- 博客(39)
- 收藏
- 关注
RSS订阅原创 【2025-11-23】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月23日共发布14条漏洞预警,包括11条CVE漏洞和3条供应链投毒预警。CVE漏洞涉及Ashraf Kabir旅行社系统(5.3-5.1中危)、D-Link路由器(7.4高危)和Campcodes管理系统(6.9中危),主要风险为SQL注入和缓冲区溢出。供应链投毒预警包括PyPI的nspacercesolve组件窃取敏感信息、NPM的ddos-hunter组件勒索行为以及session-keeper等组件内嵌后门,影响多个版本。建议用户及时排查相关组件,高危漏洞需优先修复。
2025-11-24 11:40:29
298
原创 【2025-11-22】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月22日共发布35条漏洞预警,其中CVE漏洞32条,供应链投毒预警3条。高危漏洞包括WordPress S2B AI Assistant插件的任意文件上传漏洞(CVE-2025-12973)、RNP加密漏洞(CVE-2025-13470)等。中危漏洞涉及Wazuh配置泄露(CVE-2025-64483)、IBM Concert点击劫持(CVE-2025-36149)等。低危漏洞主要为Wazuh本地访问控制问题(CVE-2025-54866)。建议重点关注存在POC的高危漏洞并及时修复。
2025-11-23 14:47:45
500
原创 【2025-11-21】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月21日新增116条漏洞预警,包含54条CVE漏洞、53条商业软件漏洞和9条供应链投毒预警。其中多个高危漏洞值得关注:CVE-2025-64762(AuthKit库缓存问题,8分)、CVE-2025-64755(Claude Code文件写入漏洞,8.7分)以及CVE-2025-64310(EPSON投影仪暴力破解漏洞,9.3分)。中危漏洞涉及GitLab、Wireshark和多个WordPress插件。建议用户及时检查受影响系统,优先修复高危漏洞,特别是涉及身份验证和文件操作的漏洞。
2025-11-22 23:30:47
503
原创 【2025-11-20】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月20日新增64条漏洞预警,包含12条CVE漏洞、43条商业软件漏洞和9条供应链投毒预警。其中高危漏洞包括TP-Link路由器拒绝服务漏洞(CVE-2025-11676)、Looker账户接管漏洞(CVE-2025-12414)等。商业软件中i-Educar教育系统存在SQL注入高危漏洞。建议重点关注CVE-2025-12414严重漏洞,该漏洞影响Looker身份验证系统,评分达9.2分。此外需注意WordPress插件XSS漏洞(CVE-2025-5092)和LimeSurvey的DoS漏洞
2025-11-21 14:14:25
653
原创 【2025-11-19】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月19日新增91条漏洞预警,其中商业软件漏洞63条,供应链投毒28条。重点漏洞包括:Eclipse Jersey竞争条件漏洞(9.4分高危),可能导致SSL配置失效;Fortinet系列产品多漏洞,其中FortiVoice存在SQL注入(8.8分高危),FortiWeb存在命令注入(7.2分高危);Checkmk监控平台存在权限验证不足问题(5.3分中危)。建议优先修复Eclipse Jersey和Fortinet产品的高危漏洞,其他中低危漏洞可根据实际情况选择修复。
2025-11-21 14:13:51
526
原创 【2025-11-18】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月18日新增121条漏洞预警,其中商业软件漏洞93条、供应链投毒28条。重点漏洞包括:Tenda CH22路由器高危缓冲区溢出漏洞(7.4分)、phpMyFAQ高危SQL注入漏洞(7.2分)、Nettec AS Digi On-Prem Manager高危API漏洞(8.8分)。其他中危漏洞涉及OpenRapid CMS、学生管理系统等多个系统的XSS和SQL注入问题。建议优先修复高危漏洞,部分中低危漏洞可酌情处理。
2025-11-21 14:13:17
709
