- 博客(2832)
- 收藏
- 关注
RSS订阅转载 SmarterMail 严重漏洞可导致服务器遭完全接管
安全公告提到,漏洞源于SmarterMail处理文件上传的方式:"成功利用该漏洞可导致未经身份验证的攻击者将任意文件上传至邮件服务器的任意位置,可能导致远程代码执行。作为微软Exchange的替代方案,SmarterMail因其"原生MAPI支持"及跨Windows/Linux平台运行的特点,被众多寻求高性价比协作服务器的组织机构广泛采用。CSA强烈建议管理员立即暂停手头工作并修复系统:"受影响版本的用户和管理员应立即升级至SmarterMail 9413版本。本文由奇安信编译,不代表奇安信观点。
2025-12-30 18:10:26
20
转载 IBM API严重漏洞可导致登录遭绕过
如无法立即离线系统打补丁,IBM提供了临时缓解措施,提到管理员可"在其开发者门户上禁用自助注册功能(如已启用),减少暴露于该漏洞的风险"。紧急发布API Connect 平台告警称,内部测试发现一个可能导致企业应用遭完全暴露的严重漏洞CVE-2025-13915,CVSS评分9.8,远程攻击者无需密码即可直接绕过身份验证机制,被归类为"主要弱点导致的身份验证绕过"。该漏洞影响IBM API Connect套件的特定版本。安全公告提到,该漏洞"可能导致远程攻击者绕过身份验证机制,越权访问应用程序"。
2025-12-30 18:10:26
13
转载 CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEV
TXOne Research公司的安全研究员Ta-Lun Yen指出,由于该设备已达到生命周期,该漏洞和一个任意文件读取漏洞(CVE-2023-52164,CVSS评分:5.1)至今仍未修复。美国网络安全和基础设施安全局(CISA)将Digiever DS-2105 Pro网络视频录像机(NVR)中的漏洞CVE-2023-52163(CVSS评分8.8)纳入其已知可利用漏洞(KEV)目录,并指出该漏洞已遭活跃利用。代码卫士试用地址:https://sast.qianxin.com/#/login。
2025-12-29 18:46:06
2
转载 LangChain Core存在严重的序列化注入漏洞
Porat解释道:“一旦攻击者能使LangChain编排循环序列化并随后反序列化包含‘lc’键的内容,他们就能实例化不安全的任意对象,可能触发多种有利于攻击者的路径。LangChain发布的补丁通过allowlist参数 “allowed_objects” 为load() 和loads() 函数引入了新的限制性默认设置,允许用户指定可序列化/反序列化的类。值得注意的是,LangChain.js中也存在类似的序列化注入漏洞,同样源于未正确转义包含“lc”键的对象,它可导致机密信息提取和提示词注入。
2025-12-29 18:46:06
17
转载 TeamViewer DEX高危漏洞可导致 Nomad 服务遭劫持
"一旦系统被诱骗信任恶意文件,攻击者便可在 Nomad Branch 服务的权限上下文中实现任意代码执行后果,从而有效劫持用于内容分发的后台进程。此外,研究人员在 1E-Nomad-SetWorkRate等指令中发现了权限提升漏洞(CVE-2025-64994 和 CVE-2025-64995)。它们利用"不受控的搜索路径",可导致对特定目录拥有写入权限的本地攻击者劫持进程,并以系统权限执行代码。CVE-2025-12687 (CVSS 6.5):拒绝服务漏洞,通过特殊构造的命令可使应用程序崩溃。
2025-12-26 17:58:18
28
转载 硬编码后门:英伟达紧急修复多个高危漏洞,可用于完全控制AI系统
