绿盟科技CERT发现LiteLLM新版本存在凭证窃取程序，系TeamPCP团伙通过供应链攻击发布恶意版本，窃取用户敏感数据。受影响版本为1.82.7和1.82.8，建议用户降级至安全版本1.82.6并检查系统，提醒软件供应链安全的重要性。

绿盟科技CERT监测到axios的npm仓库遭受供应链攻击，攻击者发布了带有木马的恶意版本，影响了axios 1.14.1和0.30.4。建议用户立即降级并清除恶意依赖，同时建立安全审计机制以防范此类威胁。

绿盟科技CERT监测到开源AI框架Xinference在PyPI遭受供应链攻击，攻击者发布了3个恶意版本（2.6.0、2.6.1和2.6.2），窃取用户敏感数据。建议用户立即降级至安全版本2.5.0并进行全面排查与防护。此事件强调了开源组件的安全审计和供应链安全的重要性。

四川高新减灾研究所推出的地震预警应用可以根据预估烈度提供几十秒准备时间，减少人员伤亡。应用内还有预警科普和上传灾情反馈功能。缺陷是每到地震之后，应用的首页预警信息都会加载缓慢甚至失败，但该应用在持续改善中。用户可以在App Store下载iOS版应用，或前往Apkpure或酷安等分发平台下载Android版。

谷歌推出Groundsource，一种基于260万历史洪水事件的AI模型，专注于城市地区的闪电洪水预测，能够提前24小时发出预警，增强社区的灾害应对能力。

开源AI平台FlowiseAI存在高危漏洞CVE-2025-58434，攻击者可在未认证状态下接管任意账户。该漏洞源于密码重置机制，攻击者可通过邮箱获取重置令牌直接修改密码。建议采取临时防护措施，如限制敏感信息返回和启用多因素认证。

PyInstaller发布补丁修复CVE-2025-59042漏洞，该漏洞影响6.0.0之前版本，可能导致任意代码执行。修复措施包括移除字节码加密支持和强化引导过程，建议对敏感目录设置严格权限以防攻击。

CrushFTP存在远程代码执行漏洞，攻击者可通过HTTP(S)请求获取管理权限并植入恶意脚本。受影响版本为10.x < 10.8.5和11.x < 11.3.4_23。建议用户升级到安全版本以修复漏洞。

微软因数据泄露限制中国企业获取网络安全漏洞预警，防止信息滥用。公司将审查参与者，违约者将被暂停或吊销资格。

用友U8Cloud存在任意文件上传漏洞，攻击者可绕过鉴权上传恶意脚本，影响多个版本。官方已发布修复版本，建议用户尽快升级以确保安全。

汉王e脸通综合管理平台存在高危SQL注入漏洞，攻击者可能获取敏感信息。建议用户升级到官方修复版本以确保安全。