This page collects WhisperX intelligence signals tagged #网络安全. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
在开源依赖扫描中,Apache Log4j 2.6.1版本被标记存在三个高危漏洞,其中CVE-2021-44228的CVSS评分达到满分10.0,且漏洞利用成熟度被评估为“高”。该漏洞允许攻击者通过特制的日志消息远程执行任意代码,对全球范围内使用此版本日志框架的Java应用程序构成严重威胁。同时被发现的还有CVE-2017-5645(CVSS 9.8分)和另一个未在摘要中完全显示的漏洞,这些漏洞均属于直接依赖项,意味着风险直接暴露。 此次扫描的漏洞库文件为`log4j-core-2.6.1.jar`,其路径指向一个示例项目的Maven配置文件。CVE-2021-44228即臭名昭著的“Log4Shell”漏洞,曾在全球引发大规模安...
Go 语言流行 HTTP 客户端库 Go-Resty 的 v2.13.1 版本,其核心依赖项 `golang.org/x/net` 被检出两个安全漏洞,最高严重性评分为 5.3(中等)。该漏洞通过自动化安全扫描在项目 `aigency-v1.0.0` 的代码库中被发现,直接影响路径为 `/home/wss-scanner/go/pkg/mod/cache/download/golang.org/x/net/@v/v0.25.0.mod`。这表明任何使用此特定版本 Go-Resty 的项目,都可能无意中引入了上游依赖的安全风险。 漏洞详情指向 `golang.org/x/net` 库,这是 Go 语言网络编程的基础组件,被 Go-R...
一个严重的安全漏洞已在高人气 HTTP 客户端库 Axios 的 1.13.2 版本中被确认。该漏洞被标记为 CVE-2026-25639,其通用漏洞评分系统(CVSS)分数高达 7.5,属于高危级别。关键点在于,该漏洞被评估为“可被利用”,这意味着攻击者有可能在特定条件下利用此缺陷。对于依赖此版本 Axios 的 Node.js 和浏览器项目而言,这构成了直接的安全风险。 该漏洞的具体细节尚未完全公开,但已知影响 Axios 1.13.2 版本。漏洞报告明确指出,其影响路径位于 `/ui-plugins/muse-runner-ui/package.json` 文件中,表明该漏洞在特定项目配置下是“可触达的”。这意味着,如果应用...
一个被标记为“高危”的安全漏洞正在影响广泛使用的 JavaScript 加密库 node-forge。该漏洞(CVE-2025-12816)存在于 1.3.1 及更早版本中,允许远程、未经身份验证的攻击者精心构造 ASN.1 数据结构,导致模式验证不同步。这种语义分歧可能绕过下游的加密验证和安全决策,为攻击者打开后门。漏洞由 Hunter Wodzenski 报告,并被归类为解释冲突(CWE-436)漏洞。 node-forge 是一个用于处理 TLS、PKI、消息摘要和加密的流行工具库,被无数 Node.js 项目和 Web 应用所依赖。此次漏洞的核心在于其 ASN.1 解析器。攻击者可以利用此缺陷,使应用程序对恶意构造的证书或...
On 11 March 2026, the Ministry of Industry and Information Technology formally issued six guidance recommendations on protection against security risks for OpenClaw open-source smarts through an online security threat and gap information platform. The proposal addresses possible security risks in typical applications f...
在流行的 CSS 框架 TailwindCSS 的 3.3.3 版本软件包中,发现了 7 个安全漏洞,其中最高严重性评分为 7.5(高危)。该漏洞包(tailwindcss-3.3.3.tgz)已被识别为易受攻击的库,其依赖路径指向一个名为 Athena 的 GitHub 项目中的 `/playground/package.json` 文件。这一发现源于对特定代码提交(2c2e4a13b710ceb8f65cd32664895e4278834389)的扫描,表明该漏洞已存在于项目代码库中。 漏洞详情显示,其中一个被标记为 CVE-2026-33671 的漏洞被评定为“高危”级别,其通用漏洞评分系统(CVSS)分数为 7.5。虽然完...
一个关键的 Webpack 插件被发现存在严重的安全漏洞。在 `sw-precache-webpack-plugin-0.11.5.tgz` 中,安全扫描揭示了 23 个漏洞,其中最高严重性评分为 9.8 分(CVSS v3),且部分漏洞被标记为“可被利用”。该插件用于在 Webpack 构建流程中集成 Service Worker,其依赖链中的缺陷直接暴露了使用它的应用程序。 漏洞详情显示,问题主要存在于传递依赖项中。例如,`minimist-1.2.0.tgz` 存在一个评分为 9.8 的严重漏洞(CVE-2021-44906),而 `lodash.template-4.4.0.tgz` 则存在另一个评分为 9.1 的严重漏洞...
