TP-Link路由器零日漏洞遭利用,攻击者成功绕过ASLR防护机制
TP-Link路由器近日曝出编号为CVE-2025-9961的严重零日远程代码执行(RCE)漏洞。安全研究机构ByteRay已发布概念验证(PoC)利用代码,证实攻击者可通过该漏洞绕过地址空间布局随机
阅读全文微软Entra ID漏洞暴露云身份信任模型缺陷
安全研究人员近日披露微软Entra ID(原Azure Active Directory)存在一个高危漏洞(CVE-2025-55241),攻击者可借此伪装成任意租户中的任何用户(包括全局管理员),且
阅读全文FreeBuf周报 | 新供应链攻击波及40余npm软件包;苹果紧急修复ImageIO零日漏洞
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!⛓️💥新供应链攻击波及npm仓库,40余个软件包遭篡改🍎苹果紧急
阅读全文新型iOS视频注入工具可绕过越狱iPhone的生物识别验证
Part01新型攻击工具浮出水面iProov威胁情报团队发现了一款针对越狱iOS设备的新型复杂攻击工具,标志着数字身份欺诈能力出现重大升级。该工具专门设计用于对iOS 15及更高版本设备实施高级视频注
阅读全文针对ChatGPT的"零点击"数据窃取攻击,波及Gmail等多应用
Part01ShadowLeak攻击技术分析Radware安全研究人员发现了一种针对ChatGPT的服务器端数据窃取攻击,命名为ShadowLeak。专家在ChatGPT的Deep Research(
阅读全文从"沙虫"自复制恶意软件发起的npm供应链大攻击中汲取的教训
2025年9月,JavaScript生态系统遭遇了有史以来最复杂、破坏性最强的供应链攻击之一。代号为"沙虫"(Shai-Hulud)的新型自复制蠕虫感染了超过477个npm软件包,成为npm注册表历史
阅读全文Cloudflare API服务中断事件分析:React useEffect漏洞引发级联故障
Cloudflare 近日发布详细事故报告,披露2025年9月12日导致其控制面板和API服务中断超过一小时的重大故障。经调查,此次事件源于控制面板软件漏洞与服务更新的叠加效应,最终引发关键内部系统的
阅读全文宝马集团疑遭Everest勒索软件攻击,大量内部文件据称失窃
Part01攻击事件概括臭名昭著的 Everest 勒索软件团伙近日将宝马汽车集团(Bayerische Motoren Werke AG)列为高价值目标,声称已从这家德国汽车制造商窃取大量关键内部文
阅读全文白色鼠标JS课程开课倒计时五天,手把手教你挖出"第一桶金"!
通过之前的科普,很多师傅已经了解到前端JS漏洞是一个巨大的宝藏,也有不少的师傅已经开始在搜索前端挖洞秘籍,学了一些基础内容,但当你摩拳擦掌准备动手时,现实却给了你沉重一击!科普文章指路👉3个月狂揽70
阅读全文苹果紧急修复ImageIO零日漏洞,攻击事件已获实证
苹果公司近日发布两项系统更新,用于修复ImageIO框架中一个可能已被用于定向攻击的零日漏洞(zero-day vulnerability)。编号为CVE-2025-43300的漏洞在iOS 16.7
阅读全文Chrome紧急更新:V8引擎零日漏洞已被野外利用
Google已针对Windows和Mac系统发布140.0.7339.185/.186版本,Linux系统发布140.0.7339.185版本的稳定通道更新,修复了四个高危安全漏洞。其中最值得关注的是
阅读全文CrowdStrike推出AI驱动新工具,聚焦补丁管理与威胁情报短板
网络安全公司CrowdStrike Holdings Inc.在今日举行的Fal.Con 2025大会上发布了两款新产品:基于IT风险的Falcon补丁管理(Falcon for IT Risk-ba
阅读全文新供应链攻击波及npm仓库,40余个软件包遭篡改
Linux内核的KSMBD(SMB Direct)子系统中发现一个拒绝服务漏洞,已在开源社区引发广泛关注。该漏洞编号为CVE-2025-38501,远程攻击者无需认证即可通过利用内核处理半开TCP会话
阅读全文2025外滩大会:AI驱动之下,探索网络安全的未来边界
9月10日至13日,2025 Inclusion·外滩大会在上海举行,大会期间“AI驱动的变革与挑战:重构网络安全的未来边界”见解论坛同步举办。 本次论坛由上海市互联网业联合会网络和数据安全委员会、中
阅读全文Linux内核KSMBD子系统漏洞可致远程攻击者耗尽服务器资源
