Ticket to Shell: Exploiting PHP Filters and CNEXT in osTicket (CVE-2026-22200) 嗯，用户让我总结一篇关于osTicket漏洞的文章，控制在100字以内，而且不需要特定的开头。首先，我需要通读整篇文章，抓住主要信息。 文章提到发现了CVE-2026-22200漏洞，允许匿名攻击者通过注入恶意PHP过滤链到票证并导出PDF来读取任意服务器文件。这可能被用来窃取敏感文件或结合其他漏洞实现远程代码执行。补丁已经发布，建议升级。 我需要把这些要点浓缩到100字以内。可能的结构是：漏洞名称、影响、攻击方式、后果、补丁情况。 确保语言简洁明了，不使用复杂术语。同时，避免使用“文章内容总结”这样的开头。 最后检查字数是否符合要求，并确保所有关键点都被涵盖。 </think> osTicket被发现存在严重漏洞CVE-2026-22200，允许匿名攻击者通过注入恶意PHP过滤链到票证并导出PDF文件，读取服务器上的任意文件或实现远程代码执行。该漏洞已修复于版本1.18.3/1.17.7，建议用户立即升级以防止攻击。... 2026-1-22 15:51:8 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai osticket php mpdf payload attacker

Beyond the Perimeter: Why Deception is Critical to Protecting the World’s Most Sensitive Organisations 嗯，用户让我用中文总结这篇文章，控制在100字以内，而且不需要特定的开头。首先，我需要通读整篇文章，抓住主要信息。 文章主要讲的是Horizon3.ai公司的使命，他们专注于保护敏感组织，使用主动防御策略，特别是网络欺骗技术。他们参与了英国NCSC的试验，结果证明欺骗技术在检测威胁、增加攻击成本和战略部署方面有效。 接下来，我需要把这些要点浓缩到100字以内。要包括公司、技术、试验结果以及欺骗技术的优势。确保语言简洁明了，不使用复杂的术语。 最后，检查字数是否符合要求，并确保内容准确传达原文的核心信息。 </think> Horizon3.ai专注于通过主动防御和网络欺骗技术保护敏感组织，参与英国NCSC的ACD 2.0欺骗试验并验证其有效性。结果显示，欺骗技术能高精度检测威胁、增加攻击成本并需战略部署。... 2026-1-21 21:7:57 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai deception ncsc tripwires security

Introducing NodeZero® High-Value Targeting: Think Like an Attacker, Prioritize What Matters 文章讨论了高价值目标（HVT）在企业网络安全中的重要性。通过分析关键资产如域控制器、特权账户和数据库服务器，HVT帮助防御者识别攻击者最可能利用的目标，并优化渗透测试流程。结合AI驱动的分类和LLM分析，HVT提供实时风险评估，帮助企业更高效地应对威胁。... 2026-1-20 16:13:41 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai hvt security nodezero ransomware network

CVE-2025-11250 ManageEngine ADSelfService Plus 存在关键认证绕过漏洞（CVE-2025-11250），允许未认证攻击者直接访问敏感功能。该漏洞影响密码重置、账户解锁及MFA注册等身份管理流程。修复版本为Build 6519（2025年10月发布）。建议立即升级并限制访问以降低风险。... 2026-1-15 16:51:35 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai bypass nodezero

CVE-2025-37164 HPE OneView 存在 CVE-2025-37164 远程代码执行漏洞，CVSS 评分 10.0，影响所有版本至 10.20。CISA 已将其列为已知被利用漏洞。攻击者可通过未认证 REST API 端点进行代码注入。建议立即应用 HPE 安全热补丁，并在升级后重新应用以确保修复有效。... 2026-1-14 18:18:15 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai hpe oneview security hotfix remote

