Aggregator

2025年度警务融合计算四川省重点实验室开放课题

3 months 3 weeks ago

2025年度警务融合计算四川省重点实验室开放课题公告

Farmers Insurance, Aflac Report Data Breaches to Regulators

3 months 3 weeks ago

Farmers' Breach Affects 1.1 Million; Aflac Is Still Counting Victims
Two major U.S.-based insurers - Farmers Insurance and Aflac Inc. - have each reported to regulators data breaches involving two recent separate cyberattacks. The breaches follow a spring and summer spree of data exfiltration incidents that hit multiple large players in the insurance sector.

Nevada State Offices Halts Services After Cyber Incident

DataBreachToday.com

3 months 3 weeks ago

Nevada Grappling with Statewide IT Disruption, Forcing Suspension of Services
Nevada officials are investigating a network security breach that forced state offices to suspend services and knocked key systems offline, including websites and phone lines, though emergency services remain active and no data exposure has been confirmed.

Agentic AI Browser an Easy Mark for Online Scammers

DataBreachToday.com

3 months 3 weeks ago

One Prompt Was Enough for AI Agent to Buy, Click and Expose Sensitive Data
AI agents that shop and surf the web on behalf of users are suckers for scams, find security researchers who sicced a fake online story, a phishing email and a fake captcha on Perplexity's AI-powered web browser Comet. The AI's logic was not designed to weigh credibility or risk.

Ontic Secures $230M to Scale Connected Security Platform

DataBreachToday.com

3 months 3 weeks ago

Physical Security Firm Eyes Insider Risk, Federal Growth and AI-Powered Automation
Ontic has raised $230 million in Series C funding to expand its connected intelligence platform and pursue new federal and international markets. The Austin, Texas-based company will invest in AI, integrations and data to strengthen cyber-physical threat detection and automation.

[立即下载更新] Docker桌面版出现严重安全漏洞容器可以穿透访问宿主机文件

不安全

3 months 3 weeks ago

#安全资讯 Docker Desktop 出现重大安全漏洞，恶意容器可以绕过安全防御直接访问宿主机的文件系统，甚至可以完全控制宿主机。目前该漏洞已经在 v4.44.3 版中修复，Win

SignalsEverywhere Android Project Updates: Satellite Tracker, HackTV NTSC Transmitter, OBS To HackTV, PacketShare and More

不安全

3 months 3 weeks ago

Sarah Rose Giddings 正在开发多个基于无线电和 SDR 的 Android 项目，包括卫星追踪器、NTSC 发射器、文件共享工具及 Benshi 无线电控制应用，并通过 GitHub 开源代码。她在直播中更新了进展并邀请用户参与 Play Store 测试。

CVE-2025-57814 | azu request-filtering-agent up to 1.x server-side request forgery (GHSA-pw25-c82r-75mm / EUVD-2025-25760)

VulDB Recent Entries

3 months 3 weeks ago

A vulnerability was found in azu request-filtering-agent up to 1.x. It has been declared as critical. This vulnerability affects unknown code. The manipulation results in server-side request forgery. This vulnerability is known as CVE-2025-57814. It is possible to launch the attack remotely. No exploit is available. It is recommended to upgrade the affected component.

vuldb.com

CVE-2025-8627 | TP-Link KP303 Smartplug up to 1.0.x access control

VulDB Recent Entries

3 months 3 weeks ago

A vulnerability was found in TP-Link KP303 Smartplug up to 1.0.x. It has been classified as critical. This affects an unknown part. The manipulation leads to improper access controls. This vulnerability is traded as CVE-2025-8627. Access to the local network is required for this attack to succeed. There is no exploit available. Upgrading the affected component is recommended.

vuldb.com

CVE-2025-57805 | The-Scratch-Channel tsc-web-client up to 1.1 POST Request input validation (GHSA-h5rj-2466-qr23)

