻击者通过钓鱼邮件传播恶意软件，利用LNK文件和HTA技术窃取敏感数据并控制目标系统。... 2026-4-16 06:20:0 | 阅读: 18 | 收藏 | The Hacker News - thehackernews.com chromium agingfly dubbed ukraine network

n8n Webhooks Abused Since October 2025 to Deliver Malware via Phishing Emails 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章的详细内容，包括威胁行为者如何利用n8n平台进行网络钓鱼攻击和恶意软件传播。 首先，我需要通读整篇文章，抓住主要信息。文章提到n8n是一个AI工作流自动化平台，被用于发送钓鱼邮件和分发恶意软件。攻击者利用n8n的可信基础设施绕过安全过滤器，使用webhook URL来触发恶意活动。 接下来，我需要确定关键点：威胁行为者利用n8n平台、发送钓鱼邮件、分发恶意软件、绕过安全措施、使用webhook URL、以及这些攻击带来的影响。 然后，我要把这些信息浓缩到100字以内。确保语言简洁明了，不使用复杂的术语。同时，不需要开头的引导语，直接描述内容。 最后，检查字数是否符合要求，并确保所有关键点都被涵盖。 </think> 威胁行为者利用AI工作流平台n8n发送钓鱼邮件和恶意软件，绕过安全过滤器。攻击者通过创建webhook URL触发自动化工作流，在用户点击链接时下载恶意程序或收集设备信息。这种攻击方式利用了n8n的可信域名和自动化功能，增加了攻击的隐蔽性和成功率。... 2026-4-15 17:9:0 | 阅读: 33 | 收藏 | The Hacker News - thehackernews.com n8n talos webhook cloud

Actively Exploited nginx-ui Flaw (CVE-2026-33032) Enables Full Nginx Server Takeover 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住关键点。 文章讲的是nginx-ui的一个严重漏洞CVE-2026-33032，CVSS评分9.8。这是一个认证绕过漏洞，允许攻击者控制Nginx服务。漏洞存在于/mcp_message端点，该端点默认没有IP白名单限制，攻击者可以发送HTTP请求直接利用漏洞，导致服务被接管。 然后，文章提到这个漏洞已经被修复，在2.3.4版本中发布了补丁，并建议用户升级或配置安全措施。此外，文章还提到这个漏洞已经被积极利用，并且有大量暴露的实例在互联网上。 总结时要包括：漏洞名称、影响、攻击方式、后果、修复建议和暴露情况。确保语言简洁明了，不超过100字。 </think> nginx-ui存在严重漏洞CVE-2026-33032（CVSS 9.8），攻击者可通过/mcp_message端点绕过认证，控制Nginx服务并接管配置。该漏洞已被修复于版本2.3.4，建议用户立即升级或限制访问以应对风险。... 2026-4-15 12:56:0 | 阅读: 28 | 收藏 | The Hacker News - thehackernews.com mcp security 2026 attacker

April Patch Tuesday Fixes Critical Flaws Across SAP, Adobe, Microsoft, Fortinet, and More 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是四月份的补丁星期二发布了多个关键漏洞，涉及Adobe、Fortinet、Microsoft和SAP的产品。SAP有一个SQL注入漏洞，CVSS评分高达9.9，可能被低权限用户利用执行恶意SQL，导致数据泄露或破坏。Adobe Acrobat Reader也有一个远程代码执行漏洞，评分8.6，并且已经被活跃利用了。此外，还有ColdFusion的五个关键漏洞和FortiSandbox的两个漏洞。微软修复了169个安全缺陷，包括SharePoint的一个欺骗漏洞。其他厂商如AWS、Cisco等也发布了补丁。 接下来，我需要把这些信息浓缩到100字以内。要突出主要厂商及其漏洞的严重性，尤其是高CVSS评分和实际利用情况。同时提到微软和其他厂商的修复措施。 最后，确保语言简洁明了，不使用复杂的术语，并且直接描述内容。 </think> 四月补丁星期二发布多厂商安全更新，SAP修复SQL注入高危漏洞（CVSS 9.9），Adobe Acrobat Reader现远程代码执行（CVSS 8.6），FortiSandbox修复认证绕过及代码执行问题（CVSS 9.1），微软修复169个缺陷包括SharePoint敏感信息泄露。... 2026-4-15 12:37:0 | 阅读: 25 | 收藏 | The Hacker News - thehackernews.com 2026 security bypass microsoft