本文介绍了11种最佳开源安全工具，供软件开发者和安全测试人员使用，以检测和防范已知漏洞。这些工具包括GreenBone、ZAProxy和BurpSuite等，适用于不同操作系统，支持自动化测试，提升网络应用安全性。

零日漏洞是指尚未修复的安全漏洞，零日攻击则是利用这些漏洞进行攻击。安全研究员Sean Heelan利用OpenAI的o3模型发现了Linux内核中的新漏洞CVE-2025-37899，展示了大型语言模型在漏洞研究中的潜力。o3在漏洞识别方面优于其他模型，尽管存在误报问题，但其能力已接近人类专家。

网络安全研究人员发现，代号为ViciousTrap的组织入侵全球84个国家的5300台网络设备，利用思科路由器漏洞CVE-2023-20118构建蜜罐网络。澳门受影响最严重，850台设备被劫持，攻击者通过特定脚本重定向流量，实施中间人攻击，最终目标尚不明确。

本文探讨了PHP中的弱类型比较漏洞，提供了案例、攻击原理及修复方案。强调使用严格比较和类型检查以防止安全隐患，并建议建立实验环境进行动态调试，以增强对弱类型问题的防御能力。

本文记录了公司系统渗透测试过程，利用AJP任意文件读取漏洞获取MySQL数据库密码并成功写入webshell。发现多项安全隐患，包括敏感路径暴露、权限配置不当及未修复漏洞，建议加强安全防护。

2025年4月11日，Cloudflare发现Pingora OSS框架存在请求走私漏洞，可能影响使用Cloudflare CDN免费版的客户。经过22小时调查，Cloudflare已修复该漏洞，建议用户升级至0.5.0版本或更高。

美国国家标准与技术研究院（NIST）推出了LEV安全指标，以评估软件漏洞被利用的可能性。研究表明，已知漏洞中仅约5%会被利用，而企业每月仅修复16%。LEV指标通过数学模型优化漏洞管理，提供四项关键能力，帮助安全团队更有效地确定修复优先级。

研究人员发现GitLab的AI助手Duo存在漏洞，攻击者可通过隐藏指令操控其行为，导致私有源代码泄露。虽然GitLab已修复部分问题，但仍有其他提示注入场景未解决，存在安全隐患。

研究人员发现Python框架Langroid存在两个严重漏洞，可能导致代码注入和远程命令执行。LanceDocChatAgent和TableChatAgent组件未充分验证用户输入，攻击者可利用这些漏洞窃取敏感信息。Langroid已发布修复版本，建议开发者立即更新并检查配置以防止不可信输入。

研究人员发现Windows Server 2025的dMSA功能存在安全漏洞，低权限用户可通过修改dMSA账户属性提权，控制整个域。Akamai建议企业限制dMSA创建权限并监控相关行为。