原创 【2025-11-17】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月17日网络安全预警报告显示,当日新增53条漏洞预警,包括43条CVE漏洞、1条商业软件漏洞及9条供应链投毒预警。其中CVE漏洞涉及多个系统,包含严重高危漏洞3条(CVE-2025-10460、CVE-2025-13284等),均建议立即修复;中危漏洞10条(如CVE-2025-13252等),涉及SQL注入、路径遍历等问题,建议选择性修复。受影响系统包括图书馆管理系统、路由器固件等,部分漏洞已公开但暂无POC。用户需根据漏洞评级及时采取防护措施。
2025-11-18 09:48:34
425
原创 【2025-11-16】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月16日共发布31条漏洞预警,包括29条CVE漏洞及2条供应链投毒预警。其中高危漏洞1条(CVE-2025-12482,WordPress Amelia插件SQL注入漏洞),其余均为中危漏洞。主要涉及多个管理系统(如库存管理、OA系统等)的SQL注入、XSS、XXE等漏洞。多数漏洞暂无POC,建议根据业务情况选择性修复。高危漏洞建议优先处理。
2025-11-17 23:15:32
606
原创 【2025-11-15】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月15日漏洞预警报告:共发布79条安全警告,包括75个CVE漏洞、3个商业软件漏洞及1条供应链投毒预警。重点漏洞包括:Arista EOS串行控制台漏洞(CVE-2025-8870)可能导致设备重启;PHPGurukul学生管理系统多个SQL注入漏洞(CVE-2024-44636等);Palo Alto Prisma浏览器本地权限绕过漏洞(CVE-2025-4616);ZZCMS、健身房管理系统SQL注入漏洞(CVE-2025-13171/72)。多数漏洞评级为中危,暂无公开利用代码,建议关注
2025-11-17 23:14:52
588
原创 【2025-11-14】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月14日共发布81条漏洞预警,包含18条CVE漏洞、54条商业软件漏洞和9条供应链投毒预警。其中高危漏洞值得关注: Apollo Federation存在访问控制绕过漏洞(CVE-2025-64530,高危7.5),建议升级至修复版本; NCP-HG100设备存在命令注入漏洞(CVE-2025-64444,高危8.6),可导致root权限被获取; WordPress插件H5PxAPIkatchu存在存储型XSS漏洞(CVE-2025-12904,高危7.2),已有POC出现。同时,Matter
2025-11-17 23:13:36
684
原创 【2025-11-13】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月13日共发布101条安全预警,包含94条CVE漏洞、2条商业软件漏洞及5条供应链投毒预警。重点关注:1)N-central存在高危XXE注入(CVE-2025-11700)和严重反序列化漏洞(CVE-2025-11367);2)Golemiq 0 Day Analytics的SQL注入漏洞(CVE-2025-64293);3)kdcproxy的SSRF漏洞(CVE-2025-59088)影响多款Red Hat组件。建议受影响用户及时升级至安全版本。
2025-11-14 15:02:15
630
原创 【2025-11-12】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月12日共发布92条漏洞预警,包括81个CVE漏洞、3个商业软件漏洞和8个供应链投毒预警。其中高危漏洞涉及Cortex M系统调用竞态条件(CVE-2025-9408)、Ivanti Endpoint Manager文件写入漏洞(CVE-2025-10918)等;严重漏洞包括Avast/AVG杀毒软件沙盒内核双重获取漏洞(CVE-2025-13032)。另有多个中低危漏洞涉及NETGEAR、Intel等厂商产品,建议用户根据评级及时修复。(149字)
2025-11-13 01:18:57
838
原创 【2025-11-11】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月11日新增72条漏洞预警,其中CVE漏洞53条、商业软件漏洞11条、供应链投毒8条。重点关注漏洞包括:SAP CommonCryptoLib高危漏洞(CVE-2025-42940,7.5分)可能导致内存损坏;WordPress插件严重漏洞(CVE-2025-12813,9.8分)允许远程代码执行;SAP Business Connector存在路径遍历(CVE-2025-42894)和开放重定向(CVE-2025-42893)等中危漏洞。建议优先修复高危漏洞,其他中危漏洞可根据业务需要选择性
2025-11-13 01:18:17
542
原创 软件供应链npm/pypi投毒预警情报【2025-11-09】
