Node.js中的一个bug导致使用async_hooks的应用程序在堆栈溢出时崩溃，而非抛出可捕获的错误。这影响了React、Next.js及所有使用AsyncLocalStorage的APM工具。修复已于2026年1月发布，建议用户尽快更新以确保服务可用性。

MongoDB修复了CVE-2025-14847漏洞，该漏洞影响多个版本，允许未认证攻击者远程泄露敏感数据，CVSS评分为8.7。MongoDB Atlas已修复，自托管版本需更新，建议立即应用补丁或禁用压缩。

文章分析了Linux内核漏洞的潜伏期，平均为2.1年，最长可达20年。作者开发的AI模型VulnBERT能有效预测代码漏洞，召回率达到92.2%。安全工具的进步加快了漏洞发现速度，从2010年几乎无漏洞被发现，到2022年已达到69%。

尽管OSS-Fuzz对开源项目进行了多年模糊测试，仍有漏洞存在。OSS-Fuzz与OpenSSF合作发现了大量漏洞，但持续的模糊测试并非解决所有问题的灵丹妙药。许多项目在多年测试后仍有严重漏洞，需要人工监督以确保测试覆盖率并编写新的模糊器。

本文探讨了移动端WebView组件的漏洞挖掘，采用黑盒视角，分析二维码扫码和URL Scheme跳转的攻击方式，指出攻击者可借此获取用户凭证，并强调JSBridge的安全隐患及WebView在移动和PC端的安全风险。

开源工作流自动化工具n8n出现9.9分的代码执行漏洞，约10万个实例受影响。攻击者可绕过限制执行系统指令，控制服务器。建议用户立即升级到修复版本以确保安全。

谷歌安全团队再次披露了微软未完全修复的Windows 11本地权限提升漏洞，该漏洞仅影响测试版用户。谷歌在8月通知微软，11月修复不彻底，最终选择公开漏洞。尽管微软对此表示不满，谷歌坚持90天的披露周期。该漏洞需物理接触PC才能利用，潜在危害有限。

苹果发布iOS 26.2更新，修复多个高危安全漏洞，包括可能导致应用获得root权限的漏洞。虽然该漏洞尚未被利用，但WebKit中的两个漏洞已被黑客针对高价值目标攻击。用户应尽快升级以确保安全。

谷歌浏览器发布紧急更新v143.0.7499.109/110，修复LibANGLE库中的高危安全漏洞，可能导致内存损坏和敏感信息泄露。建议用户立即升级，详细信息将在90天后公开。

2025年12月3日，React2Shell漏洞（CVE-2025-55182）被公开后，Cloudforce One团队监测到亚洲威胁组织的扫描和利用尝试。该漏洞允许攻击者通过特制HTTP请求在受影响服务器上执行任意JavaScript。Cloudflare已采取新规则阻止相关攻击，并发现了两个额外的RSC漏洞（CVE-2025-55183和CVE-2025-55184）。组织应优先修补受影响的React组件以防范威胁。

React Server Components（RSC）存在安全漏洞（CVE-2025-55182），攻击者可利用该漏洞执行恶意代码。使用NextJS App Router或React 19的开发者需立即更新到安全版本，以防止数据泄露和服务器控制。建议更换所有应用密钥并审查日志以确保安全。

2025年11月29日，Lachlan Davidson报告了React Server Components的远程代码执行漏洞（CVE-2025-55182），严重性为10.0。该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本，已被多个中国国家关联的威胁组织利用。建议公司立即修补，攻击者可通过特定payload污染JavaScript对象，执行任意代码。

Vercel Agent现已自动检测项目中的漏洞包，并生成修复拉取请求。React2Shell是影响React 19及其框架的关键远程代码执行漏洞，受影响项目需立即升级。

VoiceInk 是一款 macOS 语音转文字应用，具备99%准确率的离线转录功能，注重隐私保护。WeKnora 是基于大语言模型的文档理解框架，支持多种格式的内容提取。Strix 是开源的AI渗透测试代理，能够动态检测安全漏洞。adk-web 简化AI代理的开发，LEANN 是高效的向量数据库，专注于私密检索。

Vercel将自动拒绝包含CVE-2025-66478漏洞的Next.js版本的部署，建议所有托管服务用户升级到修复版本。

CVE-2025-55182 是一个 CVSS 10.0 的严重漏洞，影响 React Server Components（RSC），允许未授权的远程代码执行。该漏洞影响了许多使用 Next.js 的知名网站，开发者需尽快升级到修复版本。

React 和 Next.js 存在高危漏洞，攻击者可通过特定 HTTP 请求远程执行代码。Cloudflare 已部署防护措施，开发者应尽快升级到补丁版本以防攻击。