搜索结果 - 安全内参 | 决策者的网络安全知识库

n8n Pyodide命令执行漏洞 (CVE-2025-68668) 安全风险通告

漏洞奇安信 CERT 2026-01-05

经过身份验证的用户通过创建或修改工作流来执行任意系统命令，从而获取服务器权限。

智能狂奔遇上安全掉队：2025年AI安全十大事件深度盘点

趋势洞察虎符智库 2025-12-31

2025年，与AI技术滥用、误用及自身缺陷相关的安全风险集中爆发。

AI入法、责任加码、治理精细化：2025年网络安全合规十大政策深度剖析

趋势洞察虎符智库 2025-12-26

2025年，堪称是各类政策法规、规章标准、办法条例密集发布的一年。

MongoDB Zlib压缩协议堆内存信息泄露漏洞 (CVE-2025-14847) 风险通告

漏洞奇安信 CERT 2025-12-26

攻击者可以利用此漏洞，获取服务器进程内存中包含的数据库凭证、业务数据、配置信息等敏感内容。

帆软FineReport export/excel SQL注入漏洞安全风险通告

漏洞奇安信 CERT 2025-12-17

攻击者可构造恶意的 SQL 语句上传 Webshell 实现远程代码执行，进而获取服务器权限。

第十五届网络安全漏洞分析与风险评估大会-网络漏洞治理生态分会成功举办

安全会议 CNNVD安全动态 2025-12-13

国家网络安全主管部门、关键信息基础设施行业、基础软硬件产业、网络安全产业、科研机构等600余名嘉宾参会。

第十五届网络安全漏洞分析与风险评估大会在天津盛大启幕

安全会议中国信息安全 2025-12-10

由中央网络安全和信息化委员会办公室、国家市场监督管理总局共同指导，中国信息安全测评中心主办的“第十五届网络安全漏洞分析与风险评估大会（VARA）”在天津梅江会展中心隆...

基础电信企业漏洞管理面临的挑战与应对之策

信息通信中国信息安全 2025-12-08

基础电信企业作为数字社会的重要基石，其漏洞管理能力直接关系国家网络安全防线的稳固性。然而，数字业务的空前繁荣与技术架构的日益复杂，导致面临的网络攻击面急剧扩大，...

Apache Tika XML外部实体注入漏洞 (CVE-2025-66516) 安全风险通告

漏洞奇安信 CERT 2025-12-08

成功利用此漏洞可导致服务器上的敏感信息泄露、执行拒绝服务攻击，甚至在内网环境中进行端口扫描。

Operation Tornado：针对国产信创平台的网络间谍活动

APT 奇安信威胁情报中心 2025-12-08

海莲花组织自2022年起持续针对国产信创平台及政务网发起攻击，通过Desktop、JAR、带Nday漏洞的epub文件等诱饵及内网供应链植入恶意代码，利用信创定制ELF木马、轻量化特马...

React Server Components多个远程代码执行漏洞安全风险通告

漏洞奇安信 CERT 2025-12-04

可在服务器上执行任意系统命令、读写任意文件，甚至完全接管服务。

Windows Vim路径劫持漏洞 (CVE-2025-66476) 安全风险通告

漏洞奇安信 CERT 2025-12-03

当用户在 Vim 执行:grep等命令时触发恶意代码，实现远程命令执行。

《云上智能体安全发展研究报告》发布

报告调查 CAICT可信安全 2025-12-02

聚焦智能体上云过程中的安全挑战，提出了体系化的风险防范策略与标准化建议，为产业健康可持续发展筑牢安全底座。

Fortinet FortiWeb命令注入漏洞 (CVE-2025-58034) 安全风险通告

漏洞奇安信 CERT 2025-11-20

经过身份验证的攻击者通过精心构造的 HTTP 请求或 CLI 命令可以在底层系统上执行未经授权的命令。

React Server Components拒绝服务漏洞 (CVE-2025-55184) 风险通告

漏洞奇安信 CERT 2025-12-12

导致服务器进程挂起、CPU 资源耗尽。

Gogs远程命令注入漏洞 (CVE-2025-8110) 在野利用通告

漏洞奇安信 CERT 2025-12-11

攻击者可以利用此漏洞在服务器上执行任意代码，获取服务器的控制权限。

Next.js RCE漏洞在野利用事件分析（附IOC）

网络攻击奇安信威胁情报中心 2025-12-09

目前我们观察到Dify(快速开发、部署和运营 AI 应用的开源平台)、LobeChat (开源 AI 聊天应用与开发框架)和各类客户自研web系统正在被入侵。

摩诃草 (APT-Q-36) 利用WebSocket的新木马StreamSpy分析

APT 奇安信威胁情报中心 2025-12-02

近期发现摩诃草的新木马StreamSpy，该木马与C2通信采用WebSocket和HTTP结合的方式，通过WebSocket获取指令与回传操作结果，HTTP完成文件传输等操作。该木马还与摩诃草的Spy...

Oracle Identity Manager远程代码执行漏洞 (CVE-2025-61757) 风险通告

漏洞奇安信 CERT 2025-11-21

攻击者可上传恶意Groovy脚本执行任意代码，从而获取服务器权限。

AI驱动的网络攻击演进：趋势研判、风险洞察与防御思考

人工智能虎符智库账号 2025-11-19

AI赋能网络攻击的四大关键发现与防御思考。