From Patch Tuesday to Pentest Wednesday®: When Proving Compliance Becomes Cyber Resilience 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先，我需要快速浏览文章，抓住主要信息。文章讲的是一个全球最大的支付提供商如何通过Pentest Wednesday®和NodeZero®来改善他们的安全测试。他们之前依赖传统的渗透测试，但发现这种方法不够全面，无法覆盖整个环境，而且效率低下。 接下来，文章提到他们引入了NodeZero®，这是一个自动化的渗透测试工具。通过这个工具，他们能够全面覆盖所有IP地址，并且发现了之前被忽略的默认密码和配置问题。这不仅提高了测试的效率，还帮助他们更好地应对审计和合规要求。 然后，文章还提到了他们将季度性的全面测试作为标准，并且成功说服了银行和审计机构接受这种新的测试方法。这种方法不仅减少了保险成本，还提升了整体的安全态势。 最后，总结一下：这篇文章主要讲述了支付提供商如何从传统的渗透测试转向自动化、全面的持续验证，从而提升安全性和效率。 现在我需要用简洁的语言把这些要点浓缩到100字以内。确保涵盖关键点：全球支付提供商、传统渗透测试的不足、NodeZero®的引入、全面覆盖、发现盲点、季度测试、审计接受、保险成本降低、持续验证的重要性。 </think> 全球支付提供商通过自动化渗透测试工具NodeZero®实现全面环境验证，取代传统采样式渗透测试。该方案每周进行全环境扫描和漏洞验证，在季度报告中提供完整攻击路径证据并证明修复效果。这种方法帮助组织减少保险成本并提升安全韧性。... 2026-1-14 17:0:0 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai nodezero security pentests annual pentesters

CVE-2025-64155 | Fortinet FortiSIEM Fortinet FortiSIEM存在零日漏洞（CVE-2025-64155），允许攻击者通过phMonitor服务远程写入文件并执行代码，最终获得root权限。该漏洞影响FortiSIEM 7.4及以下版本，修复补丁已发布。建议立即更新系统并限制phMonitor服务访问以降低风险。... 2026-1-13 22:27:49 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai fortisiem phmonitor security remote reachable

CVE-2025-64155: Three Years of Remotely Rooting the Fortinet FortiSIEM 嗯，用户让我总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我需要快速浏览文章，抓住主要点。 文章讲的是FortiSIEM设备的漏洞，CVE-2025-64155。里面提到发现了两个漏洞：一个是未认证的注入漏洞，导致任意文件写入和远程代码执行；另一个是文件覆盖导致提权到root。还有提到之前的历史漏洞和攻击者讨论的情况。 时间线部分显示从2025年8月报告到2026年1月修复。所以总结的时候要涵盖漏洞类型、影响、历史背景和修复时间。 现在要控制在100字以内，所以需要简洁明了。确保包含关键点：FortiSIEM、CVE编号、漏洞类型、攻击结果、历史和修复时间。 最后检查一下是否符合要求，没有使用“文章内容总结”之类的开头，直接描述内容。 </think> FortiSIEM设备被发现存在严重漏洞（CVE-2025-64155），包括未认证的命令注入和文件覆盖问题，可导致远程代码执行及提权至root。研究人员通过分析phMonitor服务发现这些漏洞，并展示了利用过程。尽管此前已报告多个类似问题，但新漏洞仍被攻击者关注。修复工作耗时较长，最终于2026年1月完成。... 2026-1-13 18:2:56 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai fortisiem injection phmonitor payload

Horizon3.ai Secures Investment from Prosperity7 Ventures to Protect AI Datacenters and Critical Infrastructure Horizon3.ai获得Prosperity7 Ventures投资，旨在保护AI数据中心和关键基础设施免受网络攻击。其NodeZero平台通过模拟攻击路径和验证安全控制，帮助组织提升防御能力。随着AI应用的普及，相关设施成为高价值目标，投资将助力提升全球网络安全水平。... 2026-1-13 13:15:0 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai horizon3 ventures nodezero datacenters investment

CVE-2026-22200 Enhancesoft osTicket, an open-source help desk system, has a critical vulnerability (CVE-2026-22200) allowing anonymous attackers to read arbitrary files, including sensitive configurations. Combined with CVE-2024-2961, it enables code execution. Despite being reported 120+ days ago, no patch is available. Affected instances are common, especially with default configurations enabling anonymous access. Mitigation steps include restricting access and disabling high-risk features.... 2026-1-12 21:32:22 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai osticket anonymous affecting attackers desk

