奇安信代码卫士-CSDN博客

转载 Niagara 框架中存在多个严重漏洞影响全球智能楼宇和工业系统

这些漏洞已在该库的1.0.2版本中修复，并已在2025年4月末发布。研究人员表示，他们能够构造由CVE-2025-3943和CVE-2025-3944组成的一个利用链，导致对网络具有访问权限的邻近攻击者攻陷基于Niagara 框架的目标设备，从而执行root级别的远程代码。Niagara Framework 由霍尼韦尔的一个独立商业实体 Tridum 开发的，是一个与厂商无关的平台，用于管理和控制来自不同制造商的大量多种设备，使其在楼宇管理、工业自动化和智能基础设施环境中成为有价值的解决方案。

2025-07-28 18:50:43 12

转载《中国开源发展深度报告（2024）》发布，奇安信聚焦开源安全参与编制

报告由开放原子开源基金会牵头，携手中国信息通信研究院、国家工业信息安全发展研究中心、中国电子信息产业发展研究院、中国科学院软件研究所、清华大学软件学院、北京大学计算机学院、上海对外经贸大学开源创新与数字治理研究院、云启资本、华为技术有限公司、奇安信科技集团股份有限公司、中国软件行业协会投资专业委员会、OSS Compass社区共同编制。系统梳理近三年来国内外开源项目与开发者数据，围绕开源许可证、代码托管平台、地方开源产业布局、重点技术领域、行业应用、开源安全、开源教育和开源学术、商业化等重点方向。

2025-07-25 21:32:56 31

转载 NPM 包 “is” 被攻陷设备遭完全访问

研究人员还分析了 “eslint” 和余下包中的 payload，发现名为 “Scavanger” 的Windows 信息窃取工具被用于存储在web 浏览器中的敏感信息。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

2025-07-25 21:32:56 28

转载 Synology BeeDrive 漏洞可导致代码执行和任意文件删除

这三个漏洞是CVE-2025-54158、CVE-2025-54159和CVE-2025-54160，CVSS评分在7.5至7.8之间，是高危级别漏洞，可导致严重的本地和远程利用风险。其中两个漏洞CVE-2025-54158和CVE-2025-54160可被本地用户用于执行任意代码。这三个漏洞中最严重的无疑是CVE-2025-54159，它可导致远程攻击者删除系统中的任意文件。如果与其它漏洞或配置不当漏洞组合利用，则该漏洞可导致数据丢失、服务中断甚至是导致后果进一步升级或部署勒索软件。觉得不错，就点个 “

2025-07-24 19:22:59 29

转载 NPM “意外” 删除 Stylus 合法包全球流水线和构建被迫中断

Mend.io 公司的安全研究员 Tom Abai 认为，在调查这起事件时发现，至少 Stylus 的最新版本0.64.0 是“干净的”，但跟该包相关的一件怪事是，“我们调查过程中发现了一件怪事，panyakor 似乎是 stylus npm 包的所有人之一，他上周发布了三个恶意包……早些时候，Stylus 的开发人员 Lei Chen 在 GitHub 的一个议题中提到，“Stylus 意外遭 npmjs 禁止”，而他“正在等待 npmjs 恢复对 Stylus 的访问权限”数字化时代，软件无处不在。

2025-07-24 19:22:59 20

转载 Chrome 多个高危漏洞可用于执行任意代码

其中最严重的是位于 Chrome V8 JavaScript 引擎中的两个高危类型混淆漏洞，均由安全研究员 Shaheen Fazim 在2025年7月9日发现和报送，编号是CVE-2025-8010和CVE-2025-8011，对浏览器安全造成重大威胁。V8 JavaScript 引擎不仅支持 Chrome，还支持其它基于 Chromium 的浏览器如微软 Edge 和 Brave，日常处理数十亿次 web 交互，使得这些漏洞尤为严重。谷歌紧急修复已遭利用的 Chrome 0day漏洞。

2025-07-23 18:32:41 45

转载英国政府计划禁止公共和关基企业支付勒索赎金

英国政府表示，“勒索软件预估每年为英国经济造成数百万英镑的损失，最近发生的高级别勒索攻击凸显了严重的运维、金融甚至是性命攸关的风险。这一禁令将针对的是加剧网络犯罪分子活动的商业模式，降低勒索团伙对公众所依赖的重要服务的吸引力。英国政府在1月份发布公开意见收集函，提到了针对所有公共实体和国家关键基础设施的勒索支付禁令，以及阻止勒索支付和报送勒索事件的强制要求措施。英国安全大臣 Dan Jarvis 表示，“我们发布“改变计划”是决心打破网络犯罪分子的商业模式，保护我们都赖以生存的服务。觉得不错，就点个 “

