高危lz4-java漏洞可能导致敏感数据泄露（CVE-2025-66566）

广泛使用的LZ4压缩算法Java库lz4-java近日被发现存在一个高危漏洞。该漏洞编号为CVE-2025-66566，其CVSS评分为8.2，表明其对数据机密性构成重大威胁。攻击者可以利用该漏洞诱骗

215万台运行Next.js的Web服务暴露于互联网，CVSS10分漏洞需紧急修复

12月3日，React披露了编号为CVE-2025-55182的关键漏洞，该漏洞存在于React服务器组件中，其CVSS评分为满分10分。漏洞源于React服务器组件所使用的“Flight”协议中存在

Cursor等AI编程工具曝30余项漏洞，可导致数据窃取与远程代码执行

近期，研究人员在各类人工智能（AI）集成开发环境（IDE）中发现了三十多个安全漏洞。这些漏洞能够将提示词注入攻击手法与IDE的合法功能相结合，从而实现数据窃取与远程代码执行。Part01漏洞概述：攻击

每周PDF资源：苹果锁屏漏洞探究；Javassist代码审计关键点实践；网络安全实验教程；计算机病毒揭秘与对抗，网络防卫计划

念古诗绕过AI安全护栏：25款顶尖模型栽跟头，模糊语义成安全大漏洞

Part01一首诗 “放倒” AI 安全墙？危险内容竟能轻松获取对人类来说，诗歌有时是 “猜不透的艺术”，可最新研究发现，AI 遇上诗歌也会 “犯迷糊”！来自德克萨伊伦理 AI 公司伊卡洛斯实验室、罗

Cloudflare全球服务中断事件溯源：React漏洞修复适得其反

Part01全球网络突发中断Cloudflare 全球网络今晨因 Web 应用防火墙（WAF）内部变更引发短暂但大规模服务中断，持续时间约 25 分钟。此次变更旨在应对 React Server Co

FreeBuf周报 | 高通骁龙8 Gen3曝出高危漏洞；核弹级React远程代码执行漏洞

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！📶启动过程遭入侵：高通骁龙8 Gen3及5G调制解调器曝出高危漏洞

黑客可在数秒内劫持行车记录仪并将其武器化为攻击工具

行车记录仪已成为全球驾驶员必备设备，可作为交通事故或道路纠纷的可靠见证。然而，新加坡网络安全研究团队发现了一个令人不安的事实：这些看似无害的设备可在数秒内被劫持，转变为强大的监控工具。Part01漏洞

朝鲜黑客遭“反杀”：专用设备意外感染木马，牵涉14亿美元加密货币盗窃案

一起罕见的"反杀"事件曝光：朝鲜国家资助的黑客组织设备感染了通常用于攻击他人的同类型恶意软件，意外揭露其运营细节与史上最大规模加密货币盗窃案之一的直接关联。网络安全情报公司Hudson Rock在分析

大模型安全资料一次找齐！3000 + 份资源，覆盖全领域

现在大模型落地越来越快，不管是企业做合规落地，还是团队搞技术研发，甚至是个人想跟进行业动态，都绕不开 “安全” 这块 —— 但偏偏这领域的资源特别散，要么政策更新了找不到解读，要么技术方案缺实操支撑，

高危级Splunk漏洞：Windows文件权限配置错误导致本地提权

Part01漏洞概括2025年12月5日，安全研究人员发现影响Splunk Enterprise平台和Universal Forwarder组件的两个高危漏洞（CVE-2025-20386、CVE-2

WebXR漏洞影响40亿Chromium用户，请立即更新浏览器

网络安全专家AISLE近期在全球主流网页浏览器底层代码中发现一个严重安全漏洞，可能导致超过40亿台设备面临数据泄露风险。该漏洞被评定为中等危害程度（4.3分），影响所有基于Chromium代码库的主流

FreeBuf社群开通AI商桥服务，甲乙双方精准业务对接

写在前面回首而望，FreeBuf甲方会员体系已经陪伴大家走过 1800多个日夜 ，与来自科技、金融、制造、医疗、政务等 20大行业 的 2000多位安全从业者 共同成长，同时也与 300+家优质安全厂

React框架被曝最高危险等级漏洞，阿里云一键防护指南速览

近日，Meta的React核心团队与Vercel的Next.js团队联合发布公告，披露了两个最高危险等级（Critical）的安全漏洞：CVE-2025-55182（React）和CVE-2025-6

核弹级漏洞：React与Next.js严重RSC漏洞可致未经认证的远程代码执行

React Server Components（RSC）组件中被披露存在一个最高严重级别的安全漏洞，攻击者成功利用该漏洞可实现远程代码执行。该漏洞编号为（CVE-2025-55182），CVSS评分为