VulDB Recent Entries

3 months 3 weeks ago

A vulnerability was found in The-Scratch-Channel tsc-web-client up to 1.1 and classified as problematic. Affected by this issue is some unknown functionality of the component POST Request Handler. Executing manipulation can lead to improper input validation. This vulnerability appears as CVE-2025-57805. The attack may be performed from a remote location. There is no available exploit. It is suggested to upgrade the affected component.

vuldb.com

CVE-2025-8447 | GitHub Enterprise Server up to 3.14.16/3.15.11/3.16.7/3.17.4 Compare/Diff authorization (WID-SEC-2025-1903)

VulDB Recent Entries

3 months 3 weeks ago

A vulnerability has been found in GitHub Enterprise Server up to 3.14.16/3.15.11/3.16.7/3.17.4 and classified as problematic. Affected by this vulnerability is an unknown functionality of the component Compare/Diff. Performing manipulation results in authorization bypass. This vulnerability is reported as CVE-2025-8447. The attack is possible to be carried out remotely. No exploit exists. The affected component should be upgraded.

vuldb.com

CVE-2025-57809 | mlc-ai xgrammar up to 0.1.20 recursion (ID 250)

VulDB Recent Entries

3 months 3 weeks ago

A vulnerability, which was classified as problematic, was found in mlc-ai xgrammar up to 0.1.20. Affected is an unknown function. Such manipulation leads to uncontrolled recursion. This vulnerability is documented as CVE-2025-57809. The attack can be executed remotely. There is not any exploit available. You should upgrade the affected component.

vuldb.com

CVE-2025-57804 | python-hyper h2 up to 4.2.x HTTP/2 crlf injection (GHSA-847f-9342-265h)

VulDB Recent Entries

3 months 3 weeks ago

A vulnerability, which was classified as problematic, has been found in python-hyper h2 up to 4.2.x. This impacts an unknown function of the component HTTP2 Handler. This manipulation causes crlf injection. This vulnerability is registered as CVE-2025-57804. Remote exploitation of the attack is possible. No exploit is available. It is advisable to upgrade the affected component.

vuldb.com

Docker 修复跨平台容器逃逸漏洞

不安全

3 months 3 weeks ago

error code: 521

Docker 修复跨平台容器逃逸漏洞

HackerNews

3 months 3 weeks ago

HackerNews 编译，转载请注明出处： Docker 修复了 Windows 和 macOS 版 Docker Desktop 应用程序中的一个高危漏洞（CVE-2025-9074，CVSS 评分 9.3），攻击者可能利用该漏洞突破容器隔离限制。根据 Docker 官方文档披露，恶意容器能够访问 Docker 引擎并在无需套接字的情况下启动新容器，即使启用了增强容器隔离（ECI）功能，仍存在主机文件被访问的风险。安全公告指出：“Docker Desktop 中存在一个漏洞，允许本地运行的 Linux 容器通过默认配置的 Docker 子网（192.168.65.7:2375）访问 Docker 引擎 API。无论是否启用增强容器隔离功能，或是否开启‘通过无 TLS 暴露守护进程’选项，该漏洞都会存在。攻击者可借此向引擎 API 执行大量特权命令，包括控制其他容器、创建新容器、管理镜像等。在某些情况下（如使用 WSL 后端的 Windows 版 Docker Desktop），攻击者还能以 Docker Desktop 运行用户的相同权限挂载主机驱动器。” 该漏洞由研究人员费利克斯·布勒（Felix Boulet）和菲利普·杜格雷（Philippe Dugre，zer0x64）发现。布勒证实漏洞允许容器在无需认证的情况下连接 Docker 引擎 API（192.168.65.7:2375）。概念验证显示，任何容器均可发送请求绑定主机的 C:\ 驱动器，随后启动具有主机文件读写权限的容器，最终导致完全控制主机。布勒表示：“这个漏洞本质上是由于一个简单的疏忽——Docker 的内部 HTTP API 可以从任何容器访问，且无需认证或访问控制。这深刻提醒我们，关键安全漏洞往往源于最基本的假设。我通过对 Docker 文档记载的私有网络进行快速 nmap 扫描发现了这个问题。扫描整个私有子网只需几分钟，可能会揭示你并未如想象中那样隔离。务必测试网络隔离假设，不要默认所有安全模型都已对齐。” 杜格雷发现 Windows 版 Docker Desktop 漏洞允许攻击者以管理员权限挂载完整文件系统，读取敏感数据或覆盖 DLL 获取主机控制权。专家解释称，得益于系统隔离机制，macOS 受影响程度较低，但攻击者仍可后门化 Docker 配置。Linux 系统不受影响，因其使用命名管道进行通信。漏洞利用途径包括恶意容器或通过 SSRF（服务器端请求伪造）代理请求至 Docker 套接字。杜格雷补充说明：“虽然最简单的利用方式是通过攻击者控制的易受攻击/恶意容器，但服务器端请求伪造（SSRF）也是可行的攻击向量。该漏洞允许攻击者通过易受攻击的应用程序代理请求访问 Docker 套接字，实际影响尤其取决于 HTTP 请求方法的可用性（多数 SSRF 仅允许 GET 请求，但在某些特殊情况下允许使用 POST、PATCH、DELETE 方法）。”该漏洞已在 4.44.3 版本中修复。消息来源： securityaffairs；本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

