This page collects WhisperX intelligence signals tagged #供应链安全. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
在开源依赖扫描中,Apache Log4j 2.6.1版本被标记存在三个高危漏洞,其中CVE-2021-44228的CVSS评分达到满分10.0,且漏洞利用成熟度被评估为“高”。该漏洞允许攻击者通过特制的日志消息远程执行任意代码,对全球范围内使用此版本日志框架的Java应用程序构成严重威胁。同时被发现的还有CVE-2017-5645(CVSS 9.8分)和另一个未在摘要中完全显示的漏洞,这些漏洞均属于直接依赖项,意味着风险直接暴露。 此次扫描的漏洞库文件为`log4j-core-2.6.1.jar`,其路径指向一个示例项目的Maven配置文件。CVE-2021-44228即臭名昭著的“Log4Shell”漏洞,曾在全球引发大规模安...
OpenBao 项目的 `release/2.4.x` 分支代码中,发现一处由上游依赖引入的高危安全漏洞(GO-2026-4394)。该漏洞源于 Go 语言的 OpenTelemetry SDK(go.opentelemetry.io/otel/sdk),存在通过 PATH 环境变量劫持实现任意代码执行的风险。安全扫描工具 govulncheck 已标记此漏洞在代码库中为“可触达”(REACHABLE)状态,表明攻击路径存在。 漏洞直接影响 OpenBao 的多个核心功能模块。受影响的代码位置包括 PKI 证书管理(`acme_errors.go`, `pki_cluster.go`)、服务端与代理端主程序(`agent.go`,...
一份来自代码依赖扫描的报告显示,Apache Log4j 2.6.1 版本的核心库 `log4j-core-2.6.1.jar` 存在三个严重漏洞,其中最高严重性评分为 CVSS 10.0 满分。该版本作为直接依赖项被广泛使用,意味着大量基于 Java 的应用程序和服务面临潜在远程代码执行风险。漏洞利用成熟度被评估为“高”,且利用预测评分系统(EPSS)显示攻击概率高达 94.4%,表明该组件已成为活跃攻击的明确目标。 具体漏洞包括臭名昭著的 Log4Shell(CVE-2021-44228,CVSS 10.0)、CVE-2021-45046 以及一个更早的 CVE-2017-5645(CVSS 9.8)。报告明确指出,这些漏洞均...
一个广泛使用的 Python 核心库 pyasn1 的 0.5.0 版本被确认存在两个安全漏洞,其中最高严重性评分为 7.5 分(CVSS v3)。该库是 ASN.1 类型和 DER/BER/CER 编解码器的纯 Python 实现,是许多网络协议、加密和安全工具的基础依赖。此次漏洞的发现直接暴露了依赖该版本的大量软件供应链的安全风险。 漏洞详情显示,问题存在于 `pyasn1-0.5.0-py2.py3-none-any.whl` 这个特定版本中。该库通过 Python 包索引(PyPI)分发,路径通常位于项目的 `requirements.txt` 依赖文件中。虽然报告未披露具体的漏洞利用细节,但 7.5 的 CVSS 评分表...
广泛使用的 JavaScript 通配符匹配库 `picomatch` 曝出高危安全漏洞,影响版本 4.0.0 至 4.0.3。该漏洞被评定为 CVSS 7.5 的高危级别,攻击者可利用其发起正则表达式拒绝服务(ReDoS)攻击,导致应用性能急剧下降甚至服务中断。`picomatch` 作为众多流行工具(如 Webpack、Gulp)的传递依赖,其潜在影响范围巨大,任何未及时更新的项目都可能面临服务瘫痪的风险。 漏洞详情指向两个核心问题。第一个是编号为 GHSA-c2c7-rcm5-vvqj 的 ReDoS 漏洞,源于 `extglob` 量词处理不当,攻击者通过构造恶意的通配符模式,可触发正则表达式引擎的灾难性回溯,从而耗尽服务...
在 DimaMend/V-Achilles 项目的代码库中,一个广泛使用的 HTTP 客户端库 axios 的过时版本被标记为存在严重安全风险。自动化安全扫描在提交 `11d21c5fccd238699f5c2bd3370cb76b77ce750a` 中检测到 `axios-0.21.4.tgz` 包含六个已知漏洞,其中最高严重性评分为 7.5(CVSS 评分)。关键点在于,这些漏洞被标记为“可被利用”,意味着攻击路径在项目的 `/baak-dataload-sql/package.json` 和 `/achilles-frontend/package.json` 依赖文件中是可达的,显著增加了实际被攻击的风险。 该漏洞影响的是一...