CVE-2025-52691 嗯，用户让我总结这篇文章的内容，控制在一百个字以内。首先，我需要快速浏览文章，抓住关键点。 文章标题提到SmarterTools SmarterMail存在远程代码执行漏洞，CVE编号是2025-52691。这是一个未认证的任意文件上传漏洞，可能导致远程代码执行。影响版本是Build 9406及之前，修复版本是Build 9413。 接下来，用户要求总结在一百字以内，不需要特定开头。我需要涵盖漏洞名称、影响、攻击方式、修复措施和严重性评分。 可能的结构：漏洞名称+攻击方式+影响版本+修复版本+CVSS评分。 这样就能在简洁的句子中包含所有重要信息。 </think> SmarterTools SmarterMail 存在未认证任意文件上传漏洞（CVE-2025-52691），允许攻击者上传文件并可能实现远程代码执行。受影响版本为 Build 9406 及以下，建议升级至 Build 9413 或更高版本以修复问题。该漏洞 CVSS 3.1 评分为 10.0，属于最高危级别。... 2026-1-12 21:21:39 | 阅读: 2 | 收藏 | Horizon3.ai - horizon3.ai smartermail 9413 52691 anomalous

From Honeypots to Active Directory Tripwires 嗯，用户让我总结这篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要通读整篇文章，抓住主要观点。 文章讲的是网络安全中的欺骗技术演变。从 honeypots 到 honey tokens，再到 NodeZero 的 Tripwires 和 AD Tripwires。每种技术都有优缺点，早期的honeypots成本高，honey tokens不稳定，而现在的 Tripwires 则更智能、集成度更高。 用户可能想快速了解欺骗技术的发展和现状。他们可能是网络安全从业者或学生，需要简洁的信息来理解这个领域的发展趋势。 我需要确保总结涵盖关键点：欺骗技术的演变、每种方法的特点以及当前解决方案的优势。同时，控制在100字以内，语言要简洁明了。 最后，整合这些信息，形成一个连贯的总结。 </think> 文章探讨了网络安全中欺骗技术的演变，从早期的 honeypots 到 honey tokens 的发展与局限性，并介绍了 NodeZero 的 Tripwires 和 Active Directory (AD) Tripwires 如何通过智能化放置和集成提升检测效果。... 2026-1-9 18:49:32 | 阅读: 6 | 收藏 | Horizon3.ai - horizon3.ai tripwires honey honeypots attackers deception

The Ni8mare Test: n8n RCE Under the Microscope (CVE-2026-21858) 最近披露的n8n未认证远程代码执行漏洞（CVE-2026-21858）虽然被标记为“关键”，但实际影响范围有限。成功利用该漏洞需满足特定条件，如存在公开访问的表单组件和文件读取机制。大多数默认配置下难以被利用。研究显示，即使使用易受攻击版本，也未发现客户实例受影响。... 2026-1-8 17:45:57 | 阅读: 5 | 收藏 | Horizon3.ai - horizon3.ai n8n chatbot 2026 horizon3 remote

Horizon3.ai Appoints Andres Botero as Chief Marketing Officer to Drive Strategic Growth and Category Leadership 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头，直接写描述就行。首先，我需要仔细阅读这篇文章，抓住主要信息。 文章主要讲的是Horizon3.ai公司聘请Andres Botero为首席营销官。Botero有超过20年的经验，在市场营销方面有很多成功案例，比如在Rubrik和BlackLine等公司担任CMO期间推动了公司的增长和市场领导地位。Horizon3.ai的NodeZero平台专注于 offensive security，帮助企业识别和修复漏洞。公司最近还获得了融资，并且在扩展市场和提升品牌影响力方面有动作。 接下来，我需要把这些信息浓缩到100字以内。要突出Botero的背景、他的职责、公司的产品以及公司的现状。可能的结构是：公司名称+职位+新任高管+他的经验和成就+公司的产品和目标。 还要注意用词简洁，避免冗长的描述。比如，“超过20年经验”可以简化为“资深高管”，“推动增长”可以改为“推动增长”。同时，要确保信息准确无误。 最后检查一下字数是否符合要求，确保没有遗漏关键点。 </think> Horizon3.ai任命Andres Botero为首席营销官，负责全球营销战略。Botero拥有20多年经验，在推动市场增长和品牌建设方面表现卓越。他曾在Rubrik、BlackLine等公司担任高管并取得显著成就。Horizon3.ai通过其NodeZero®平台提供自主安全解决方案，并计划进一步扩展市场领导地位。... 2026-1-7 13:15:0 | 阅读: 7 | 收藏 | Horizon3.ai - horizon3.ai horizon3 botero security rubrik growth