其余两个漏洞CVE-2025-33223和CVE-2025-33224源于权限管理不当,可导致攻击者以高于其应有权限的级别触发执行。与硬编码凭据漏洞类似,这两个漏洞可能导致系统被完全攻陷,潜在影响广泛,包括“代码执行、权限提升、拒绝服务、信息泄露和数据篡改”。鉴于这三个漏洞的严重性和广泛的潜在影响范围,英伟达敦促所有用户立即修复。这三个漏洞的编号是CVE-2025-33222、CVE-2025-33223和CVE-2025-33224,CVSS评分9.8分,会对机器人和AI开发环境造成严重损害。
2025-12-25 18:15:51
49
转载 MongoDB:立即修复这个严重的RCE漏洞
如果无法立即升级,请通过在启动 `mongod` 或 `mongos` 时使用明确排除zlib的 `networkMessageCompressors` 或 `net.compression.compressors` 选项,在MongoDB服务器上禁用zlib压缩。CISA曾在四年前将另一个MongoDB RCE漏洞(CVE-2019-10758)添加到其已知被利用漏洞目录中,将其标记为“正在遭活跃利用”,并根据具有约束力的操作指令 22-01 的要求,命令联邦机构保护其系统安全。
2025-12-25 18:15:51
141
转载 UEFI新漏洞可用于在多家厂商主板上执行预引导攻击
拳头游戏研究人员表示:"我们的VAN:Restriction系统是Vanguard向用户提示的方式,表明由于指定的安全功能被禁用,我们无法保证系统完整性。卡内基梅隆大学CERT协调中心(CERT/CC)的安全公告指出:"即使固件声明DMA保护已激活,但其在启动序列的早期交接阶段未能正确配置并启用IOMMU。多家主板厂商的UEFI固件实现中存在可绕过早期启动内存保护的直接内存访问(DMA)攻击漏洞,涉及华硕、技嘉、微星和华擎等品牌。由于攻击发生在操作系统启动之前,安全工具不会发出警告、权限提示或用户警报。
2025-12-24 18:33:18
32
转载 n8n严重漏洞可导致任意代码执行
npm软件包维护团队提到:"在特定条件下,经身份验证的用户在工作流配置期间提供的表达式,可能在未与底层运行时充分隔离的执行环境中被解析。攻击面管理平台Censys数据显示,截至2025年12月22日,全球存在103476个可能受影响的实例,主要分布在美国、德国、法国、巴西和新加坡。若无法及时打补丁,建议将工作流创建和编辑权限限制于可信用户,并在强化环境中部署n8n同时限制操作系统权限和网络访问,降低风险。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
2025-12-24 18:33:18
56
转载 Log4j 的安全盲点:TLS新漏洞可用于拦截敏感日志
该软件实质上忽略了检查"身份证"(证书与主机名匹配)的指令,仅凭受信任的颁发者签名就接受了连接。对于无法立即部署补丁的组织,管理员可将Socket Appender配置为使用 "私有或受限的信任根",或者仅限特定日志服务器的证书(而非默认的全局受信任CA列表)访问受信任证书,以此大幅降低攻击者出示"有效的"伪造证书的风险。该漏洞影响Log4j的 "Socket Appender" 组件,其核心问题在于即使在管理员明确启用TLS主机名验证的情况下,该组件也会绕过验证流程,使验证功能失效。
2025-12-23 18:45:25
51
转载 Red Hat服务器受陷,日产1.2万名客户数据遭泄露
该公司提到,“日产汽车收到为销售公司开发客户管理系统的 Red Hat公司的报告称,Red Hat公司的数据服务器遭越权访问,导致数据遭泄露。去年,日产北美公司发生数据泄露事件波及5.3万名员工,而日产大洋洲公司曾确认Akira勒索软件攻击导致约10万名客户的数据遭泄露。日产公司声明称,遭入侵的Red Hat环境中除已确认受影响的数据外未存储其它信息,并强调目前没有证据表明泄露信息已被滥用。日产汽车有限公司(“日产”)证实称,今年9月份Red Hat公司的数据泄露事件导致其数千名客户的信息遭泄露。
2025-12-23 18:45:25
31
转载 如何通过一次供应链攻击同时攻破 X、Vercel、Cursor、Discord等数百家企业
