脆弱性分析

CVE-2025-34291 是在 Langflow AI 代理与工作流平台中发现的一个严重漏洞链，安全评分达到 CVSS v4.0: 9.4。该漏洞允许攻击者通过诱导用户访问恶意网页，实现对 Langflow 实例的完全账户接管和远程代码执行（RCE）。

CVE-2025-55182漏洞受影响版本中React 19引入，Next.js App Router 将来自客户端的 RSC 序列化数据直接交由 ReactFlightReplyServer 反序列化，未对模型结构、引用路径与 Server Reference 元数据进行充分校验。攻击者可构造恶意 RSC请求，引导 parseModelString、getOutlinedModel、loadServerReference、initializeModelChunk 等解析链路进入异常状态，在模块加载与引用绑定阶段控制调用目标，最终在 Next.js 中可触发任意服务端代码执行。

この記事では、360 Vulpecker Team のセキュリティ研究者 Li Bo 氏と Zhang Xin 氏が実施した、モバイル APP サードパーティ SDK の実際の脆弱性マイニングについて紹介します。 360 Vulpecker チームは、Android システムとアプリケーションのセキュリティ攻撃と防御の分野に焦点を当てており、Android アプリケーションのセキュリティ監査用に自社開発した自動システムを持っています。この記事では、サードパーティ SDK のセキュリティ状況から始まり、SDK の統合によってもたらされるセキュリティ リスクについて説明し、さまざまな SDK の脆弱性リスクと攻撃手法について詳しく紹介します。プッシュ SDK と共有 SDK の脆弱性悪用手法を例を通じて分析し、関連する脆弱性がアプリケーションに及ぼす影響範囲を指摘します。最後に、モバイル APP のセキュリティについて読者の注意と深い考えを呼び起こすために、いくつかの考えを提案します。

Google Android 14 の入力メソッドの情報漏洩の脆弱性。サイドチャネル情報漏洩により、権限を照会せずにアプリケーションがインストールされているかどうかを判断する方法が存在します。これにより、追加の実行権限を必要とせずにローカル情報が漏洩する可能性があります。この脆弱性の悪用にはユーザーの介入は必要ありません。

2021 年 11 月 24 日、Alibaba Cloud セキュリティ チームは、Apache Log4j2 リモート コード実行の脆弱性を Apache 担当者に報告しました。 01 脆弱性の説明 Apache Log4j2 は、優れた Java ロギング フレームワークです。 …