hackernews

38款移动应用违规收集个人信息被公安部通报，涉及招聘、家政类APP！监管重拳之下，APP如何安全运营？

不安全

3 months 3 weeks ago

梆梆安全

38款移动应用违规收集个人信息被公安部通报，涉及招聘、家政类APP！监管重拳之下，APP如何安全运营？

嘶吼

3 months 3 weeks ago

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，38款移动应用存在违法违规收集使用个人信息情况，具体通报如下：

1、未公开收集使用规则。涉及2款移动应用如下：

《家政加》（5.3.5，VIVO）、《聘巢》（1.0.2，应用宝）。

2、未逐一列出收集、使用个人信息的目的、方式、范围。涉及19款移动应用如下：

《联想乐云》（6.8.20，应用宝）、《画啦啦美术课堂》（5.22.9，OPPO）、《智通直聘》（11.14.0，应用宝）、《才通直聘》（1.6.1，应用宝）、《达管家》（5.2.192，应用宝）、《同城招聘》（1.1.1，VIVO）、《e家政》（4.0.10，VIVO）、《快马日结》（6.7.00，百度）、《2345浏览器》（16.1.8，应用宝）、《微米浏览器》（BrowserV8.0.20250403，百度）、《淘最热点》（3.1.8，百度）、《当日急聘》（7.4.4，VIVO）、《闪电直聘》（3.1.0，百度）、《吉工家》（7.6.6，百度）、《建筑招工》（7.6.5，百度）、《微车》（8.6.3，VIVO）、《in》（3.4.130，豌豆荚）、《找零工》（4.2.6，豌豆荚）、《汇博招聘》（5.0.3，豌豆荚）。