Hackermon和 Eva在Mintlify修复了通过/_mintlify/static/端点的针对性XSS漏洞后,通过审计修复后的路由代码发现了新漏洞,它实质上绕过了之前基于子域名校验的修复,使针对性XSS漏洞得以重现,攻击者能够再次通过目标企业的域名执行任意脚本。研究人员表示,在审计多家《财富》500强企业使用Mintlify这类第三方文档服务的安全状况时,其安全风险的高低并不仅仅取决于供应商的代码漏洞本身,而且更取决于企业自身对第三方服务的信任与隔离策略。为此,我们推出“供应链安全”栏目。
2025-12-22 18:07:03
32
转载 谷歌紧急修复 Chrome 中的两个高危内存损坏漏洞
谷歌发布稳定版桌面频道的重要安全更新,修复了Chrome中的两个高危内存损坏漏洞CVE-2025-14765和CVE-2025-14766。CVE-2025-14766是一个位于V8引擎中的内存损坏漏洞,是“越界读写”漏洞,可导致攻击者读取或修改预期边界外的内存。虽然对于很多用户而言 Chrome 更新是自动完成的,但鉴于这些内存安全漏洞的严重性,有必要进行手动验证。谷歌紧急修复已遭利用的 Chrome 新 0day,无CVE编号。谷歌紧急修复已遭利用的Chrome V8 0day 漏洞。
2025-12-18 18:09:23
56
转载 速修复这个已遭利用的 SonicWall SMA1000 0day漏洞
就在该事件发生的一个月前,该公司称 Akira 勒索团伙利用一个潜在的 0day 利用攻击第七代防火墙,并认为该事件与2024年11月修复的一个严重漏洞CVE-2024-40766有关。SonicWall 公司提到,该漏洞由谷歌威胁情报团队的研究员 Clément Lecigne 和 Zander Work报送,不影响在 SonicWall 防火墙上运行的 SSL-VPN。该公司在安全公告中提到,“SonicWall PSIRT 强烈建议 SMA1000 产品用户升级至最新的热修复版本,修复该漏洞。
2025-12-18 18:09:23
37
转载 首届 Zeroday Cloud 黑客大赛落幕,11个0day 获32万美元赏金
研究人员未能从大赛的其它有效类别和产品中发现漏洞,包括 AI (Ollama、vLLM、英伟达Container Toolkit)、Kubernetes、Docker、web 服务器(ngnix、Apache Tomcat、Envoy、Caddy)、Apache Airflow、Jenkins 和 GitLab CE。第二天,研究人员从云系统用于存储关键信息(如凭据、机密信息、用户敏感信息)的使用最广泛数据库 Redis、PostgreSQL 和 MariaDB中发现了漏洞,获得12万美元赏金。
2025-12-18 18:09:23
40
转载 ScreenConnect 严重漏洞可配置数据遭访问并安装不受信任的扩展
虽然该漏洞的严重性很高,但并非简单的向攻击者“敞开大门”的漏洞。利用该漏洞需要满足特定条件,“这些漏洞的利用需要授权或管理员级别的访问权限”。公司发布关于远程支持软件 ScreenConnect 的重要安全更新,修复了可导致敏感配置数据遭暴露的一个严重漏洞CVE-2025-14265(CVSS 9.1),对未修复的本地服务器带来严重风险。云用户:无需担心,:“无需采取任何操作”,因为托管在 screenconnect.com 或 hostedrmm.com 上的服务器已修复。觉得不错,就点个 “
2025-12-17 18:25:40
32
转载 JumpCloud 远程助手漏洞可导致系统遭接管
每次移除代理时,JumpCloud远程助手和所有其它组件都会被删除。简言之,具有特权的JumpCloud进程会对具有可预测文件名的文件,从一个不受信任的路径,执行删除、写入和执行操作。美国国家标准与技术研究院 (NIST) 发布公告指出:“远程助手卸载程序对用户可写的 %TEMP% 子目录中的可预测文件执行特权的创建、写入、执行和删除操作,但未验证该目录是否受信任,也未在目录已存在时重置其访问控制列表。该漏洞的成因在于,应用程序在执行卸载和更新操作时,会调用一个卸载程序在受用户控制的目录执行特权操作。