2025-07-23 18:32:41 35

转载热门包被用于窃取项目维护者的 npm 令牌

威胁人员通过针对性钓鱼攻击窃取了项目维护人员的认证令牌，成功发动一起复杂的供应链攻击，攻陷了多个使用广泛的 npm 包，如 eslint-config-prettier 和 eslint-plugin-prettier。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。攻击者首先通过复杂的钓鱼邮件收割维护人员的凭据，之后利用这些被盗令牌，在没有向 GitHub 仓库做出任何相应变更的情况下，直接在npm 仓库中发布恶意包版本，导致传统的攻击监控方式难度大大提升。

2025-07-22 18:03:27 14

转载微软紧急修复正遭利用的 SharePoint RCE 0day漏洞

值得注意的是，微软此前将CVE-2025-53770视为CVE-2025-49706的一个变体，当询问道这种变化原因时，微软的一名发言人表示，“正在优先向客户提供更新，同时修正任何不准确的内容。”微软还表示，当前发布的内容是正确的，此前的不一致性并不影响发给客户的指南。上周日，微软发布SharePoint 已遭活跃利用的安全漏洞CVE-2025-53770的补丁，并披露了另外一个 “防护更为有力的” 漏洞的详情。CVE-2025-53771的更新包含了比CVE-2025-49706更为有力的防护措施。

2025-07-22 18:03:27 56

转载固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

在过去的两个月中，发现技嘉固件问题的固件安全公司 Binarly 在戴尔设备中披露了SMM 问题，绕过UEFI 的Secure Boot，并可能在下个月披露联想设备中的相关漏洞。他提到，代码的复杂性也是一个主要问题，“很少有人意识到UEFI固件的规模和复杂性与操作系统不相上下，由上百万行代码构成，而且就我们所知，代码越多，那么错误就越多。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。为此，我们推出“供应链安全”栏目。

2025-07-21 18:55:12 19

转载 CrushFTP 新0day被用于劫持服务器

我们已经修复了于HTTP (S) 中与AS2相关联的另外一个问题，并未意识到之前的这个漏洞可像新漏洞这样利用。CrushFTP的首席执行官 Ben Spink 表示，他们此前修复了HTTP (S) 中于 AS2 相关的一个漏洞，这可能也拦截了这个新0day漏洞。Spink 表示，“之前的一个修复方案偶然也拦截了这个漏洞，但之前的修复方案针对的是一个不同的问题，并默认关闭了一些很少用的特性。Spink 表示，他们多数看到默认的用户被修改为主要的IOC，“通常来讲，我们看到默认的用户被修改为主要IOC。

2025-07-21 18:55:12 44

转载谷歌AI “Big Sleep” 提前阻止严重的SQLite 漏洞遭利用

谷歌提到，CVE-2025-6965是一个严重漏洞，“仅有威胁人员知晓，存在遭利用的风险”，但并未透露这些威胁人员的身份。与此同时，谷歌还发布白皮书以构建安全的AI代理，确保它们具有定义明确的人类控制器，它们的能力得到仔细限制以免造成恶意操作和敏感数据泄露，以及它们的措施是可观察的以及透明的。谷歌表示，“这种纵深防御方式依赖于强制实施的边界，这些边界围绕AI代理的操作环境，以阻止潜在的最糟糕场景，即使代理的内部推理流程遭攻陷或遭复杂攻击或意外输入的干扰或误导时，这些边界也可当作防御措施。

2025-07-18 18:35:24 43

转载 Vmware 修复 Pwn2Own 柏林大赛上遭利用的四个 ESXi 0day漏洞

第四个漏洞CVE-2025-41239是评分为7.1的信息泄露漏洞，也是由 Reverse Tactics 公司的研究员 Corentin BAYET 发现的，他在Pwn2Own 大赛上组合CVE-2025-41237实施利用。其中三个漏洞的严重性评级为9.3分，可导致在 guest 虚拟机中运行的程序在主机上执行命令，它们是CVE-2025-41236、CVE-2025-41237和CVE-2025-41238。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2025-07-18 18:35:24 58