一个被标记为“高危”(HIGH)的安全漏洞正在影响广泛使用的加密库 node-forge。该漏洞(CVE-2025-12816)存在于 1.3.1 及更早版本中,允许远程、未经身份验证的攻击者通过精心构造的 ASN.1 数据结构,使模式验证过程“去同步”,导致语义分歧。这种分歧的核心风险在于,它可能绕过下游的加密验证和安全决策,为攻击者打开后门。漏洞由安全研究员 Hunter Wodzenski 报告,并已获得 CVE 和 GitHub 安全公告(GHSA-5gfm-wpxj-wjgq)的正式标识。 node-forge 是一个在 Node.js 生态系统中广泛使用的 JavaScript 加密工具库,用于处理 TLS、X.509...
A month-long campaign entitled “Cleana AI to Good” was announced on the recent day of the Beijing City Information Office, with the aim of further correcting the misuse of AI technology, maintaining the clean web environment and promoting the healthy development of artificial intelligence technologies. The campaign foc...
自动化工作流平台 n8n 的一个关键版本镜像在部署流程中被安全门强制拦截。n8n 2.14.2 镜像被检出包含 13 个严重或高危级别的通用漏洞披露(CVE),其中 4 项发现需要人工介入审查。这一事件直接触发了基于漏洞存在时长(Age)的安全策略,因为有两个漏洞的公开时间已超过 30 天,这通常意味着攻击者有更充分的时间研究并利用它们。尽管此次扫描未发现被列入美国网络安全和基础设施安全局(CISA)已知被利用漏洞(KEV)目录的条目,也未标记出利用预测评分系统(EPSS)风险为高或严重的漏洞,但大量已知高危漏洞的集中出现,已构成明确的部署风险。 此次安全警报由 GitHub Actions 工作流在 2026 年 3 月 30 ...
一款名为 Crashmail 的邮件应用被曝存在一个严重的安全漏洞,攻击者无需任何权限即可远程执行任意代码。该漏洞被标记为 CVE-2018-25223,其通用漏洞评分系统(CVSS)评分高达 9.8 分,属于最高级别的“严重”风险。GitHub 安全公告(GHSA)同样将其归类为“严重”级别,并确认其核心问题是 CWE-787 类型的“越界写入”漏洞。 具体而言,Crashmail 1.6 版本中存在一个基于栈的缓冲区溢出漏洞。远程攻击者可以通过向应用程序发送恶意构造的输入来触发此漏洞。利用此漏洞,攻击者能够构建包含ROP链的载荷,从而在应用程序的上下文中执行任意代码。即使利用尝试失败,也可能导致应用程序崩溃,引发拒绝服务。该漏...
Vercel 旗下的主流 React 框架 Next.js 被曝存在一个高危的服务器端请求伪造 (SSRF) 漏洞,编号为 CVE-2024-34351。该漏洞直接影响 Next.js 的 Server Actions 功能,可能允许攻击者通过构造恶意请求,诱使服务器向内部或外部网络发起非预期的 HTTP 请求,从而访问或攻击内部服务。安全研究人员已通过 GitHub 安全公告 (GHSA-fr5h-rqp8-mj6g) 披露了此漏洞的细节。 此次漏洞的修复已包含在 Next.js 的版本更新中。自动化依赖管理工具 Renovate 已发布更新 PR,建议将 Next.js 从存在漏洞的版本(如 ^13.5.0)升级至已修复的版本...
一份来自代码依赖扫描的报告揭示了关键风险:一个广泛使用的日志组件 `log4j-core-2.6.1.jar` 中同时存在三个已公开的高危漏洞,其中最高严重性评分为CVSS 10.0满分。这意味着任何仍在使用此版本库的软件项目,其系统都面临着被远程代码执行的直接威胁。漏洞利用成熟度被标记为“高”,且利用预测评分(EPSS)高达94.4%,表明攻击活动极有可能正在发生。 涉事库为Apache软件基金会的Log4j 2核心实现。报告明确指出,三个漏洞均为“直接”依赖引入。除了臭名昭著的Log4Shell(CVE-2021-44228,CVSS 10.0)外,还包括CVE-2021-45046以及一个更早的CVE-2017-5645(C...
Sentry SDK 2.44.0 版本的核心依赖库 `urllib3` 被曝存在五个安全漏洞,其中最高严重性评分为 CVSS 8.9 分,构成严重安全风险。该漏洞并非直接存在于 Sentry SDK 代码中,而是通过其依赖的 `urllib3` 库引入。扫描报告显示,漏洞库路径位于多个 Python 虚拟环境的 `site-packages` 目录下,表明该依赖已被广泛部署于相关应用环境中。 具体漏洞细节包括 CVE-2026-21441 等,其 CVSS 评分、可利用性成熟度(Exploit Maturity)和利用概率评分(EPSS)等指标均已公开。报告明确指出,这些漏洞的根源在于 `urllib3` 库,而 Sentry ...
