This page collects WhisperX intelligence signals tagged #软件供应链. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
Go 语言流行 HTTP 客户端库 Go-Resty 的 v2.13.1 版本,其核心依赖项 `golang.org/x/net` 被检出两个安全漏洞,最高严重性评分为 5.3(中等)。该漏洞通过自动化安全扫描在项目 `aigency-v1.0.0` 的代码库中被发现,直接影响路径为 `/home/wss-scanner/go/pkg/mod/cache/download/golang.org/x/net/@v/v0.25.0.mod`。这表明任何使用此特定版本 Go-Resty 的项目,都可能无意中引入了上游依赖的安全风险。 漏洞详情指向 `golang.org/x/net` 库,这是 Go 语言网络编程的基础组件,被 Go-R...
在流行的 CSS 框架 TailwindCSS 的 3.3.3 版本软件包中,发现了 7 个安全漏洞,其中最高严重性评分为 7.5(高危)。该漏洞包(tailwindcss-3.3.3.tgz)已被识别为易受攻击的库,其依赖路径指向一个名为 Athena 的 GitHub 项目中的 `/playground/package.json` 文件。这一发现源于对特定代码提交(2c2e4a13b710ceb8f65cd32664895e4278834389)的扫描,表明该漏洞已存在于项目代码库中。 漏洞详情显示,其中一个被标记为 CVE-2026-33671 的漏洞被评定为“高危”级别,其通用漏洞评分系统(CVSS)分数为 7.5。虽然完...
Sigstore 项目下的关键软件供应链组件 Rekor 透明度日志服务器被曝存在一个严重的服务器端请求伪造 (SSRF) 漏洞。该漏洞编号为 CVE-2026-24117,允许攻击者通过操纵提供给 Rekor 的公钥 URL,诱使服务器向内部网络或受保护的系统发起未经授权的 HTTP 请求。这为攻击者探测内部基础设施、访问敏感数据或发起进一步攻击开辟了潜在路径。 漏洞存在于 `github.com/sigstore/rekor` 模块中,具体是通过用户提供的公钥 URL 触发。Rekor 是 Sigstore 生态系统的核心部分,用于创建不可篡改的软件制品签名记录,被广泛用于保障容器镜像、二进制文件等软件供应链的完整性与来源可信...
广泛使用的数据压缩库 zlib 曝出新的安全漏洞 CVE-2026-27171,该漏洞可能导致受影响系统出现CPU资源耗尽。漏洞根源在于 `crc32_combine64` 和 `crc32_combine_gen64` 函数中,`x2nmodp` 函数可能在一个没有终止条件的循环内执行右移操作。这意味着,在特定条件下,处理恶意构造的输入数据可能触发无限循环或极高的CPU占用,从而引发拒绝服务(DoS)风险。 该漏洞已在 zlib 1.3.2 版本中得到修复。维护者 Mark Adler 已在 GitHub 上提交了修复代码。所有依赖 zlib 进行数据压缩或校验和计算的软件项目,特别是那些处理不可信输入的网络服务、应用程序和嵌入...
自动化工作流平台 n8n 的一个关键版本镜像在部署前被安全门强制拦截。n8n 2.17.2 镜像在自动安全扫描中被检出 5 个严重或高危的通用漏洞披露(CVE),其中至少 1 个漏洞的公开时间已超过 30 天,触发了基于漏洞年龄的安全策略,导致其无法自动通过部署流程。这一事件凸显了在持续集成/持续部署(CI/CD)管道中,对第三方软件依赖进行严格安全审查的必要性。 此次安全警报由 GitHub Actions 工作流中的自动化安全扫描触发。扫描报告显示,该镜像虽然未触发美国网络安全和基础设施安全局(CISA)已知被利用漏洞(KEV)目录,也未达到利用预测评分系统(EPSS)的高风险阈值,但其存在的多个长期未修复的高危 CVE 构成...