众多AI 编程工具存在30+漏洞,可导致数据被盗和RCE
任何使用AI进行问题分类、PR标记、代码建议或自动回复的仓库,都面临提示注入、命令注入、密钥泄露、仓库泄露和上游供应链泄露的风险。
代码卫士
速修复!Apache Tika 中存在严重的满分XXE 漏洞
速修复
Cacti 高危漏洞可导致RCE
速修复
GitHub Actions 出现提示注入漏洞,影响财富500强公司
速修复
速修复!React满分漏洞同时影响 Next.js,可导致未认证RCE
速修复
微软悄悄修复多年前就已遭利用的 LNK 漏洞
速修复
OpenAI 编程代理中高危漏洞可用于攻击开发人员
已修复
谷歌修复107个安卓漏洞,其中2个已遭利用
速修复
CISA 将 OpenPLC ScadaBR 纳入必修清单
速修复
黑客声称窃取美国奔驰公司的法务和客户数据
双方均未就此事置评
GitLab 公开仓库暴露超过1.7万份机密信息
仍有数量不明的敏感信息遭暴露
GeoServer 高危漏洞可导致未认证XXE
已修复
Python遗留包中易受攻击代码可用于攻击PyPI
可引发重大供应链安全风险
第三方供应商导致OpenAI客户数据遭泄露
目前仍在监测中
热门JavaScript 加密库 Forge 修复签名验证绕过漏洞
速修复
华硕紧急修复9个漏洞,包括1个严重的认证绕过漏洞
速更新
马自达表示 Oracle 遭入侵并未造成数据泄露或运营影响
速修复
代码美化工具泄露敏感行业企业数千密码和API密钥
多数机构尚未修复
Grafana SCIM 中存在严重漏洞,可导致身份冒充或提权
速修复
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
攻击者从单纯的数据盗取升级到了惩罚性的蓄意破坏
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)