2025-12-17 18:25:40
31
转载 React RSC 新漏洞可导致 DoS 和源代码泄露
CVE-2025-55184(CVSS评分:7.5):预认证拒绝服务漏洞,因对HTTP请求至服务器函数端点的payload进行不安全反序列化造成,可能触发无限循环导致服务器进程挂起,并可能阻止后续HTTP请求的处理。CVE-2025-55183(CVSS评分:5.3):信息泄露漏洞,向存在漏洞的服务器函数发送特殊构造的HTTP请求时,可能返回任意服务器函数的源代码。CVE-2025-67779(CVSS评分:7.5):由CVE-2025-55184的修复方案不完整造成,与该漏洞的影响一致。
2025-12-16 18:45:30
85
转载 FreePBX 修复多个严重漏洞
为获得最佳防护效果,建议避免使用该认证类型。CVE-2025-61678(CVSS评分8.6):认证的任意文件上传漏洞,可导致攻击者利用固件上传端点在获得有效的PHPSESSID后上传 PHP web shell,并运行任意命令,泄露敏感文件的内容(例如 “/etc/passwd”)。CVE-2025-66039(CVSS评分:9.3):认证绕过漏洞,当“授权类型”(即 AUTHTYPE)设置为 “webserver”时会触发,可导致攻击者通过一个伪造的Authorization 标头登录到管理员控制台。
2025-12-16 18:45:30
69
转载 苹果紧急修复两个已遭利用的 0day 漏洞
从 2025年年初开始,苹果公司已修复7个 0day 漏洞,其它5个包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200和CVE-2025-31201。CVE-2025-14174是一个 WebKit 内存损坏漏洞,可导致内存损坏,由苹果和谷歌的威胁分析团队发现。不过,目前谷歌已更新该安全公告,提到该漏洞编号是CVE-2025-14174即位于 ANGLE 中的越界内存访问漏洞,与苹果修复的CVE编号一致,表明两家公司已经协同披露。
2025-12-15 18:37:15
79
转载 MITRE 发布 2025 年 Top 25 软件弱点榜单
虽然跨站脚本 (CWE-79) 仍然雄踞榜首,但相比去年,排名次序有了很多变化,其中授权缺失 (CWE-862)、空指针解引用 (CWE-476)和关键功能认证缺失 (CWE-306) 是榜单中上升最快的弱点类型。本榜单中最严重和最普遍的弱点是典型的缓冲溢出 (CWE-120)、基于栈的缓冲溢出 (CWE-121)、基于堆的缓冲溢出 (CWE-122)、访问控制不当 (CWE-284)、通过用户控制的密钥绕过授权 (CWE-639)和无限制或门槛的资源配置 (CWE-770)。觉得不错,就点个 “
2025-12-15 18:37:15
99
转载 微软将影响在线服务的第三方漏洞纳入奖励计划
Gallagher 解释称,攻击者在利用漏洞时并不区分微软代码和第三方组件,因此微软漏洞奖励计划将默认涵盖所有微软在线服务,新服务发布之时即纳入奖励范围。目前漏洞奖励计划涵盖影响微软在线服务的位于第三方(包括商用或开源组件)依赖中的漏洞。微软本次涵盖第三方代码漏洞的措施是其“安全未来倡议”的一部分,而该倡议旨在将安全置于所有安全运营之首。微软安全响应中心的工程副总裁 Tom Gallagher 在欧洲黑帽大会上宣布称,任何影响其在线服务的严重漏洞,无论代码是由微软还是第三方编写的,均被纳入漏洞奖励计划。
2025-12-12 18:38:18
32
转载 谷歌紧急修复已遭利用的 Chrome 新 0day,无CVE编号