转载思科：满分ISE漏洞可导致未认证攻击者执行root 代码

Kawane 此前曾发现了其它两个严重的思科ISE漏洞（CVE-2025-2028和CVE-2025-20282）以及Fortinet FortiWeb 中的另外一个严重漏洞CVE-2025-25257。思科披露了影响ISE和ISE-PIC的一个新的CVSS满分漏洞 CVE-2025-20337，可导致攻击者以提升后的权限在底层操作系统上执行任意代码，类似于思科在上个月修复的CVE-2025-20281。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2025-07-17 18:57:24 44

转载 NPM仓库被植入67个恶意包传播恶意软件

研究人员提到，“Contagious Interview 威胁人员将继续使其恶意软件组合多样化，通过新的npm维护人员的昵称进行更改、复用加载器如 HexEval Loader 和恶意软件家族如 BeaverTail和InvisiableFerret以及活跃部署新观察到的变体如 XORIndex Loader。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

2025-07-17 18:57:24 22

转载 Gravity Forms 插件官方下载被安后门，引发WordPress 供应链攻击

报告提醒称，“从所有的函数中，它将通过用户提供的输入执行一个 eval 调用，导致在服务器上执行远程代码。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。Patchstack 团队指出，“我们仍然在积极调查，以更好地理解攻击的范围和影响，由于我们目前正在密切关注受感染网站和 IoC 的证据，因此共享这一信息，以便大家能够查看自己是否受影响。报告提到，“最初，它看似是正常的或合法的域名。为此，我们推出“供应链安全”栏目。

2025-07-16 18:07:49 21

转载 ImageMagick存在栈缓冲溢出漏洞，可导致RCE

安全公告提到，“偏移量变量累积递增，以修正 %d 等输出长度，但使用一个静态偏移量 +- (4-field_width) 的设计，会在 % 说明符连续出现时导致偏移量过度增加。该漏洞属于CWE-124：缓冲区写越界类型漏洞，即内存被写入所分配空间之前的地址，通常导致崩溃或可利用的内存损坏后果。ImageMagick 在安全通告中提到，“在文件名称模板中指定多个连续的 %d 格式说明符，导致内部指针算法在栈缓冲区下面生成一个地址，从而通过vsnprintf() 造成栈溢出。觉得不错，就点个 “

2025-07-15 18:39:25 57

转载最多认可！奇安信10大领域入选2025Gartner®中国安全技术成熟度曲线报告

通过智能化数据收集引擎在全球范围内获取开源软件信息及其相关漏洞信息，利用自主研发的开源软件分析引擎为企业提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能，帮助用户掌握开源软件资产信息，及时获取开源软件漏洞情报，降低由开源软件带来的安全风险，保障企业交付更安全的软件。以数据资产为中心，遵循奇安信零信任“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力，覆盖身份、设备、网络、应用、数据等维度，通过动态访问控制机制，持续优化访问策略，有效缓解各类访问风险。

2025-07-15 18:39:25 90

转载 Wing FTP严重漏洞已遭在野利用

该公司的研究人员表示，“CVE-2025-47812源自空解字节在用户名参数中的处理方式（具体与 loginok.html 文件有关，该文件负责处理认证流程），它可导致远程攻击者在使用用户名参数的空解字节后执行 Lua 注入。该漏洞的编号是CVE-2025-47812（CVSS评分10.0），是因为对服务器web界面的空字节 (‘\0’) 的处理不当造成的，可导致远程代码执行后果，已在7.4.4版本中修复。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2025-07-14 18:41:47 72

转载 APP_KEYs遭暴露，超600款Laravel应用易遭RCE攻击

其中，约10%是有效的，即120款应用易受远程代码执行攻击。具体而言，GitGuardian 公司发现其中202个服务器泄露了至少一份机密，占所有仓库的5.2%，“比在所有公开仓库上观察到的4.6%稍高”，使得MCP服务器“成为新的机密泄露源”。正确的响应包括：立即更换受陷的 APP_KEY，用新的密钥更新所有的生产系统，并执行持续的机密监控以阻止未来的暴露情况。该密钥存储在该应用的 .env 文件中，用于加密和解密数据、生成安全的随机字符串、签名和验证数据以及创建唯一的认证令牌，是一个重要的安全组件。