Apache Commons IO 库的核心组件 `XmlStreamReader` 被曝存在一个可导致 CPU 资源被恶意耗尽的严重漏洞(CVE-2024-47554)。该漏洞允许攻击者通过构造特定的恶意输入,触发无限循环或异常的资源消耗,从而可能使依赖该库的应用程序或服务陷入瘫痪。这一资源耗尽型漏洞影响范围极广,涵盖了从 2.0 版本开始直至 2.13.0 的所有 Apache Commons IO 版本。 漏洞的根源在于 `org.apache.commons.io.input.XmlStreamReader` 类在处理输入时缺乏有效的资源控制机制。当该组件解析一个精心设计的恶意输入流时,会陷入高强度的 CPU 计算,无法正...
一个被标记为“高危”的安全漏洞正在影响广泛使用的 JavaScript 加密库 node-forge。该漏洞(CVE-2025-12816)存在于 1.3.1 及更早版本中,允许远程、未经身份验证的攻击者精心构造 ASN.1 数据结构,导致模式验证不同步。这种语义分歧可能绕过下游的加密验证和安全决策,为攻击者打开后门。漏洞由 Hunter Wodzenski 报告,并被归类为解释冲突(CWE-436)漏洞。 node-forge 是一个用于处理 TLS、PKI、消息摘要和加密的流行工具库,被无数 Node.js 项目和 Web 应用所依赖。此次漏洞的核心在于其 ASN.1 解析器。攻击者可以利用此缺陷,使应用程序对恶意构造的证书或...
Python 代码语法高亮库 Pygments 的 2.19.2 版本被确认存在一个正则表达式拒绝服务漏洞,目前官方尚未发布修复版本。该漏洞被标记为 CVE-2026-4539,CVSS v3 评分为 3.3,属于低危级别。这意味着依赖此版本的项目面临潜在的服务中断风险,但攻击门槛和影响范围相对有限。 漏洞具体存在于 `pygments/lexers/archetype.py` 文件中的 `AdlLexer` 组件。攻击者可通过构造特定的恶意输入触发低效的正则表达式匹配,从而导致进程陷入长时间计算,消耗大量 CPU 资源,最终可能使相关服务无响应。虽然严重性评级不高,但对于任何在生产环境中使用 Pygments 进行代码高亮或解析...
Blockchyp-ts 库的一次关键安全更新,直接移除了不必要的 npm 运行时依赖,并升级了包括 axios 在内的多个过时包,将已知漏洞总数从 22 个大幅削减至 4 个。此次修复彻底清除了所有“关键”和“高”严重性漏洞,显著提升了该 TypeScript 客户端库的安全性。 此次 PR 的核心行动是移除 npm CLI 依赖,因其在运行时并非必需,此举简化了依赖树并消除了相关风险。同时,对多个关键包进行了升级:axios 从 ^1.9.0 升级至 ^1.13.6,修复了 GHSA-4hjh-wcwx-xvwj 和 GHSA-43fc-jf86-j433 两个拒绝服务(DoS)漏洞;moment 升级至 ^2.30.1,修复...
LangChain 0.1.20 版本的核心依赖库中发现了 12 个安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3.1),属于关键级别。这些漏洞直接存在于 `langchain-community` 和 `langchain-core` 等核心组件中,意味着任何使用该版本构建的 LLM 应用都可能面临直接攻击路径。漏洞详情显示,CVE-2024-8309 的 CVSS 评分高达 9.8,而 CVE-2025-68664 的评分也达到 9.3,两者均被标记为“关键”级别。 此次漏洞报告源自对 `pyproject.toml` 依赖文件的扫描,受影响库的路径位于虚拟环境的 `site-packages` 目录下。具体而言,...
LangChain 0.2.7 版本的核心依赖库 `langchain_core-0.2.43` 被曝存在一个 CVSS 评分高达 9.3 分的严重漏洞(CVE-2025-68664),且该漏洞被安全扫描工具标记为“不可达”(Unreachable)。这意味着依赖此版本的应用程序可能暴露在严重的安全风险之下,而自动化的修复路径目前可能受阻。此次扫描共发现 9 项安全漏洞,其中还包括一项 CVSS 8.2 分的高危漏洞(CVE-2025-65106),凸显了该版本依赖链的脆弱性。 漏洞报告明确指出,这些发现源自对 `langchain-0.2.7-py3-none-any.whl` 软件包的扫描。最关键的 CVE-2025-6866...
Spring Boot 生态的核心依赖 `spring-boot-starter-web-2.7.1.jar` 被安全扫描工具检出存在 18 个安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3),属于严重级别。这一发现直接指向了项目 `/pom.xml` 中引入的底层库 `spring-web-5.3.21.jar`,表明一个广泛使用的企业级开发框架组件存在显著的安全风险。 漏洞详情显示,受影响的库路径为 `/home/wss-scanner/.m2/repository/org/springframework/spring-web/5.3.21/spring-web-5.3.21.jar`。该问题已在 GitHub 仓...