近期发现多起NPM和PyPI供应链投毒事件,多个恶意组件被发现窃取用户敏感信息或植入后门。受影响NPM组件包括@elara-services/tickets、acz.view.src、@book000/node-utils等,会窃取主机名、用户名、IP地址等信息并发送至攻击者服务器。PyPI组件mcp-weather-full和wei516-enconly存在后门风险,利用AI代理执行恶意命令。db-aggregator-api组件则直接下载执行木马程序。建议开发者立即检查项目依赖,移除受影响组件,并升级至
2025-11-11 00:38:19
745
原创 【2025-11-07】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月7日漏洞预警:共35条漏洞信息,含27个CVE漏洞和8条供应链投毒预警。重点关注4个高危漏洞:CVE-2025-58423(8.7分)、CVE-2025-59171(8.7分)、CVE-2025-62630(8.7分)均存在目录遍历导致的远程代码执行风险;CVE-2025-12636(7.1分)涉及Ubia摄像头API凭据泄露问题。此外,runc容器工具曝出两个高危漏洞(CVE-2025-52881和CVE-2025-52565),可能造成容器突破。建议优先修复8分以上高危漏洞,中低危漏洞可
2025-11-09 21:32:34
687
原创 【2025-11-06】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月6日共披露38条安全漏洞,包括26个CVE漏洞(其中2个严重漏洞)、1个商业软件漏洞及11条供应链投毒预警。高危漏洞涉及DataEase的SSRF(8.9分)、Youki容器逃逸(7.3分)、HCL DevOps Loop认证绕过(8.1分)等。严重漏洞包括PocketVJ CP的远程代码执行(9.8分)和Dynatrace命令注入(9.8分)。中危漏洞涉及WordPress插件SQL注入、CSRF等问题。建议重点关注存在POC的严重漏洞,并优先修复高危漏洞。
2025-11-07 11:13:37
823
原创 【2025-11-05】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月5日共发布35条漏洞预警,包含26条CVE漏洞、1条商业软件漏洞和8条供应链投毒预警。其中,Radiometrics VizAir系统存在多个严重漏洞(CVSS评分10分),可能导致未经授权修改关键气象数据;Cursor代码编辑器存在高危漏洞(最高8.8分),涉及远程代码执行风险;三星Exynos系列芯片存在中高危漏洞。建议重点关注CVE-2025-61956等严重漏洞,及时采取修复措施。
2025-11-07 11:12:51
753
原创 【2025-11-04】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月4日新增62条漏洞预警,其中CVE漏洞51条、商业软件漏洞2条、供应链投毒预警9条。重点关注漏洞包括:Geutebruck相机SQL注入漏洞(CVE-2025-12463,严重9.8分);NextChat目录遍历漏洞(CVE-2025-50735,高危7.5分);IBM InfoSphere XXE漏洞(CVE-2025-12531,高危7.1分)。另有多个中危XSS漏洞及权限问题。建议优先修复严重和高危漏洞,关注存在POC的中危漏洞。
2025-11-05 00:20:17
608
原创 【2025-11-03】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月3日新增29条安全预警,包括21个CVE漏洞、1个商业软件漏洞和7个供应链投毒风险。其中,多个在线管理系统(如贷款系统、健身房系统等)存在SQL注入漏洞(CVE-2025-12604至12614),评级多为中危。高危漏洞涉及Tenda和Eaton设备,包括缓冲区溢出(CVE-2025-12611、12622)和文件上传漏洞(CVE-2025-48396),建议优先修复。另有低危授权绕过漏洞(CVE-2025-12623)和供应链风险需关注。多数漏洞暂无公开POC,但部分已被披露可能被利用。
2025-11-04 14:09:02
517
原创 【2025-11-02】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月2日共发布14条漏洞预警,包含11个CVE漏洞和3个供应链投毒预警。CVE漏洞中,多个BLU-IC2/IC4设备漏洞被评为严重(最高10分),涉及共享密钥、拒绝服务等问题;中高危漏洞主要影响Tenda路由器、酒店预订系统等,存在SQL注入和缓冲区溢出风险。3个供应链投毒预警涉及多个NPM组件(如@appropriate-team/blockmind-sdk等),会窃取主机敏感信息并发送至攻击者服务器。建议重点关注严重漏洞修复和恶意组件防范。