2025-07-14 18:41:47 45

转载开源项目mcp-remote 中存在严重漏洞可导致RCE

更糟糕的是，在服务器以权限用户运行的设置中，该漏洞可导致提权，从而允许攻击者操纵关键系统文件并获得对主机系统更深层的控制。CVE-2025-53110（CVSS评分7.3）：该目录隔离绕过漏洞可允许攻击者使用在其它目录（如 “/private/tmp/allow_dir_sensitive_credentials”）上的目录前缀，访问、读取或写入超出授权目录范围（如 “/private/tmp/allowed_dir”）的目录，从而可导致数据被盗和提权后果。Grafana 修复中存在四个严重的RCE漏洞。

2025-07-11 18:37:33 78

转载只需两行代码，黑客轻松攻陷VS代码扩展发动供应链攻击

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。第一行代码引入了一个名为 “keythereum-utils” 的新依赖，这一狡猾的命名目的是被当做该项目已在使用的包 “keythereum” 的合法帮助库。这一攻陷事件表明，即使是受信任的合法软件也可通过最小代码变更的方式被武器化，导致供应链攻击成为开发社区所面临的越来越严重的威胁。

2025-07-10 18:25:23 20

转载 Splunk 修复 SOAR 版本中的第三方包漏洞

高危漏洞包括 CVE-2024-45230 (Django)、CVE-2024-21538 (cross-spawn)、CVE-2024-52804 (tornado)、CVE-2022-35583 (wkhtml)、CVE-2024-6345 (Setuptools)、CVE-2024-39338（Axios JavaScript 库）和CVE-2024-49767（Werkzeug WSGI 工具库）。组织机构必须立即升级至 Splunk SOAR 6.4.1或更高版本，修复所有已识别出的漏洞。

2025-07-10 18:25:23 42

转载 Fortinet 修复FortiWeb 中的严重SQL注入漏洞

CVE-2025-25257的CVSS评分为9.6，属于“严重”级别的漏洞，加上无需认证即可遭利用，因此是寻求轻松入侵受保护环境的威胁人员的香饽饽。Fortinet 修复位于FortiWeb 产品中的一个严重漏洞CVE-2025-25257。它是一个高危的未认证SQL注入漏洞，远程攻击者仅通过发送一个构造的HTTP或HTTPS请求，就能执行未授权的SQL命令。本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。觉得不错，就点个 “

2025-07-09 18:21:41 206

原创在线阅读版：《2025中国软件供应链安全分析报告》全文

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。商的汽车关键部件等均存在严重的软件供应链安全风险，这些重点领域的风险亟待行业重视。

2025-07-08 09:09:41 309

转载《2025中国软件供应链安全报告》发布：大模型、智能网联车风险亟待重视

分析发现，造成关键基础开源软件中从未公开披露过漏洞的项目占比较高的原因主要有两个，一是有的关键基础开源软件，特别是有的开源社区中的软件，漏洞虽然已被修复了，但没有记录和公开；报告显示，与历年相比，2024年国内企业自主开发的软件项目源代码整体缺陷密度持续升高，达到了13.26个/千行，软件项目存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在20年前的开源软件漏洞。随着汽车智能化、网联化程度的不断加深，软件在汽车中的占比持续攀升，软件供应链的安全问题对智能网联汽车的影响愈发关键。

2025-07-07 19:00:31 62

转载微软 Edge 修复两个高危RCE漏洞

该漏洞可导致恶意网站操纵内存边界，使攻击者读或写任意内存位置，从而导致沙箱逃逸、信息盗取甚至是远程代码执行，具体取决于该漏洞的利用方式。除此以外，微软还修复了Edge 中存在的漏洞CVE-2025-49713，CVSS评分8.8。攻击者如能诱骗用户点击恶意链接或打开受陷附件，则可执行远程代码。微软发布 Edge 稳定版本138.0.3351.65，修复了影响基于 Chromium 的 Edge 浏览器中有三个高危漏洞，其中一个已遭在野利用，另外一个可通过构造的用户交互触发远程代码执行 (RCE)。

2025-07-04 18:24:48 125

转载思科 Unified CM 中存在满分漏洞，可用于获得root权限

几天前，思科刚刚修复了位于ISE和ISE Passive Identity Connector 中的两个严重漏洞（CVE-2025-20281和CVE-2025-20282），它们可导致未认证攻击者以 root 用户身份执行任意命令。思科发布安全更新，修复了位于Unified CM 和 Unified CM SME中的一个满分漏洞CVE-2025-20309，CVSS评分10分，可导致攻击者以 root 用户身份登录可疑设备，获得提升后的权限。思科智能许可证实用程序中的严重漏洞已遭利用。