CVE-2025-14847 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读文章内容，抓住关键点。 文章讲的是CVE-2025-14847，也就是MongoBleed漏洞。这是一个未认证的信息泄露漏洞，影响MongoDB服务器处理zlib压缩网络消息的方式。攻击者发送特制数据包，导致服务器返回未初始化的堆内存给客户端。因为这个漏洞在认证前就能被利用，所以暴露在互联网上的MongoDB服务器风险很高。 然后，漏洞已经被积极利用，并被CISA列为已知被利用的漏洞。技术细节方面，问题出在处理长度字段时出错，导致读取未初始化的内存。影响包括泄露敏感数据如凭证、API密钥等。严重性评分是CVSS v4.0 8.7和v3.1 7.5。 修复建议包括升级到特定版本或禁用zlib压缩。此外，文章还提到了检测指标和受影响版本。 现在需要把这些信息浓缩到100字以内。要涵盖漏洞名称、类型、影响、攻击方式、风险、修复措施以及严重性评分。 可能的结构：MongoBleed（CVE-2025-14847）是一个未认证的信息泄露漏洞，影响MongoDB服务器处理zlib压缩消息。攻击者发送特制包获取未初始化内存，导致敏感数据泄露。该漏洞已遭利用，风险高。修复方法包括升级版本或禁用zlib压缩。 </think> MongoBleed（CVE-2025-14847）是一种未认证的信息泄露漏洞，影响MongoDB服务器处理zlib压缩网络消息的方式。攻击者通过发送特制数据包可获取服务器未初始化堆内存中的敏感数据（如凭证、API密钥等），风险较高且已被活跃利用。修复方法包括升级到指定版本或禁用zlib压缩功能。... 2026-1-6 17:31:0 | 阅读: 10 | 收藏 | Horizon3.ai - horizon3.ai zlib memory 14847 exploited mongobleed

CVE-2025-14733 CVE-2025-14733 是 WatchGuard Fireware OS 中的一个严重越界写入漏洞，影响 IKEv2 VPN 服务。远程未认证攻击者可借此执行任意代码。该漏洞已被证实被活跃利用，并加入 CISA 目录。建议立即升级至修复版本并采取加固措施以缓解风险。... 2026-1-5 21:31:44 | 阅读: 20 | 收藏 | Horizon3.ai - horizon3.ai fireware watchguard ikev2 firebox 14733

CVE-2025-14611 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，并且不需要特定的开头。首先，我得仔细阅读文章内容，找出关键信息。 文章主要讲的是CVE-2025-14611这个漏洞，它是一个未认证的本地文件包含漏洞，影响Gladinet CentreStack和Triofox。问题出在旧版本中使用了硬编码的AES加密方案值，导致安全风险增加，可能被利用来包含任意本地文件。 接下来，文章提到CISA已经将此漏洞加入已知被利用的漏洞目录，说明这是一个高优先级的问题。修复方法是升级到特定版本，并建议限制公共访问以减少风险。 总结的时候，我需要涵盖漏洞名称、影响的产品、问题原因、风险、修复措施以及CISA的行动。同时要控制在100字以内，语言简洁明了。 可能会遇到的问题是如何在有限字数内准确传达所有关键点。比如，“未认证”和“硬编码”这些术语是否需要保留？还有修复措施中的升级版本号是否有必要详细写出？可能需要简化一些细节，确保整体信息完整。 最后，检查一下字数是否符合要求，并确保没有遗漏重要信息。 </think> Gladinet CentreStack 和 Triofox 存在未认证的本地文件包含漏洞（CVE-2025-14611），源于旧版本中 AES 加密方案使用硬编码值。此漏洞可导致敏感配置文件泄露或任意文件包含。CISA 已将其列为已知被利用漏洞。建议立即升级到 16.12.10420.56791 或更高版本，并限制公共访问以降低风险。... 2025-12-19 16:0:51 | 阅读: 5 | 收藏 | Horizon3.ai - horizon3.ai triofox centrestack 14611 security 10420