2025-11-03 10:18:44
828
原创 【2025-11-01】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年11月1日共发布31条漏洞预警,包括27条CVE漏洞、1条商业软件漏洞和3条供应链投毒预警。其中多个严重漏洞值得关注:CVE-2025-12553因禁用邮件服务器证书验证被评为10分(严重),CVE-2025-12509和CVE-2025-12508均存在高危权限问题(8.4分),CVE-2025-64348因配置文件修改漏洞被评为9.3分(严重)。其他中危漏洞涉及XSS、DoS和缓冲区溢出等风险。建议优先修复严重和高危漏洞,中低危漏洞可选择性处理。
2025-11-02 19:33:01
822
原创 【2025-10-31】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年10月31日网络安全预警摘要:当日共报告58条漏洞信息,含52条CVE漏洞、1条商业软件漏洞和5条供应链投毒预警。重点关注漏洞包括:JumpServer严重令牌泄露漏洞(CVE-2025-62712,9.6分)、BLU设备多个严重HTTP错误漏洞(CVE-2025-12516/12515,均10分)、戴尔SCG的XSS和路径遍历漏洞、Scrapy的Brotli解压DoS漏洞(CVE-2025-6176,7.5分)以及Veeam备份系统RCE漏洞(CVE-2025-48983,9.9分)。建议优先修
2025-11-01 20:02:37
739
原创 2025-10-30日供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年10月30日安全漏洞预警摘要:当日新增68条漏洞预警,包括61条CVE漏洞、1条商业软件漏洞和6条供应链投毒预警。其中,Wazuh平台多个版本存在中危漏洞(CVE-2025-62785至62792),涉及远程代码执行、敏感信息泄露等问题,建议升级至4.10.2/4.11.0/4.12.0修复。CKAN数据管理系统(CVE-2025-54384)存在XSS漏洞,Search Guard(CVE-2025-12147/12148)存在数据泄露风险。高危漏洞CVE-2024-14012影响Install
2025-10-31 00:48:56
972
原创 2025-10-29日供应链安全日报:最新漏洞预警与投毒预警情报汇总
2025年10月29日共发布70条安全预警,包含59个CVE漏洞、1个商业软件漏洞和10条投毒情报。重点关注3个严重漏洞:CVE-2025-36386(IBM Maximo认证绕过)、CVE-2025-12422(BLUIIC任意文件写入)和CVE-2025-62368(Taiga反序列化RCE)。另有多个高危漏洞涉及Wazuh文件删除、Astro SSRF和Starlette拒绝服务攻击。建议优先修复3个10分漏洞及7分以上高危漏洞,中低危漏洞可根据实际环境评估修复优先级。
2025-10-30 00:03:51
1121
原创 【漏洞/投毒情报】2025-10-27日
2025年10月27日新增30条安全情报,包含23条开源软件漏洞和7条投毒情报。其中多个高危漏洞值得关注:BLUI C2/C4存在初始密码未更改(10分)和邮件配置命令执行漏洞(10分);GitLab多个版本存在GraphQL拒绝服务(7.5分)和恶意负载攻击(7.5分)问题;dnsmasq 2.73rc6存在堆缓冲区溢出(8.5分)。此外,Rox软件的PHP对象注入漏洞(9.4分)可能导致远程代码执行。建议优先修复评分≥7.5的高危漏洞,并关注投毒攻击风险。
2025-10-28 00:16:04
750
原创 【漏洞/投毒情报】2025-10-25日
2025年10月25日新增48条安全情报,其中44条涉及开源软件漏洞,4条为投毒情报。高危漏洞占比显著,包括Plane项目管理软件(CVE-2025-62716,8.1分)的XSS漏洞、PerfreeBlog(CVE-2025-60735等)多个文件操作漏洞,以及Karmada Dashboard(CVE-2025-62714,8.7分)的认证绕过问题。最严重的RCE漏洞出现在Antabot White-Jotter(CVE-2025-60803,9.8分)。硬件方面,Deck Mate设备存在固件验证缺陷
2025-10-27 10:33:27
770
原创 【漏洞/投毒情报】2025-10-26日
2025年10月26日安全情报摘要:共披露13条安全情报,其中开源软件漏洞7条,投毒攻击6条。开源方面披露多个影响BLU-IC2/IC4至1.19.5版本的严重漏洞(CVE-2025-12216至12221),以及langchain的SQL注入高危漏洞。投毒攻击涉及NPM和PyPI组件,包括realtime-twilio、yulk、bad-santa-claude等恶意包,会窃取主机信息、钱包助记词或远程执行代码。建议重点关注严重漏洞修复和恶意组件排查。