自今年开始,谷歌已修复7个已遭利用的 0day 漏洞,包括 CVE-2025-13223、CVE-2025-10585、CVE-2025-6558、CVE-2025-6554、CVE-2025-4664、CVE-2025-5419和CVE-2025-2783。从 Chromium 的漏洞报告中可了解到,该0day漏洞是位于 ANGLE Metal 渲染器中因缓冲区大小设置不当引发的缓冲区溢出漏洞,可导致内存损坏、崩溃、敏感信息泄露和任意代码执行等后果。谷歌紧急修复已遭利用的 Chrome 0day漏洞。
2025-12-12 18:38:18
39
转载 奇安信出席第十五届VARA大会 揽获CNNVD六项重磅荣誉
未来,奇安信将持续深耕漏洞治理与智能安全领域,深化与CNNVD等国家级平台的协同合作,不断迭代技术体系、完善安全生态,为数字经济高质量发展筑牢网络安全屏障,以实际行动践行“护航数字中国”的使命担当。届网络安全漏洞分析与风险评估大会(VARA大会)在天津举行。他强调,在当前网络威胁日趋复杂的背景下,企业需引入专业厂商的威胁情报,结合业务优先级处置漏洞,提升安全对抗水平。,更通过主题分享与成果展示,全方位展现了在漏洞治理与智能安全领域的领先实力。奇安信集团凭借在漏洞挖掘、情报共享、协同治理等领域的卓越表现,
2025-12-12 18:38:18
22
转载 Ivanti提醒注意 EPM 中严重的代码执行漏洞
虽然该公司尚未发现造粒用吉祥,但 EPM 漏洞经常是遭攻击的目标。Rapid 7 公司的首席安全研究员 Ryan Emmons 在今年8月份报送了该漏洞,他解释称,“对 EPM 主 web 服务拥有未认证访问权限的攻击者,可将伪造的托管终端接入 EPM 服务器,在管理员 web 仪表板中注入恶意 JavaScript。此外,Ivanti 还发布更新,修复了三个高危漏洞,其中两个CVE-2025-13659和CVE-2025-13662可导致未认证攻击者在未修复系统上执行任意代码。觉得不错,就点个 “
2025-12-11 18:24:21
55
转载 谷歌Gemini Enterprise存在漏洞,可导致企业数据遭暴露
此后,当任何员工在Gemini Enterprise中执行常规搜索(例如“显示我们的预算”)时,AI 系统将自动检索被污染的文档并执行其中指令。GeminiJack攻击利用的是Gemini Enterprise能够访问企业使用的各类谷歌服务这一特性,这些服务包括Gmail、Docs、Calendar及其他Workspace组件。例如,攻击者可指令Gemini收集所有包含"机密"、"法律"、"薪资"或"API密钥"等关键词的文档。最近,谷歌修复了 Gemini Enterprise中的一个漏洞。
2025-12-11 18:24:21
69
转载 Fortinet 提醒注意严重的 FortiCloud SSO 登录认证绕过漏洞
Fortinet 公司在安全公告中提到,“请注意,FortiCloud SSO 登录特性在默认出厂设置时并未启用。然而,当管理员将设备从设备的GUI注册到 FortiCare 时,除非管理员禁用了注册页面中的‘允许管理员通过 FortiCloud SSO 登录’切换开关,则FortiCloud SSO 登录在注册时即被启用。该公司还修复了一个未验证的密码修改漏洞 (CVE-2025-59808),它可使“获得受害者用户账户访问权限的攻击者在无需收到账户密码提示的情况下,重置密码凭据”。觉得不错,就点个 “
2025-12-10 18:34:49
221
转载 保时捷因预装卫星安全系统突发故障变“瘫痪”
俄罗斯最大的保时捷服务提供商罗尔夫 (Rolf) 公司认为该事件在11月28日突然发生,拦截了卫星连接,导致所有内燃机车型的发动机 (ICE) 均被锁止。尽管保时捷尚未发布官方声明,但此次故障从911系列到卡宴等车型无一幸免,其影响具有高度一致性,表明存在一个中心化的触发因素,可能与固件故障、供应链环节受损,或是故意的远程锁止行为有关。行业分析师将此事件与过去的汽车网络安全事件相提并论,例如2015年吉普自由光被黑事件,或是近期特斯拉车队出现的空中软件更新漏洞事件。本文由奇安信编译,不代表奇安信观点。
2025-12-09 16:15:27
49
转载 React2Shell:30家机构已受陷77k IP地址易受影响,被列入 CISA KEV
