Aggregator

In this post, we’ll look how an adversary can mint authentication cookies for Next.js (next-auth/Auth.js) applications to maintain persistent access to the application as any user.

The reason this is important is because of React2Shell, which is a deserialization vulnerability that allows an adversary to run arbitrary code. Much has been discussed about this vulnerability, and you can read up the original details from the finder here.

近日，由上海市通信管理局联合市委网信办、市经信委、市交通委、市公安局、嘉定区人民政府及临港新片区管委会共同组织的“铸网2025”暨“铸盾2025”上海市车联网网络安全实战攻防活动总结大会顺利召开。大会系统通报了攻防成果，并对活动中表现突出的单位予以表彰。

梆梆安全凭借在攻防技术支撑与数据安全检测等方面的扎实能力，荣获 “实车赛道优秀红方队伍二等奖” 与 “铸盾之星——车联网网络和数据安全领域领航企业” 双项荣誉。

本次活动在工业和信息化部与上海市委市政府的指导下，已连续三年开展。2025年的演练首次设立 “实车” 与 “车联网平台” 双赛道，并创新引入车企互研、车端个人敏感信息测评等专项，将L3及以上级别自动驾驶运营企业纳入演练范围。实车赛道聚焦车辆本身的网络与数据安全，采用“漏洞挖掘+漏洞复验”模式；平台赛道则针对后台服务系统，通过“定向攻击”与“强强对抗”双赛程，全面检验企业安全防护能力。活动坚持“实车现网、真攻真测”原则，在真实环境中开展攻防检验，进一步推动了车联网安全体系的实战化建设。

在本次攻防演练中，梆梆安全为实车赛道提供技术支持，依托长期积累的实战经验与技术能力，在真实网络与车辆环境中开展了系统性安全检验，最终从众多参与单位中脱颖而出，赢得评审认可。

在专题分享环节中，梆梆安全车联网技术专家王远远从红方视角出发，结合实战案例，深入分析了攻防对抗中呈现的关键风险与防护难点，系统分享了攻击策略与防御实践经验，为提升行业整体安全水位提供了有益参考。

此次获奖，是对梆梆安全在车联网安全领域长期投入的肯定，也体现了其在数据安全与个人敏感信息合规检测方面的专业能力。

梆梆安全泰防实验室

梆梆安全泰防实验室始终专注于智能网联汽车的网络安全与数据安全研究，汇聚多方专家资源，致力于打造符合产业发展需要的安全能力体系。公司积极参与国内外相关标准法规的研讨与制定，在安全咨询、安全开发、安全防护、渗透测试、合规评估等方向，构建了覆盖智能网联汽车全生命周期的安全产品与服务体系。

围绕TSP云平台、车载APP、数字钥匙SDK等车联网关键环节，提供场景化安全防护，助力企业整体防御能力提升；

开展整车系统与核心零部件的深度安全测试，结合威胁建模、漏洞分析、漏洞利用等系统化方法，精准识别安全隐患与攻击路径；

基于自动化合规检测平台与专家评估能力，为各类车联应用与车载信息系统提供符合国内外规范的数据安全合规服务；

以“汽车信息安全测试系统”为核心，通过集成化工具与统一平台，助力车企构建标准化安全测试体系，并提供培训与咨询支持，推动检测能力自主建设与持续优化。

迄今已服务头部车企、Tier1零部件供应商等大量智能网联汽车项目，致力于保障车辆全生命周期的网络安全，为推动车联网生态圈高质量发展深度赋能。

未来，梆梆安全将持续与生态伙伴紧密协作，合力构建安全可信的车联网环境。致力于通过技术创新助力安全体系完善，以专业化服务支持行业向前发展，共同护航车联网产业行稳致远。