How Horizon3.ai is Supporting the DoW Cybersecurity Risk Management Construct (CSRMC) 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读这篇文章，了解它的主要观点和结构。 文章主要讲的是美国国防部（DoD）推出了新的网络安全风险管理框架CSRMC，取代了旧的RMF。这不仅仅是流程上的改变，而是转向实时、动态的网络安全防御。旧的RMF是静态的年度检查，现在需要持续、基于证据的安全措施来应对不断变化的威胁。 接下来，文章介绍了Horizon3.ai公司的NodeZero平台如何支持这个转变。NodeZero提供实时、自动化的渗透测试，覆盖内部、外部、云和Kubernetes环境。它不仅检测漏洞，还模拟攻击路径，展示实际可利用的漏洞及其对业务的影响。此外，NodeZero还帮助缩短修复时间，并提供符合联邦框架的报告。 最后，文章提到NodeZero在联邦生态系统中的应用情况，包括获得FedRAMP高授权，并通过NSA的CAPT项目验证。它帮助机构从合规转向真正的安全性，并支持多种安全框架。 总结时，我需要抓住几个关键点：DoD推出CSRMC替代RMF；NodeZero提供实时、动态的安全测试；帮助机构满足CSRMC要求；以及其在联邦机构中的应用和效果。 现在我要把这些要点浓缩到100字以内，确保语言简洁明了。 </think> 美国国防部推出新的网络安全框架CSRMC取代传统RMF, 实现动态实时防御。NodeZero平台通过持续自动化渗透测试, 模拟真实攻击路径, 帮助机构快速识别和修复漏洞, 提升 mission resilience, 符合联邦合规要求, 助力从静态合规转向持续安全运营。... 2025-12-17 18:16:22 | 阅读: 5 | 收藏 | Horizon3.ai - horizon3.ai nodezero security mission csrmc dow

Horizon3.ai Named to the NatSec100 List for the Second Consecutive Year 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，抓住关键信息。 文章开头提到Horizon3.ai被纳入NatSec100名单，这是第二次连续入选。这说明公司在国家安全领域表现突出。接着，NatSec100主要关注那些在国防、网络等领域的创新公司，Horizon3.ai的NodeZero平台帮助组织检测和修复安全漏洞，提升防御能力。 然后，文章提到NodeZero被多个重要机构使用，包括NSA和CISA，这显示了平台的广泛应用和重要性。CEO的话强调了技术的实际效果和公司的使命。 最后，总结一下：Horizon3.ai凭借其NodeZero平台在国家安全创新中表现突出，连续两年入选NatSec100，并被多家关键机构采用。 </think> Horizon3.ai连续两年入选NatSec100名单，因其NodeZero®平台在国家安全创新中的突出表现。该平台帮助组织检测并修复实际可利用的安全漏洞，提升防御能力。... 2025-12-16 13:15:0 | 阅读: 8 | 收藏 | Horizon3.ai - horizon3.ai horizon3 security nodezero natsec100 mission

The FreePBX Rabbit Hole: CVE-2025-66039 and others 嗯，用户让我总结一下这篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”这样的开头。首先，我需要仔细阅读文章，理解它的主要点。 文章主要讲的是FreePBX这个开源电话系统软件发现了几个严重的漏洞。包括认证绕过、SQL注入和文件上传导致远程代码执行。这些漏洞可以让攻击者轻松入侵系统，造成严重后果。作者还提到了修复版本和一些安全建议。 接下来，我需要把这些信息浓缩到100字以内。要抓住关键点：FreePBX的漏洞类型、影响、修复版本以及安全建议。 然后，我要确保语言简洁明了，不使用复杂的术语，让用户一目了然。可能的结构是先介绍漏洞类型和影响，然后提到修复版本和建议。 最后，检查一下字数是否符合要求，并确保没有遗漏重要信息。 </think> FreePBX存在多个严重漏洞，包括认证绕过、SQL注入和文件上传导致远程代码执行。这些漏洞可被攻击者利用实现未授权或授权访问并控制系统。修复版本已发布，建议用户升级并避免使用默认配置中的webserver认证类型以降低风险。... 2025-12-11 19:39:36 | 阅读: 8 | 收藏 | Horizon3.ai - horizon3.ai php freepbx bypass injection