3、在申请打开可收集个人信息的权限时，未同步告知用户其目的。涉及4款移动应用如下：

《e家政》（4.0.10，VIVO）、《in》（3.4.130，豌豆荚）、《聘巢》（1.0.2，应用宝）、《找零工》（4.2.6，豌豆荚）。

4、在申请收集用户等个人敏感信息时，未同步告知用户其目的。涉及4款移动应用如下：

《我要聘》（1.2.10，VIVO）、《闪电直聘》（3.1.0，百度）、《吉工家》（7.6.6，百度）、《建筑招工》（7.6.5，百度）。

5、征得用户同意前就开始收集个人信息。涉及3款移动应用如下：

《秀色直播》（9.3.6，华为）、《微米浏览器》（BrowserV8.0.20250403，百度）、《当日急聘》（7.4.4，VIVO）。

6、实际收集的个人信息超出用户授权范围。涉及19款移动应用如下：

《联想乐云》（6.8.20，应用宝）、《画啦啦美术课堂》（5.22.9，OPPO）、《达管家》（5.2.192，应用宝）、《德管家》（4.1.93，VIVO）、《他趣》（8.4.2.1，VIVO）、《同城招聘》（1.1.1，VIVO）、《e家政》（4.0.10，VIVO）、《快马日结》（6.7.00，百度）、《2345浏览器》（16.1.8，应用宝）、《微米浏览器》（BrowserV8.0.20250403，百度）、《淘最热点》（3.1.8，百度）、《当日急聘》（7.4.4，VIVO）、《闪电直聘》（3.1.0，百度）、《吉工家》（7.6.6，百度）、《建筑招工》（7.6.5，百度）、《微车》（8.6.3，VIVO）、《in》（3.4.130，豌豆荚）、《找零工》（4.2.6，豌豆荚）、《汇博招聘》（5.0.3，豌豆荚）。

7、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围。涉及3款移动应用如下：

《地铁查询宝》（1.1.7，小米）、《文件解压管家》（1.4.0，小米）、《微车》（8.6.3，VIVO）。

8、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及1款移动应用如下：

《爱看书免费小说》（8.2.4，华为）。

9、实际收集的个人信息超出相关功能的必要范围。涉及6款移动应用如下：

《豆果美食》（8.2.15.2，华为）、《百思漂流瓶》（9.13.81，华为）、《优惠券》（6.0.0，小米）、《乐播投屏》（5.11.80，应用宝）、《卡牛信用管家》（9.2.2，应用宝）、《轻喜到家》（2.6.7，VIVO）。

10、实际收集个人信息的频率超出相关功能的必要范围。涉及1款移动应用如下：

《家宝兔》（6.6.3，应用宝）。

11、提前要求用户打开非当前功能所需的可收集个人信息权限。涉及2款移动应用如下：

《同城招聘》（1.1.1，VIVO）、《找零工》（4.2.6，豌豆荚）。

12、强制要求用户打开非必要的可收集个人信息权限。涉及1款移动应用如下：

《e家政》（4.0.10，VIVO）。

13、强制要求用户提供非必要的个人信息。涉及1款移动应用如下：

《好兔视频》（1.6.36.1，华为）。

14、未向用户提供更正或补充其个人信息的具体途径。涉及1款移动应用如下：

《当日急聘》（7.4.4，VIVO）。

15、未向用户提供注销账户的途径和方式。涉及1款移动应用如下：

《找零工》（4.2.6，豌豆荚）。

16、注销账户的流程中设置不合理的条件或提出额外要求。涉及2款移动应用如下：

《597直聘》（6.5.0，应用宝）、《快马日结》（6.7.00，百度）。

17、未提供退出或关闭个性化展示模式的选项。涉及3款移动应用如下：

《壁纸多多》（6.9.9.1，豌豆荚）、《找零工》（4.2.6，豌豆荚）、《汇博招聘》（5.0.3，豌豆荚）。

上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的33款违法违规移动应用，经复测仍有5款存在问题，相关移动应用分发平台已予以下架。

（注：以上所列移动应用检测时间为2025年7月25日至2025年8月11日）

来源：国家网络安全通报中心

从涉及的APP类型来看，招聘类、家政服务类、工具类及社交娱乐类应用是本次检测的重点。其中，招聘类应用如《聘集》《智通直聘》《闪电直聘》《同城招聘》等多次出现，反映出该类应用在用户数据收集方面存在普遍性问题；家政服务类应用如《家政加》《e家政》《家宝兔》等也多次被提及。违规行为可归纳为透明度不足、过度收集与超范围收集、强制索权与不合理要求、流程与机制缺失等大类。

本次通报再次凸显移动应用在个人信息处理方面的合规短板，尤其是在用户知情同意、最小必要原则落实、权限管理机制等方面问题突出。建议相关企业高度重视数据合规体系建设，加强内部检测与审计，切实履行个人信息保护义务。同时，用户也应提高安全意识，谨慎授权，积极使用法律手段维护自身权益。

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

梆梆安全