第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
受影响机构名单仍在拉长
代码卫士
NPM 恶意包伪装成热门包劫持密币交易
导入时,nodejspsmtp 立即调用了旨在提取钱包如 Atomic Wallet 和 Exodus 的基于 Electron 的 payload。
WhatsApp 修复用于0day 攻击中的零点击漏洞
速修复
注意:Sitecore 利用链可导致缓存投毒和RCE
速修复
速修复Passwordstate 中的这个认证绕过漏洞
速修复
思科 Nexus 交换机中存在高危DoS 漏洞
速修复
IT 系统供应商遭攻击,瑞典200多个城市受影响
目前仍在调查中
史上首例:NPM 包 Nx 被投毒,开发人员遭AI软件供应链攻击
这是有史以来恶意软件胁迫AI助手CLI协助侦查的首个案例。
FreePBX服务器紧急修复已遭利用0day
速修复
AI 代理发现 Chrome 中的严重 UAF 漏洞,可导致任意代码执行
速修复
CISA 提醒注意已遭活跃利用的 Git 代码执行漏洞
速修复
Citrix 紧急修复已遭利用的 NetScaler RCE 0day漏洞
速修复
黑客可利用两个Python函数调用执行恶意代码
安全专业人员建议执行全面检测策略,结合静态分析、动态分析、机器学习模式和人工监督,在实际攻陷生产环境之前识别出这类复杂攻击。
Tableau 服务器中严重漏洞可导致攻击者上传恶意文件
速修复
Apache Tika PDF 解析器严重漏洞可导致攻击者访问敏感数据
速修复
数十万用户的 Grok 聊天记录被暴露在谷歌搜索结果中
X公司尚未置评
PromptFix:AI浏览器可被诱骗运行恶意的隐藏提示
PromptFix的思路不同,我们并非试图通过干扰让模型‘服从’,而是借鉴人类社会工程学的手段误导它——直接诉诸其核心设计目标:快速、全面且毫不犹豫地帮助人类。
Commvault 预认证利用链可用于实施RCE攻击
速修复
PyPI拦截1800个过期域名邮件,防御供应链攻击
速更新
苹果紧急修复已遭利用的新 0day
速修复
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)