2025-10-27 10:28:55
920
原创 【漏洞/投毒情报】2025-10-24日
2025年10月24日安全情报摘要:共披露36条漏洞信息,其中开源软件漏洞28条,投毒情报8条。重点漏洞包括:Azure Compute Gallery的严重SSRF漏洞(CVE-2025-59503,9.9分);Productivity Suite的ZipSlip漏洞(CVE-2025-62498,8.6分)可导致代码执行;TLS4B ATG系统的2038年时间处理漏洞(CVE-2025-55067,7.1分)将引发系统功能失效;Vault的JSON处理拒绝服务漏洞(CVE-2025-12044,7.5分
2025-10-25 23:27:44
936
原创 【漏洞/投毒情报】2025-10-22日
2025年10月22日软件安全情报摘要 今日共收录86条安全情报,其中开源软件漏洞68条,商业软件漏洞5条,供应链投毒情报13条。重点漏洞包括: 高危漏洞: Confluence数据中心存在DoS漏洞(CVE-2025-22166,CVSS 8.3) Raisecom设备SSH认证绕过漏洞(CVE-2025-11534,CVSS 9.3) Moodle GeniAI插件XSS漏洞(CVE-2025-60507,CVSS 8.9) 中危漏洞: Liferay Portal集群消息验证不当(CVE-2025-6
2025-10-23 01:28:38
746
原创 【漏洞/投毒情报】2025-10-21日
该漏洞是由于特殊元素未得到妥善处理导致的。维基媒体基金会(Wikimedia Foundation)的Mediawiki-Wikistories存在网页生成过程中输入未适当中和(Improper Neutralization of Input)的跨站脚本(XSS)漏洞,允许存储式跨站脚本攻击(Stored XSS)。维基媒体基金会(Wikimedia Foundation)的Mediawiki中的PageTriage扩展存在网页生成过程中输入未适当中和(XSS或跨站脚本攻击)漏洞,允许存储跨站脚本攻击。
2025-10-22 01:54:01
917
原创 【漏洞/投毒情报】2025-10-20日
近期发现多款商业软件和开源组件存在安全漏洞及恶意投毒行为。商业软件方面,金和OA存在XXE漏洞和SQL注入漏洞,用友NC存在反序列化漏洞导致远程代码执行。投毒情报方面,多个NPM组件(如session-exp、vite-compiler-tools等)和PyPI仓库组件(如yulk、hamurico等)被发现内嵌恶意代码,可窃取用户敏感信息、建立持久化连接或执行远程控制。这些漏洞影响范围广,部分已存在POC,建议用户及时更新补丁并检查相关组件使用情况。
2025-10-21 01:06:21
888
原创 【漏洞/投毒情报】2025-10-19日
漏洞与投毒情报摘要 漏洞情报: LibreWolf Windows高危漏洞(CVE-2025-11940):影响<=143.0.4-1版本,存在搜索路径失控风险,需升级至144.0-1版本缓解。 ChurchCRM 5.18.0中危漏洞:包含路径遍历(CVE-2025-11939)和反序列化漏洞(CVE-2025-11938),均可能被远程利用,供应商未回应。 rplay 3.3.2中危漏洞(CVE-2025-62672):可导致服务拒绝,影响librplay/rplay.c组件。 投毒情报: NPM
2025-10-20 00:48:07
559
原创 SpringBoot Actuator未授权访问
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用的库,提供了多种端点(endpoints)来查看应用的运行状态、健康检查、指标、日志等信息,适用于生产环境监控和故障排查。健康检查(Health)显示应用健康状态,如数据库、缓存等组件的可用性。应用指标(Metrics)提供 CPU、内存、GC、请求统计等信息。环境信息(Env)显示应用环境变量和配置属性。日志管理(Loggers)允许动态调整日志级别。线程 Dump(Thread Dump)
2025-02-07 17:39:57
1977
原创 PMP备考总结——考试混子的心路历程
这个阶段的目的就是根据上一阶段对大局和整体的把握来补充细节,更具体的说,是去解决上一个阶段遗留的错题。知识点错题。是因为没有记住某个具体的知识点,导致题目做错。比如说当你不知道石川图是啥,能解决啥问题,那你遇到这类题目只能乱选;又或者你分不清敏捷里面各种会议都在干啥,而它又是一个非常大的考点,所有的这类题目你都只能蒙。易错题。
2025-01-28 22:00:55
1219
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人