新的VS Code漏洞允许通过恶意的tasks.json文件在代码编辑器中静默执行，开发者只需打开受影响的文件夹。安全专家警告，这可能导致代码库中的持久性威胁，攻击者可利用AI工具泄露敏感信息。

LiteSSL数字证书颁发机构发现安全漏洞，导致143份证书被吊销。该漏洞影响2025年12月29日后签发的证书，用户需检查证书状态以避免连接问题。漏洞已修复，LiteSSL可继续签发证书。

cURL创始人Daniel Steinberg宣布将于1月底关闭漏洞赏金计划，原因是AI生成的低质量报告泛滥，导致提交质量下降，维护者压力增大。他支持使用AI寻找漏洞，但反对无效报告，强调遵循使用规则。

Node.js项目更新HackerOne程序，要求漏洞报告的Signal评分至少为1.0，以应对低质量报告的增加。这一措施确保报告者有有效记录，同时允许新研究者有限提交。低于该评分者可通过OpenJS Foundation Slack联系安全团队。

GitHub安全实验室利用大型语言模型（LLMs）自动化分类安全警报，显著提高了效率。通过任务流框架，快速识别并修复了约30个真实漏洞，简化复杂任务，减少误报，提升审计准确性。

2025年10月13日，FearsOff的安全研究人员发现Cloudflare的ACME验证逻辑存在漏洞，影响部分WAF功能。该漏洞已修复，Cloudflare客户无需采取行动，且未发现恶意利用。漏洞源于ACME HTTP-01挑战路径的请求处理逻辑，Cloudflare已更新代码，仅在请求匹配有效挑战令牌时禁用安全功能。

开源混淆库uTLS存在高危指纹漏洞，可能导致代理流量被识别。该漏洞源于填充机制缺陷，建议用户立即更新至uTLS v1.8.2或更高版本，并暂停使用Chrome指纹功能。

Node.js中的一个bug导致使用async_hooks的应用程序在堆栈溢出时崩溃，而非抛出可捕获的错误。这影响了React、Next.js及所有使用AsyncLocalStorage的APM工具。修复已于2026年1月发布，建议用户尽快更新以确保服务可用性。

MongoDB修复了CVE-2025-14847漏洞，该漏洞影响多个版本，允许未认证攻击者远程泄露敏感数据，CVSS评分为8.7。MongoDB Atlas已修复，自托管版本需更新，建议立即应用补丁或禁用压缩。

文章分析了Linux内核漏洞的潜伏期，平均为2.1年，最长可达20年。作者开发的AI模型VulnBERT能有效预测代码漏洞，召回率达到92.2%。安全工具的进步加快了漏洞发现速度，从2010年几乎无漏洞被发现，到2022年已达到69%。

尽管OSS-Fuzz对开源项目进行了多年模糊测试，仍有漏洞存在。OSS-Fuzz与OpenSSF合作发现了大量漏洞，但持续的模糊测试并非解决所有问题的灵丹妙药。许多项目在多年测试后仍有严重漏洞，需要人工监督以确保测试覆盖率并编写新的模糊器。

本文探讨了移动端WebView组件的漏洞挖掘，采用黑盒视角，分析二维码扫码和URL Scheme跳转的攻击方式，指出攻击者可借此获取用户凭证，并强调JSBridge的安全隐患及WebView在移动和PC端的安全风险。

开源工作流自动化工具n8n出现9.9分的代码执行漏洞，约10万个实例受影响。攻击者可绕过限制执行系统指令，控制服务器。建议用户立即升级到修复版本以确保安全。

谷歌安全团队再次披露了微软未完全修复的Windows 11本地权限提升漏洞，该漏洞仅影响测试版用户。谷歌在8月通知微软，11月修复不彻底，最终选择公开漏洞。尽管微软对此表示不满，谷歌坚持90天的披露周期。该漏洞需物理接触PC才能利用，潜在危害有限。

苹果发布iOS 26.2更新，修复多个高危安全漏洞，包括可能导致应用获得root权限的漏洞。虽然该漏洞尚未被利用，但WebKit中的两个漏洞已被黑客针对高价值目标攻击。用户应尽快升级以确保安全。

谷歌浏览器发布紧急更新v143.0.7499.109/110，修复LibANGLE库中的高危安全漏洞，可能导致内存损坏和敏感信息泄露。建议用户立即升级，详细信息将在90天后公开。

2025年12月3日，React2Shell漏洞（CVE-2025-55182）被公开后，Cloudforce One团队监测到亚洲威胁组织的扫描和利用尝试。该漏洞允许攻击者通过特制HTTP请求在受影响服务器上执行任意JavaScript。Cloudflare已采取新规则阻止相关攻击，并发现了两个额外的RSC漏洞（CVE-2025-55183和CVE-2025-55184）。组织应优先修补受影响的React组件以防范威胁。