开源包 `filesniffer-1.0.3.tgz` 被检测出一个严重安全漏洞,CVSS 评分为 6.5(中等)。该漏洞并非直接存在于 `filesniffer` 本身,而是潜伏在其深层依赖链中——具体路径为 `/node_modules/filehound/node_modules/brace-expansion/package.json`。这意味着任何引入 `filesniffer` 的项目,其安全防线都可能因这个间接依赖而被悄然突破。该漏洞已在 GitHub 仓库 `GarySegal-Mend-DemoCorp/JuiceShop` 的特定提交(55db57ec3f9859e87962c0bf25387e43480847f...
一个关键的 AI 开发框架被发现存在严重的安全隐患。在 GitHub 仓库 `rsoreq-mend/AutoPrompt` 的依赖项中,检测到 `langchain-0.1.11-py3-none-any.whl` 这个 Python 包存在 41 个安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3)。这个评分意味着漏洞具有极高的潜在危害性,通常涉及远程代码执行或严重的数据泄露风险。该漏洞库被标记为项目的直接依赖项,路径指向 `/Pipfile`,表明任何使用此特定版本 LangChain 构建的应用程序都可能直接暴露于这些风险之下。 LangChain 是一个用于通过可组合性构建大型语言模型(LLM)应用程序的流行框...
一个广泛使用的 Node.js 网络框架的核心依赖包中,潜伏着 12 个未修复的安全漏洞,其中两项被标记为高危。这份来自 GitHub 依赖项扫描的报告显示,`express-4.17.1.tgz` 及其传递依赖中,存在多个 CVSS 评分高达 7.5 的漏洞,包括 CVE-2022-24999 (qs 库) 和 CVE-2024-45296 (path-to-regexp 库)。尽管扫描工具将这些漏洞标记为“不可达”,但这并不意味着风险为零,而是表明攻击路径在当前代码库中未被直接利用。然而,这些已知漏洞缺乏官方修复版本,且其“利用成熟度”尚未定义,为依赖此旧版本 Express 的应用程序留下了潜在的攻击面。 问题根植于 Exp...
Cypress 测试框架的关键依赖 `browserify-preprocessor` 版本 1.1.2 被曝存在 68 个安全漏洞,其中最高严重性等级为 CVSS 10.0 分的满分高危缺陷。该预处理器用于通过 Browserify 打包 JavaScript,其漏洞风险已通过自动化安全扫描工具 Mend 被识别并标记为“可被利用”。这一发现直接暴露了依赖该库的软件供应链的严重安全隐患。 扫描报告显示,在已列出的 23 项发现中,包含一个 CVSS 评分 10.0 的“严重”级别漏洞 CVE-2025-6545,影响传递性依赖 `pbkdf2-3.0.17.tgz`。尽管该特定漏洞的利用成熟度“未定义”且 EPSS 评分低于 1...
一个被标记为“高危”(HIGH)的安全漏洞正在影响广泛使用的加密库 node-forge。该漏洞(CVE-2025-12816)存在于 1.3.1 及更早版本中,允许远程、未经身份验证的攻击者通过精心构造的 ASN.1 数据结构,使模式验证过程“去同步”,导致语义分歧。这种分歧的核心风险在于,它可能绕过下游的加密验证和安全决策,为攻击者打开后门。漏洞由安全研究员 Hunter Wodzenski 报告,并已获得 CVE 和 GitHub 安全公告(GHSA-5gfm-wpxj-wjgq)的正式标识。 node-forge 是一个在 Node.js 生态系统中广泛使用的 JavaScript 加密工具库,用于处理 TLS、X.509...
一个近十年前发布的 Express.js 4.13.4 版本,其深层依赖链中潜伏着五个未修复的高危安全漏洞,每个漏洞的 CVSS 评分均高达 7.5 分。这些漏洞并非存在于 Express 核心代码中,而是来自其传递依赖项,包括 `negotiator`、`fresh` 和 `path-to-regexp` 等关键中间件库。安全扫描报告显示,所有漏洞的“修复版本”一栏均为“N/A”,且“可用修复”状态为“❌”,这意味着官方并未提供直接的升级补丁。 这些漏洞的 CVE 编号横跨 2016 年至 2024 年,其中最古老的 CVE-2016-10539 已存在近八年,而最新的 CVE-2024-52798 于去年披露。尽管漏洞的利用成...
OpenBao 项目的一个长期支持分支中,发现了一个可被利用的加密漏洞,直接威胁到其核心的密钥管理功能。安全扫描工具 govulncheck 在 `openbao/openbao` 代码库的 `release/2.4.x` 分支中,确认了编号为 GO-2026-4550 的漏洞是“可触达的”。这意味着攻击者有可能通过特定路径触发该漏洞,从而影响系统的加密操作。该漏洞源于两个关键的底层依赖库:`github.com/ProtonMail/[email protected]` 和 `github.com/cloudflare/[email protected]`。 具体而言,漏洞存在于 Cloudflare 的 CIRCL 密码学库中,涉及 se...