Web框架Fastify @fastifyview 模板渲染致远程代码执行漏洞(CVE-2025-47240) Fastify 是一个高性能 Web 开发框架，其 @fastify/view 插件因未警告危险行为导致远程代码执行漏洞。该漏洞影响 fastify/point-of-view < v11.1.0 版本，利用 EJS 和不受信任输入可触发攻击。... 2025-6-17 13:46:31 | 阅读: 6 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 fastify 漏洞 所知 误导

FreeBuf早报 | OpenAI获五角大楼2亿美元合同；MCP Inspector漏洞威胁开发环境安全 全球网安事件涵盖AI军事应用探索、严重RCE漏洞威胁AI环境安全及大规模数据泄露等；优质文章推荐涉及Burp插件开发与JAVA代码审计；漏洞情报揭示多个高危安全问题及其修复建议。... 2025-6-17 09:52:26 | 阅读: 6 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 安全 攻击 攻击者 数据

谷歌Gerrit代码平台漏洞致18个项目遭入侵，含ChromiumOS等核心系统 高危供应链漏洞"GerriScary"（CVE-2025-1568）影响谷歌18个核心项目，包括ChromiumOS、Dart和Bazel等。该漏洞利用Gerrit平台配置缺陷和三重攻击链实现未授权代码注入。尽管谷歌已修复相关问题，但其他使用Gerrit的组织仍面临供应链安全风险。... 2025-6-17 09:29:48 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 谷歌 gerrit 漏洞 chromiumos

攻击者操纵谷歌搜索结果，实施新型SEO投毒攻击 研究人员发现新型SEO投毒攻击利用被黑网站提升恶意内容排名。攻击者通过Hacklink平台注入隐形链接操纵搜索结果，并针对土耳其等地区扩大攻击规模。此类攻击威胁金融、医疗等多个领域安全。... 2025-6-17 08:30:37 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 网络 攻击者

邮件服务商Cock.li遭入侵，100万名用户数据泄露 邮件托管服务商Cock[.]li遭遇安全事件，超百万用户数据泄露，涉及电子邮件地址等信息。核心数据未受影响。公司已采取措施应对，并归因于SQL注入漏洞。... 2025-6-17 07:44:0 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 数据 cock roundcube 漏洞

研究人员发现Outlook登录页面被植入键盘记录器 Positive Technologies研究人员发现未知攻击者入侵全球多个政府和企业Microsoft Exchange服务器，在OWA登录页面植入键盘记录器窃取凭证。攻击途径不明，部分利用旧漏洞，部分可能采用其他方法。受影响服务器分布广泛，主要涉及政府机构和企业。用户无法察觉恶意代码，组织需检查并重置密码。... 2025-6-17 07:35:6 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 入侵 攻击者 攻击 漏洞

2025网安行业优质播客精选集⑦ 文章探讨了CTF竞赛从技术试炼场到商业化产业链的演变过程，揭示了参赛者在技术追求中面临的现实挑战与利益分配问题，并指出当前竞赛生态的模板化、工业化趋势导致深度研究者被边缘化的现象。... 2025-6-17 07:7:47 | 阅读: 13 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻防 网络 参赛者

人工智能代理时代的安全、风险与合规治理 文章探讨了AI代理在企业中的广泛应用及其带来的安全挑战。这些智能系统在提升效率的同时也引入了数据泄露、推理错误等风险。作者提出了全生命周期治理框架和重构安全原则以应对这些威胁。... 2025-6-17 06:12:0 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 代理 数据 风险 模型

美国CISA将苹果产品及TP-Link路由器漏洞列入已知被利用漏洞目录 美国网络安全机构CISA将苹果产品漏洞CVE-2025-43200和TP-Link路由器漏洞CVE-2023-33538纳入已知被利用漏洞目录。苹果修复了iMessage零点击漏洞，并向部分用户发出间谍软件攻击警报。TP-Link多款路由器存在命令注入漏洞，CISA要求联邦机构在7月7日前完成修复以应对相关攻击风险。... 2025-6-17 05:15:31 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 安全 苹果 攻击 间谍

XDSpy组织利用Windows LNK零日漏洞窃取敏感信息 XDSpy黑客组织利用Windows快捷方式文件中的零日漏洞（ZDI-CAN-25373）实施网络间谍活动，主要针对东欧和俄罗斯政府机构。该漏洞通过填充空白字符隐藏恶意命令，并结合多阶段载荷窃取敏感信息。... 2025-6-17 02:31:33 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 windows 攻击 网络