建议使用 React 服务器组件或构建于这些组件基础上的框架的组织机构,立即应用安全更新、重构和重新部署应用并查看日志中是否存在 PowerShell 的迹象或 shell 命令执行。12月3日,React团队公开披露了此漏洞,指出React服务器组件中对客户端可控数据进行不安全的反序列化,使得攻击者能够远程、无需认证地执行任意命令。鉴于该漏洞的严重性,全球各地的企业都匆忙安装补丁并部署缓解措施。之久不久,随着攻击者和安全研究人员开始通过自动化工具利用该 exp,对该漏洞的扫描快速增长。
2025-12-09 16:15:27
117
转载 众多AI 编程工具存在30+漏洞,可导致数据被盗和RCE
利用提示注入,通过合法(`"read_file"`)或存在漏洞的工具(`"search_files"`或`"search_project"`)读取敏感文件,然后通过合法工具(`"write_file"`或`"edit_file`)写入一个JSON文件。如攻击者拥有影响提示的能力,则可导致恶意的工作区设置被写入文件。"这是为什么需要'面向AI的安全'原则的又一个例证,"Marzouk提到,"将AI智能体连接到现有应用程序(在我的案例中是IDE,在他们的案例中是GitHub Actions)会产生新兴风险。
2025-12-08 18:22:39
80
转载 速修复!Apache Tika 中存在严重的满分XXE 漏洞
该团队提到,“首先,虽然该漏洞的入口点是CVE-2025-54988中报送的 tika-parser-pdf-module,但该漏洞及其修复方案位于 tika-core 中。安全公告提到,该漏洞位于所有平台的 Apache Tika tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模块中,可导致攻击者通过PDF 中构造的XFA 文件执行 XXE 注入。本文由奇安信编译,不代表奇安信观点。
2025-12-08 18:22:39
150
转载 GitHub Actions 出现提示注入漏洞,影响财富500强公司
该AI代理解读了这些指令并执行了编辑该 issue 的命令,将敏感的API密钥和令牌直接嵌入 issue 主题,从而将其暴露。收到漏洞报告后,谷歌在4天内修复了该漏洞。研究人员发现很多受AI驱动的 GitHub Actions 如 Claude Code Actions 和 OpenAI Codex Actions等均存在类似的架构模式,尤其是安全设置配置不当时可导致非权限用户触发该工作流。该漏洞的模式包括将用户输入注入 AI 提示,导致该AI代理执行权限命令,从而可能导致机密信息遭泄露或工作流遭操纵。
2025-12-05 18:19:13
47
转载 Cacti 高危漏洞可导致RCE
安全公告提到,“经过身份验证的 Cacti 用户可以提交包含控制字符(包括换行符)的恶意 SNMP 社区字符串,这些字符串会被接受、按原样存储到数据库中,并随后嵌入到后端 SNMP 操作中。安全公告提到,“在下游 SNMP 工具或封装器将换行符分隔的令牌解释为命令边界的环境中,这可能导致以 Cacti 进程权限执行非预期的命令。该漏洞的核心在于 Cacti 处理SNMP 社区字符串(用于查询网络设备的凭据)的方式。该安全公告还提供了一个清晰的例子,说明“恶意多行社区字符串”是如何被存储的。
2025-12-05 18:19:13
127
转载 速修复!React满分漏洞同时影响 Next.js,可导致未认证RCE
Next.js 为该漏洞分配的编号是CVE-2025-66478(CVSS 10分),影响版本为:>=14.3.0-canary.77、>=15和 >=16。React 团队在今天发布的安全警告中提到,“利用 React 解码发送到 React Server Function 端点的 payload的方式,可导致未认证的远程代码执行后果。Wiz 公司表示,39%的云环境实例受CVE-2025-55182和/或CVE-2025-66478影响。鉴于该漏洞的严重程度,建议用户尽快应用相关修复方案。