Go 语言核心网络库 `golang.org/x/net` 中发现两个安全漏洞,可能影响依赖该库的应用程序的代理配置安全。这两个漏洞被标记为 CVE-2025-22870 和 CVE-2025-22872,其中 CVE-2025-22870 的细节已披露。该漏洞源于主机名与代理模式匹配的逻辑缺陷,在处理 IPv6 地址时,可能错误地将 IPv6 的区域标识符(zone ID)当作主机名的一部分进行匹配。例如,当 `NO_PROXY` 环境变量设置为 `*.example.com` 时,对 `[::1%25.example.com]:80` 的请求会被错误地判定为匹配,从而绕过代理设置,可能导致流量被发送到非预期的目的地。 该漏洞的...
DriftGuard 安全扫描器在一处 GitHub 代码仓库的依赖关系中,发现了一个被评定为“高危”级别的通用漏洞披露(CVE)。该漏洞的通用漏洞评分系统(CVSS)分数大于等于 7,对依赖该开源组件的项目构成了直接的安全风险。此次扫描覆盖了 Go 语言生态系统,并基于 OSV 数据库的权威漏洞信息,表明该风险并非误报,而是需要立即关注的真实威胁。 具体而言,漏洞涉及 `github.com/docker/docker` 包的第 28.5.2 版本。该漏洞被标记为三个独立的标识符:`GHSA-x744-4wpc-v9h2`、`GHSA-pxq6-2prw-chj9` 和 `GO-2026-4883`,均指向同一个高风险安全问题。...
一个针对广泛使用的 JavaScript HTTP 客户端库 Axios 的严重安全警告正在开发社区中传播。依赖版本 0.19.2 的项目被标记为存在已知的安全漏洞,安全扫描工具已发出紧急警报,强烈建议立即合并并部署修复补丁。此次升级并非普通的功能迭代,而是直接针对可能被利用的特定安全缺陷。 核心问题在于 Axios 旧版本中的一个关键组件 `mergeConfig` 存在漏洞。根据 GitHub 安全公告(GHSA-43fc-jf86-j433),攻击者可以通过构造包含特定 `__proto__` 键的恶意配置对象,触发拒绝服务攻击,导致应用程序崩溃或资源耗尽。这意味着任何仍在使用受影响旧版本 Axios 的 Web 应用、No...
一个广泛使用的 JavaScript HTTP 客户端库 Axios 被曝存在严重安全漏洞,其 1.8.2 版本中一个直接依赖漏洞的 CVSS 评分高达 9.9 分,属于最高级别的严重风险。该漏洞目前尚无官方修复补丁,意味着全球数百万依赖此库的 Node.js 和前端项目正暴露在潜在的供应链攻击之下。安全扫描报告显示,该漏洞的修复状态为“不可用”,且其“可及性”路径直接指向核心库,使得攻击者可能更容易利用。 此次安全警报源于对 `axios-1.8.2.tgz` 包的自动化扫描。除了这个评分为 9.9 的严重漏洞(CVE-2025-62718),扫描还发现了另外四个高危漏洞,包括一个评分为 8.7 的漏洞(CVE-2025-778...
Vue.js 生态核心国际化插件 `vue-i18n` 的 9.2.2 版本被确认存在两个高危安全漏洞,其中最高严重性评分为 CVSS 8.2 分,且攻击路径被标记为“可达”。这意味着依赖此版本的应用程序面临被远程利用的现实风险。该漏洞直接影响使用 `/src/Administration/Resources/app/administration/package.json` 路径下依赖包的项目,暴露了前端应用供应链中的关键弱点。 具体漏洞为 CVE-2025-27597。该漏洞的细节已由安全厂商 Mend(前身为 WhiteSource)收录并公开。报告明确指出,漏洞存在于 `vue-i18n-9.2.2.tgz` 这个特定的 n...
流行的 JavaScript HTTP 客户端库 axios 发布了 1.15.0 版本,此次更新包含两项关键的安全修复,直接针对可能被利用于发起服务器端请求伪造(SSRF)和 HTTP 请求走私攻击的漏洞。对于依赖 axios 处理网络请求的 Node.js 应用和服务而言,这些修复至关重要,尤其是那些处理用户输入或代理配置的应用。 此次版本升级从 1.7.9 跨越至 1.15.0,核心更新在于安全层面。第一个修复针对 `no_proxy` 主机名标准化绕过问题,该漏洞可能导致攻击者绕过代理限制,诱使服务器向内部或受保护网络发起非预期请求,即 SSRF 攻击。第二个修复则解决了 HTTP 请求走私的潜在风险,这类漏洞可能被用于毒...