2025-07-03 18:55:12 72

转载美国提醒注意伊朗针对关基的网络威胁

CISA 表示未有证据表明攻击正在实施，但鉴于最近中东的动荡局势以及伊朗此前发动的攻击活动，督促关基组织机构和其它潜在目标监控防御措施。FBI和NSA在一份联合发布的事实清单中提醒称与以色列国防和研究有关的国防工业基础遭受的风险在增加。去年，与IRGC相关的威胁人员入侵被暴露在网络的可编程逻辑控制器 (PLCs) 来攻击位于宾夕法尼亚州的水设施。要获取更多消息，可关注CISA对伊朗威胁的概览以及FBI发布的伊朗威胁相关网页。安装所有的软件更新，尤其是在面向互联网的系统上安装，修复已知漏洞。

2025-07-02 18:21:08 46

转载 CISA 提醒注意 Microsens 中的多个严重漏洞

CISA 上周发布安全公告表示，Microsens NMP Web+ 产品受两个严重漏洞和一个高危漏洞的影响。未认证攻击者可利用这些严重漏洞生成伪造的 JSON Web Tokens 并绕过认证 (CVE-2025-49151)，以及覆写文件和执行任意代码 (CVE-2025-49153)。第一个漏洞可用于获取向目标系统提供访问权限的合法认证令牌，第二个漏洞可使攻击者覆写服务器上的关键文件，完全控制 OS 级别的系统。CISA 表示，受影响产品广泛用于全球各行业，其中不乏关键制造业。觉得不错，就点个 “

2025-07-02 18:21:08 56

转载 MongoDB 服务器预认证漏洞可用于触发 DoS 条件

MongoDB 早于6.0.21的6.0版本中也包含该漏洞，不过利用该漏洞要求成功认证，从而降低了威胁面，但仍然遭受认证用户带来的风险。该漏洞的技术根因涉及对 OIDC 认证管道中日期格式的输入数据的清理和验证不当。基于网络的攻击向量，加上攻击复杂度低，导致漏洞对于面向互联网的 MongoDB 部署或者通过受陷网络分段访问的部署而言，尤其令人担心。该漏洞是因为该服务器的 OpenID Connect (OIDC) 认证机制中的输入验证不当造成的，可导致攻击者在无需认证凭据的情况下破坏数据库实例。

2025-07-01 19:02:43 79

转载谷歌紧急修复已遭利用的 Chrome 0day漏洞

CVE-2025-6554是位于Chrome 渲染引擎核心的 JavaScript 引擎 V8 中的一个类型混淆漏洞，由谷歌威胁分析团队 (TAG) 的研究员 Clément Lecigne 在2025年6月25日发现，可导致远程攻击者诱骗浏览器错误解释内存类型，执行任意代码，这种方式常用于实现远程代码执行 (RCE) 后果。0day漏洞，尤其是影响 Chrome 等浏览器的 0day漏洞是国家行动者的、高阶持续威胁 (APTs) 和受经济利益驱动的网络犯罪分子的主要目标。觉得不错，就点个 “

2025-07-01 19:02:43 350

转载兄弟打印机689个机型的默认管理员密码遭暴露

该漏洞的根因在于固件制造中使用的密码生成逻辑，因此任何在该漏洞发现前制造的设备的密码都是可预测的，除非用户将其修改。兄弟 (Brother) 公司的689个打印机机型以及富士胶片商业创新、理光和东芝TEC公司的53个其它机型中的默认管理员密码可被远程攻击者生成。该漏洞编号是CVE-2024-51978，是 Rapid7 公司在对兄弟公司硬件进行长时间检查后发现的8个漏洞中的其中一个。受影响打印机中的默认密码是使用基于设备序列号的自定义算法在制造过程中生成的。未认证攻击者可生成设备的默认管理员密码。