Linux内核的KSMBD(SMB Direct)子系统中发现一个拒绝服务漏洞,已在开源社区引发广泛关注。该漏洞编号为CVE-2025-38501,远程攻击者无需认证即可通过利用内核处理半开TCP会话
阅读全文GitHub为SSH访问增加抗量子加密保护
Part01核心变更内容GitHub宣布将为SSH连接引入抗量子密码学(post-quantum cryptography)保护,这一举措表明该公司正在为当前加密技术可能失效的未来做准备。平台已推出一
阅读全文朝鲜黑客组织Kimsuky利用ChatGPT伪造军人证件实施新型攻击
网络安全公司Genians Security Center(GSC)发出警告,朝鲜臭名昭著的黑客组织Kimsuky正在使用ChatGPT等人工智能(AI)工具生成的伪造军人证件开展新型钓鱼攻击。这标志
阅读全文开源AI红队工具"Red AI Range"助力发现、分析与缓解AI系统漏洞
开源AI红队平台Red AI Range(RAR)正在改变安全专业人员评估和强化AI系统的方式。该平台通过模拟真实攻击场景,利用容器化架构和自动化工具,简化了AI特有漏洞的发现、分析和缓解流程。Par
阅读全文基于历史漏洞的零点击Linux内核KSMBD远程代码执行攻击
安全研究人员发现了一种基于历史漏洞的零点击Linux内核KSMBD远程代码执行攻击方式,能够在运行内核态SMB3守护进程ksmbd的Linux 6.1.45(已停止维护两年)系统上实现远程代码执行。通
阅读全文汉堡王滥用DMCA下架安全漏洞报告引发争议
汉堡王近日援引美国《数字千年版权法案》(DMCA),强制下架了一篇揭露其得来速"助手"系统严重漏洞的安全研究报告。此举引发关于企业滥用版权法压制正当网络安全披露的广泛争议。Part01核心事件要点汉堡
阅读全文新型CPU漏洞威胁云计算安全:VMScape(CVE-2025-40300)
Part01漏洞发现背景苏黎世联邦理工学院(ETH Zurich)安全研究人员最新研究表明,攻击者可通过名为VMScape(CVE-2025-40300)的技术突破虚拟化边界。该技术利用英特尔CPU的
阅读全文桌面应用程序漏洞应急响应流程建立;软件静默升级的安全与合规风险探讨丨FB甲方群话题讨论
各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第259期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供
阅读全文LangChainGo严重漏洞威胁LLM应用安全:CVE-2025-9556
Part01漏洞概述随着大语言模型(LLM)应用的兴起,LangChain及其衍生框架已成为全球开发者的基础工具。但根据CERT/CC最新漏洞公告,LangChain的Go语言实现版本LangChai
阅读全文揭秘BaoLoader:一个恶意软件家族如何滥用信任机制长达七年之久
网络安全公司Expel的研究人员揭露了一个长期滥用软件分发信任模型的恶意软件活动。分析显示,被追踪为BaoLoader的恶意软件(此前通过AppSuite-PDF和PDF Editor等渠道传播)背后
阅读全文ChatGPT新增MCP工具支持存在安全隐患,攻击者可窃取邮件隐私数据
Part01功能集成带来的安全隐患ChatGPT最新推出的Model Context Protocol(MCP,模型上下文协议)工具支持功能存在严重安全漏洞,攻击者可利用该功能从用户邮箱窃取隐私信息。
阅读全文SaaS史上最严重供应链攻击:Salesloft Drift数据泄露事件深度剖析
2025年8月发生的Salesloft Drift数据泄露事件堪称SaaS史上最严重的供应链攻击之一,展示了单一受损集成如何引发大规模组织数据暴露。威胁组织UNC6395通过利用OAuth令牌漏洞,获
阅读全文整合Kali Linux与DeepSeek实现自动化攻击,AI渗透工具Villager下载量破万
网络安全研究机构Straiker人工智能研究团队(STAR)发现,新型AI驱动的渗透测试框架Villager正将Kali Linux工具集与DeepSeek AI模型深度融合,实现网络攻击工作流的全自
阅读全文FreeBuf周报 | 微软疑似出现重大网络安全过失;iPhone17史上最重要安全升级
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🪟微软疑似出现重大网络安全过失:美国参议员指控微软“养寇自重”📱i
阅读全文