SAP 官方 npm 包受陷,被用于供应链攻击窃取凭据
可能因一个 npm 令牌通过配置错误的 CircleCI 任务被泄露造成。
代码卫士
Copy Fail: 仅732字节,通杀所有主流 Linux 发行版,隐藏9年的 root 提权漏洞
速修复
奇安信Qcode Agents亮相数字中国,以多智能体协同守护AI时代代码安全
奇安信Qcode Agents以多智能体协同架构,精准破解研发安全痛点,本次数字中国峰会重点展示了三大核心智能体的实战能力,实现安全防护与研发效率双重提升。
刚刚,cPanel紧急修复影响所有受支持版本的认证漏洞
速修复
仅凭一条 git push 命令,即可在 GitHub 实现RCE 并访问数百万仓库
速修复
Pipecat 语音代理可遭严重 RCE 漏洞利用劫持
速修复
Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
该漏洞源于两个相关的弱点:不安全的工作区信任处理和在 --yolo 模式下对工具允许列表的绕过机制。
已存在12年之久的Pack2TheRoot 漏洞可导致攻击者获得 Linux root 访问权限
速修复
OpenAI 推出GPT-5.5 生物漏洞奖励计划,最高赏金2.5万美元
速修复
Bitwarden CLI受陷,被指与Checkmarx 供应链攻击有关
Checkmarx 入侵事件与本攻击之间存在重叠的入侵指标。
苹果紧急修复可导致 FBI 恢复已删除 Signal 消息的漏洞
速修复
自传播供应链蠕虫劫持 npm 包,窃取开发人员令牌
研究人员提到,该攻击中使用的凭据窃取、数据外泄和自我传播技术与 TeamPCP 的 CanisterWorm 攻击相似,但现有证据无法得出确切的归因结论。
微软紧急修复严重的 ASP.NET 漏洞
谷歌修复 Antigravity IDE 漏洞,本可导致提示词注入代码执行
速修复
Mythos 疑遭未授权访问,Anthropic 称正在调查
Anthropic 公司称正在调查
因第三方AI工具受陷,Vercel 内部系统遭未授权访问
这条攻击链的完整过程值得了解,因为它揭示了现代“供应链”入侵越来越多地通过身份提供商(而非代码)进行传播的典型路径。
Anthropic MCP 设计漏洞可导致 RCE,威胁 AI 供应链安全
Flowise 及多个 AI 框架存在一个严重漏洞,导致数百万用户面临远程代码执行(RCE)风险
因漏洞数量激增,NIST 已停止对低优先级漏洞的评分
速修复
Protobuf 库中严重漏洞可导致 JavaScript 代码执行
速修复
思科紧急修复高危 ISE 漏洞
速修复
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)