Anthropic红队成功利用AI攻击区块链智能合约盗走460万美金

Anthropic 与 MATS Fellows 开展了一项研究，提出一个关键问题：当 AI 具备“进攻性网络能力”（offensive cyber capabilities）时，其潜在经济影响有多大

乌克兰黑客利用新型定制恶意软件攻击俄罗斯航空航天企业及国防相关行业

与乌克兰有关的黑客组织正加强对俄罗斯航空航天企业及其他国防相关公司的网络攻击，使用新型定制恶意软件窃取设计图纸、生产进度表和内部邮件。此次攻击活动同时针对主要承包商和较小规模的供应商，旨在绘制生产链图

学了就能赚 | FreeBuf培训平台助力学员打通从培训到实战的“能力变现”

2025年经济寒冬下，数据调研显示，68%的IT从业者遭遇降薪或裁员，45%急需副业增收；32%计算机应届生面临“求职难”。白帽挖掘虽为“技术变现”优质路径，却因“缺项目、缺支持、缺发展”止步——而F

ChatGPT全球服务中断：用户对话历史消失，开发者工作流受影响

周三清晨，ChatGPT发生重大服务中断，导致全球数百万用户的工作流程受到严重影响。该事件始于早上6:30左右，使得这款热门AI聊天机器人无法访问，并引发了令人担忧的数据可见性问题——用户的对话历史似

恶意npm包利用隐藏提示和脚本规避AI安全工具检测

网络安全研究人员近日披露了一个试图影响AI驱动安全扫描器的npm软件包细节。该软件包名为eslint-plugin-unicorn-ts-2，伪装成流行ESLint插件的TypeScript扩展版本，

400+极客菁英共聚羊城，见证国内首个AI智能渗透挑战赛

11月29日，腾讯云黑客松智能渗透挑战赛决赛落下帷幕，来自全国各地的400多名顶尖白帽子、战队代表与行业专家齐聚羊城，共同见证了一场以“AI智能体”为主角的高水平攻防竞技。在这场国内最大规模的大模型安

启动过程遭入侵：高通骁龙8 Gen3及5G调制解调器曝出高危漏洞（CVE-2025-47372）

高通公司发布了2025年12月重大安全更新，修复了其芯片组生态系统中11个不同漏洞。本次补丁包的重点是一个设备启动过程中的高危漏洞，该漏洞可能允许攻击者执行任意代码，同时还修复了影响音频、摄像头和汽车

安卓紧急预警：框架组件存在严重拒绝服务漏洞及两个遭利用的0Day漏洞

谷歌发布2025年12月Android安全公告，披露了影响全球最流行移动操作系统的一系列漏洞。本次更新的重点警告包括野外活跃攻击事件，以及Android框架组件中一个可能允许远程攻击者瘫痪设备的关键漏

430万Chrome与Edge用户遭ShadyPanda恶意软件七年攻击

Part01恶意软件运作机制高级威胁组织"ShadyPanda"通过长达七年的攻击活动，已成功感染430万Chrome和Edge浏览器用户。该组织利用用户对浏览器应用商店的信任，将"精选"和"已验证"

200多个CVE漏洞遭利用，谷歌云OAST服务成复杂攻击活动跳板

安全研究人员发现一项复杂的漏洞利用活动，该活动利用托管于谷歌云基础设施上的私有带外应用安全测试（OAST, Out-of-band Application Security Testing）服务发起攻

CISA警告OpenPLC ScadaBR跨站脚本漏洞（CVE-2021-26829）正遭攻击者利用

Part01漏洞概括美国网络安全和基础设施安全局（CISA）已正式将OpenPLC ScadaBR的一个关键漏洞纳入其已知被利用漏洞（KEV）目录，确认威胁攻击者正在实际攻击中利用该漏洞。该安全缺陷编

高危警报：Apache Kvrocks 'RESET' 命令漏洞可获取管理员权限

2025年11月29日，Apache软件基金会针对兼容Redis协议的分布式键值NoSQL数据库Apache Kvrocks发布重要安全公告。该产品作为存储海量数据的高性能磁盘型Redis替代方案，其

微软Outlook高危零点击远程代码执行漏洞PoC利用代码公开

针对微软Outlook高危远程代码执行（RCE）漏洞（CVE-2024-21413）的概念验证（PoC）利用代码已被公开。该漏洞被命名为"MonikerLink"，攻击者可借此绕过Outlook的安全

漏洞盒子十年：在线安全服务平台的演进与未来范式

20年老协议仍威胁全球网络安全：黑客利用NTLM认证漏洞攻击Windows系统

自首次发现二十多年后，NTLM（新技术局域网管理器）认证协议仍在全球范围内威胁着Windows系统的安全。2001年还只是理论上的漏洞，如今已演变成广泛的安全危机，攻击者正积极利用多个NTLM漏洞危害