漏洞分析

CVE-2025-34291 是在 Langflow AI 代理与工作流平台中发现的一个严重漏洞链，安全评分达到 CVSS v4.0: 9.4。该漏洞允许攻击者通过诱导用户访问恶意网页，实现对 Langflow 实例的完全账户接管和远程代码执行（RCE）。

CVE-2025-55182漏洞受影响版本中React 19引入，Next.js App Router 将来自客户端的 RSC 序列化数据直接交由 ReactFlightReplyServer 反序列化，未对模型结构、引用路径与 Server Reference 元数据进行充分校验。攻击者可构造恶意 RSC请求，引导 parseModelString、getOutlinedModel、loadServerReference、initializeModelChunk 等解析链路进入异常状态，在模块加载与引用绑定阶段控制调用目标，最终在 Next.js 中可触发任意服务端代码执行。

本文介绍了360 Vulpecker Team的安全研究员黎博和张馨所进行的移动APP第三方SDK漏洞挖掘实战。360 Vulpecker Team专注于安卓系统和应用安全攻防领域，在安卓应用安全审计方面具有自主研发的自动化系统。本文从第三方SDK的安全现状入手，探讨了SDK集成带来的安全风险，并详细介绍了不同SDK存在的漏洞风险和攻击方式。通过实例分析了推送SDK和分享类SDK的漏洞利用方式，并指出了相关漏洞对应用的影响范围。最后，提出了一些思考，以引发读者对移动APP安全性的关注和深入思考。

Google Android 14输入法信息泄露漏洞，由于侧通道信息泄露，有一种可能无需查询权限即可确定应用程序是否安装的方法。这可能会导致本地信息泄露，而无需额外的执行权限。利用该漏洞不需要用户交互。

2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 01 漏洞描述 Apache Log4j2是一款优秀的Java日志框架。…