2025-12-04 11:56:13
266
转载 微软悄悄修复多年前就已遭利用的 LNK 漏洞
问题在于,当显示一份 LNK 文件的属性时,Windows 仅会显示“Target”字段中的前260个字符,尽管该文件结构理论上最多允许展示32k 个字符。在悄悄发布该补丁之前,微软发布了相关指南并强调称 Windows 的现有防护措施、从互联网下载文件时提供的提醒信息以及以打开 LNK 文件所需的用户交互,均缓解了该威胁。但 Acros Security 公司提到,微软在11月份的安全更新中已经修复了遭利用的 LNK 漏洞,理由是微软当前会在快捷文件的属性选项卡“Target”字段中显示整个字符串。
2025-12-04 11:56:13
92
转载 OpenAI 编程代理中高危漏洞可用于攻击开发人员
研究人员提到,"一个最初无害的配置,可以在批准或合并后被替换为恶意配置,从而创建一个隐蔽的、可重复的供应链后门,在正常的开发者工作流程中触发。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
2025-12-03 17:59:58
32
转载 谷歌修复107个安卓漏洞,其中2个已遭利用
已遭利用的两个漏洞是CVE-2025-48633(位于Framework 中的信息泄露漏洞)和CVE-2025-48572(位于 Framework 中的提权漏洞)。谷歌本次发布的安全更新包括两个补丁级别,2025-12-01和2025-12-05,便于制造商更快速地修复所有安卓设备中类似的部分漏洞。另外,谷歌还修复了位于 Framework 中的一个严重漏洞CVE-2025-48631,无需其它执行权限即可导致远程拒绝服务攻击。谷歌修复已遭利用的两个安卓 0day 漏洞。谷歌修复已遭利用的安卓0day。
2025-12-03 17:59:58
66
转载 CISA 将 OpenPLC ScadaBR 纳入必修清单
这一活动的模式是:如成功利用某个漏洞,则向攻击者的一个OAST子域名("*.i-sh.detectors-testing[.]com")发起HTTP请求。贝恩斯指出:"长期存在的OAST基础设施和持续的区域针对性表明,实施者正在进行持续的扫描活动,而非短暂的机会性探测。美国网络安全和基础设施局 (CISA) 将影响 OpenPLC ScadaBR 的一个跨站脚本 (XSS) 漏洞CVE-2021-26869纳入“已知遭利用漏洞” (KEV) 分类表中,指出该漏洞已遭活跃利用。
2025-12-02 17:56:36
29
转载 黑客声称窃取美国奔驰公司的法务和客户数据
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。虽然奔驰美国公司过去曾遭遇数据泄露事件(如2021年影响近千名客户的云存储意外泄露事件),但本次事件针对的是法律供应链,而非公司的直接企业基础设施。数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
2025-12-02 17:56:36
31
转载 GitLab 公开仓库暴露超过1.7万份机密信息
"每次Lambda调用都会执行简单的TruffleHog扫描命令,并发数设置为1000,"他解释道,"这样的配置使得我能在24小时多一点的时间内完成对560万个代码库的扫描。Marshall共发现17430个经验证有效的实时敏感信息,数量达到Bitbucket平台的近三倍,且代码库敏感信息密度(每个代码库包含的敏感信息数量)也高出35%。安全工程师Luke Marshall扫描完GitLab Cloud上所有560万个公共代码库后,发现超过2800个独立域名中存在超过1.7万个遭暴露的敏感信息。
2025-12-01 18:11:58
56
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人