NPM 包 “is” 被攻陷 设备遭完全访问
速更新
代码卫士
《中国开源发展深度报告(2024)》发布,奇安信聚焦开源安全参与编制
作为国内网络安全行业的领军企业,奇安信旗下代码安全实验室深度参与了本次报告的编制工作,并指出,开源软件的漏洞问题日益严峻,整体安全风险仍在持续。
Synology BeeDrive 漏洞可导致代码执行和任意文件删除
速修复
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
这是npm注册表有史以来第一次下架整个合法项目
英国政府计划禁止公共和关基企业支付勒索赎金
未被所提案禁令涵盖的企业,如果计划支付勒索金则需要通知政府,寻求关于此类付款是否违反了涉及向受制裁网络犯罪团伙(很多位于俄罗斯)转移钱财的法律要求的指南。
Chrome 多个高危漏洞可用于执行任意代码
速修复
热门包被用于窃取项目维护者的 npm 令牌
威胁人员通过针对性钓鱼攻击窃取了项目维护人员的认证令牌,成功发动一起复杂的供应链攻击,攻陷多个npm包。
微软紧急修复正遭利用的 SharePoint RCE 0day漏洞
速修复
CrushFTP 新0day被用于劫持服务器
速修复
固件开发和更新缺陷导致漏洞多年难修,供应链安全深受其害
主板制造商和独立的BIOS 厂商需要优先考虑安全性,为开发人员提供持续的安全编码教育、提高对密钥的管理并确保默认启用安全特性。
谷歌AI “Big Sleep” 提前阻止严重的SQLite 漏洞遭利用
赶在黑客在野利用之前发现了SQLite 开源数据库引擎中的一个高危内存损坏漏洞CVE-2025-6965(CVSS评分7.2)。
Vmware 修复 Pwn2Own 柏林大赛上遭利用的四个 ESXi 0day漏洞
速修复
NPM仓库被植入67个恶意包传播恶意软件
这些包的总下载量已超过1.7万次
思科:满分ISE漏洞可导致未认证攻击者执行root 代码
速修复
Gravity Forms 插件官方下载被安后门,引发WordPress 供应链攻击
只有手动下载并通过 Composer 安装的用户才受影响
谷歌紧急修复已遭利用的 Chrome 0day
速修复
ImageMagick存在栈缓冲溢出漏洞,可导致RCE
速修复
最多认可!奇安信10大领域入选2025Gartner®中国安全技术成熟度曲线报告
根据报告: “首席信息官和相关负责人可以使用本技术成熟度曲线来确定实用的、高价值的技术和实践,以保持组织的安全性和灵活性。” 开源卫士(SCA)位列其中。
Wing FTP严重漏洞已遭在野利用
速修复
APP_KEYs遭暴露,超600款Laravel应用易遭RCE攻击
速修复
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)