攻击者滥用Windows运行提示框执行恶意命令并部署DeerStealer窃密木马 研究人员发现一起复杂的恶意软件攻击活动，攻击者利用Windows内置的"运行"提示框传播DeerStealer信息窃取程序。该恶意软件通过钓鱼页面诱骗用户执行PowerShell命令，并采用高级混淆技术和隐藏基础设施架构规避检测。DeerStealer可窃取加密货币钱包、浏览器凭证及敏感数据，并在暗网以订阅制模式出售。... 2025-6-16 23:43:36 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 windows 数据

规模化应用生成式AI前，需先绘制LLM使用与风险图谱 生成式AI扩展企业应用规模的同时带来提示注入、数据泄露等风险。企业需清点LLM使用情况、净化输入输出、加强微调安全，并采用红队测试工具和CI/CD管道控制以降低漏洞利用可能性。... 2025-6-16 21:30:33 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 模型 数据 llm 生成式

微软因安全漏洞禁用黑暗环境下的Windows Hello面部识别功能 微软因安全漏洞禁用Windows Hello的黑暗环境面部识别功能，该漏洞源于对抗性输入处理不足，用户需改用指纹或PIN码认证。... 2025-6-16 18:15:49 | 阅读: 8 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 面部 windows 黑暗

OpenAI获五角大楼2亿美元合同 探索国防领域AI应用 OpenAI与美国国防部合作开发前沿AI能力以应对国家安全挑战，并将获得最高2亿美元经费。该项目旨在探索AI在国防部行政和网络防御中的应用潜力，并强调技术使用遵循政策禁止武器化。... 2025-6-16 17:27:48 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 openai 美国 网络 palantir

CVE-2025-49596：MCP Inspector 严重远程代码执行漏洞威胁AI开发环境安全 研究人员发现用于调试机器上下文协议（MCP）服务器的工具MCP Inspector存在严重漏洞（CVE-2025-49596），CVSS v4评分为9.4。该漏洞可能导致未经认证的远程代码执行（RCE）。MCP协议作为AI领域的关键组件，在未实施身份验证的情况下易受攻击。修复建议升级至最新版本并检查暴露风险。... 2025-6-16 16:35:13 | 阅读: 24 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 mcp 漏洞 inspector 数据

PoCGen：基于大语言模型的npm漏洞利用代码自动生成工具 一款名为PoCGen的工具由斯图加特大学团队开发，结合大语言模型与静态/动态分析技术，自动为npm漏洞生成概念验证代码。该工具已成功应用于多个案例，在SecBench.js和CWEBench.js测试中表现优异。... 2025-6-16 16:12:42 | 阅读: 12 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 pocgen 数据

攻击者泄露740万巴拉圭公民个人信息，索要人均1美元赎金 巴拉圭近740万公民数据被泄露至暗网并勒索赎金；涉及身份证号、医疗记录等敏感信息；攻击者使用特定化名和种子文件传播；Resecurity指出攻击可能源于凭证窃取而非技术漏洞；存在地缘政治关联；威胁组织已攻击多国；政府未采取有效应对措施。... 2025-6-16 16:8:12 | 阅读: 8 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 数据 网络 攻击 巴拉

反序列化不是魔法，而是漏洞：Java 反序列化攻击流程详解 文章全面解析Java反序列化漏洞的原理、利用方式及防护措施，涵盖常见库如Commons Collections、Fastjson等的漏洞案例，并提供工具如Ysoserial生成Payload，强调使用类白名单和升级依赖的重要性。... 2025-6-16 11:27:26 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com payload 攻击 漏洞 数据 jndi

FreeBuf早报 | 恶意PyPI包伪装成Chimera模块；新型钓鱼应用绕过谷歌应用商店审核 全球网络安全事件频发：恶意软件伪装模块窃取数据；钓鱼应用绕过商店审核；AI技术栈安全风险突出；隐蔽脚本关联APT攻击；IBM备份服务漏洞威胁系统安全；Blink路由器曝高危漏洞；libxml2内存破坏与远程代码执行威胁；勒索软件兼具加密与数据擦除双重威胁；新型MaaS恶意软件窃取敏感数据；虚拟绑架诈骗利用AI技术伪造信息实施犯罪。... 2025-6-16 09:50:28 | 阅读: 9 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 攻击 数据 安全 信息

谷歌云服务大规模中断事件溯源，API管理系统故障引发全球瘫痪 2025年6月12日谷歌云发生严重服务中断，因API管理系统故障导致全球数十项服务瘫痪七小时。故障源于服务控制二进制文件的空指针异常，影响数百万用户。经过紧急处理后大部分恢复。... 2025-6-16 00:20:19 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 控制 谷歌 数据 二进制