2025-06-30 18:46:21 72

转载蓝牙芯片集多个漏洞可导致攻击者窃听或盗取敏感信息

此外，易受攻击设备的固件还可能被重写，导致远程代码执行，从而导致蠕虫利用在不同设备中传播。虽然此类攻击可能不会造成重大风险，但在其它场景下利用这三个漏洞可导致威胁人员劫持手机和音频蓝牙设备之间的连接，并使用蓝牙 HFP 向手机发布命令。在德国举行的 TROOPERS 安全大会上，网络安全公司 ERNW 的研究人员披露了位于 Airoha 片上系统 (SoCs) 中的三个漏洞，而 SoCs 广泛用于 True Wireless Stereo (TWS) 入耳式耳机中。本文由奇安信编译，不代表奇安信观点。

2025-06-30 18:46:21 103

转载思科提醒注意 ISE 中的满分 RCE 漏洞

这两个漏洞的CVSS 评分都是满分10分，CVE-2025-20281影响 ISE 和 ISE-PIC 3.4和3.3版本，CVE-2025-20282仅影响3.4版本。第一个漏洞的根因是在特定已暴露 API 中的用户提供输入验证不充分，它可导致未认证的远程攻击者发送特殊构造的API请求，以 root 用户身份执行任意操作系统命令。思科发布安全通告，提醒用户注意影响 ISE 和 ISE-PIC 的两个严重的未认证远程代码执行 (RCE) 漏洞CVE-2025-20281和CVE-2025-20282。

2025-06-27 18:29:53 119

转载 CISA和FBI联合发布关于减少现代软件开发中内存安全漏洞的指南

这份新发布的指南提到，2019年开展的一项研究表明，66%的 iOS 12 中的CVE漏洞以及71%的 MacOS Mojave 中的CVE漏洞是内存安全问题。更令人担忧的是，谷歌 Project Zero 团队分析发现，遭实际利用的75%的CVE漏洞是内存安全漏洞，在2021年发现的58个在野利用0day漏洞中，67%的漏洞属于这一类别。2019年，76%的安卓系统漏洞是内存安全问题，反映了在主要使用内存不安全语言开发的项目中典型的漏洞分布特征。这两种方式均阻止了侵扰传统语言的人工内存管理错误。

2025-06-26 18:48:42 61

转载思杰紧急修复已遭利用的NetScaler ADC严重漏洞

思杰 (Citrix) 发布安全更新，修复了已遭利用的影响 NetScaler ADC 的严重漏洞CVE-2025-6543，CVSS v4评分9.2。近日，思科还修复了位于 NetScaler ADC 中的另外一个严重漏洞CVE-2025-5777，CVSS评分9.3，被用于访问可疑设备。本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。思杰公司并未披露该漏洞如何被用于真实攻击中，但表示，“已观测到针对未修复设备的利用。

2025-06-26 18:48:42 127

转载思杰修复 NetScaler ADC 和 Gateway 中的严重漏洞

类似于另外一个常被称为“CitrixBleed（思杰出血）”的漏洞CVE-2023-4966，CVE-2025-5777可导致未授权攻击者通过恶意请求从面向互联网的 NetScaler 设备内存中窃取有效的会话令牌。思杰 (Citrix)修复了NetScaler ADC和NetScaler Gateway 中的一个严重漏洞CVE-2025-5777 (CVSS 评分9.3)，是因输入验证不充分造成的界外读漏洞。NetScaler ADC 12.1-FIPS 早于 12.1-55.328-FIPS的版本。

2025-06-25 18:34:29 126

转载奇安信荣膺NVDB-CAVD2025汽车信息安全春季赛第一名

近日，在“工信部网络安全威胁和漏洞信息共享平台-车联网产品安全漏洞专业库(NVDB-CAVD) 2025汽车信息安全春季赛”中，奇安信代码安全实验室凭借出色的技术能力，从15支参赛队伍中脱颖而出，荣获第一名，充分展现了公司在智能网联汽车信息安全领域的深厚技术积累与实战攻防能力。通过这样的竞赛机制，主办方希望引导更多安全研究人员关注汽车信息安全问题，将研究成果转化为实际应用，为行业安全建设贡献力量。负责人表示：“随着汽车智能化、网联化的发展，软件安全成为保障车辆整体安全的重要基石。对汽车的安全造成极大危害。

2025-06-24 20:56:08 33

转载 60+ GitHub 仓库被用于软件供应链攻击中

研究人员分析发现了67个伪造的 GitHub 仓库，动态生成的后门 payload，通过 Base64、十六进制和 Fernet 加密混淆的 Python 脚本，以及与 Banana Squad 团伙之前共享的恶意基础设施。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

2025-06-23 18:07:45 29

空空如也

空空如也