This page collects WhisperX intelligence signals tagged #供应链攻击. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
流行的 React 样式库 styled-components 的一个旧版本(4.2.1)被发现依赖一个包含多个高危安全漏洞的 lodash 版本。安全扫描报告显示,该依赖项中至少存在四个漏洞,其中最高严重性评分为 7.4(高危)。值得注意的是,尽管漏洞严重,但自动化工具将其标记为“不可达”,这可能意味着漏洞代码路径在特定应用上下文中未被直接调用,但这绝不等于风险不存在。 具体漏洞涉及 lodash 版本 4.17.11。其中两个被明确标识:CVE-2020-8203(CVSS 7.4)和 CVE-2021-23337(CVSS 7.2)。后者已有概念验证(Proof of concept)利用代码存在。这些漏洞通常涉及原型污染(...
广泛使用的 JavaScript HTTP 客户端库 Axios 爆出严重安全漏洞 CVE-2026-40175。该漏洞揭示了一个危险的“攻击链”路径:攻击者可利用任何第三方依赖中的原型污染漏洞,将其升级为远程代码执行或完整的云元数据泄露。这并非 Axios 自身的直接漏洞,而是其作为“跳板”或“攻击组件”的角色,放大了依赖生态中现有漏洞的潜在危害。该漏洞的核心在于,恶意构造的请求头可通过 Axios 的特定处理逻辑,将原型污染的影响范围从本地 JavaScript 对象扩展到服务器端,进而可能访问并泄露云服务提供商(如 AWS、GCP、Azure)分配给实例的敏感元数据。 此次披露的漏洞影响 Axios 1.13.5 及更早版本...
Spring Boot 生态中的一个核心依赖组件被曝存在严重安全风险。开源安全扫描报告显示,`spring-boot-starter-web-2.6.6.jar` 库中发现了多达 21 个安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3),属于危急级别。该漏洞直接影响依赖此版本的应用程序,为攻击者提供了潜在的远程代码执行或拒绝服务攻击的入口。 漏洞的根本来源是传递依赖 `spring-webmvc-5.3.18.jar`。报告明确指出,该问题在 GitHub 项目 WebGoat 的特定提交中被发现,路径指向了标准的 Maven 本地仓库。这表明,任何使用此版本 Spring Boot Starter Web 构建的 J...
Spring Boot 生态核心组件 `spring-boot-starter-2.6.5.jar` 被安全扫描工具检出存在 25 个安全漏洞,其中最高严重性评分为 CVSS 9.8 的“严重”级别。更关键的是,这些漏洞被标记为“可达的”,意味着攻击者有可能通过网络请求等途径实际利用这些漏洞,而非仅存在于未使用的代码库中。该漏洞链的根源指向依赖项 `logback-core-1.2.11.jar`,路径显示其通过 `spring-cloud-function/3.2.2` 项目被引入。 此次曝光的漏洞清单中包含了臭名昭著的 Spring4Shell 漏洞(CVE-2022-22965),该漏洞曾引发大规模安全警报。扫描报告明确指出...
Anthropic的模型上下文协议(MCP)架构中曝出一个关键的“设计缺陷”漏洞,该漏洞允许攻击者在运行MCP服务器的任何系统上执行任意命令,构成严重的远程代码执行(RCE)风险。这一披露直接冲击了依赖MCP的AI工具链,包括Fetter MCP服务器等,迫使相关团队必须立即进行安全审查。该漏洞并非简单的实现错误,而是根植于协议设计本身,使其影响范围广泛且修复复杂。 与此同时,Vercel近期因第三方AI工具被入侵而遭遇的数据泄露事件,进一步凸显了AI供应链攻击模式的现实威胁。这种攻击模式与Fetter IO、VulnSig等安全工具所针对的供应链完整性挑战高度相关。两起事件共同指向一个核心问题:随着AI开发工具和基础设施的深度集...
В конце прошлой недели популярный npm-пакет bitwarden/cli, используемый для работы с менеджером паролей Bitwarden из командной строки, был скомпрометирован злоумышленниками. Вместо штатного инструмента пакет стал распространять инфостилер — вредоносное ПО, предназначенное для кражи конфиденциальных данных с заражённых ...