Sonatype报告指出,网络安全面临漏洞评分体系滞后问题,现有评分无法满足快速开发需求,导致高风险漏洞被忽视。预计到2025年,64%的开源组件缺乏CVSS评分,评分延迟影响响应效率,加剧安全团队的信任危机。现代软件开发需要实时风险洞察,而非依赖过时评分。

漏洞评分体系失效会带来什么后果?
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

2025年11月24日,npm包md-to-pdf被曝出高危漏洞(CVE-2025-65108),攻击者可通过恶意元数据执行任意JavaScript代码。使用该包处理不可信Markdown的应用存在风险,用户应立即升级至安全版本。

高危Markdown转PDF漏洞可通过Markdown前置元数据实现JS注入攻击(CVE-2025-65108,CVSS 10.0)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
微软修复ASP.NET Core关键漏洞,CVSS评分为9.9

微软修复ASP.NET Core关键漏洞,CVSS评分为9.9
InfoQ
InfoQ ·

戴尔科技发布安全公告,警告其Storage Center和Storage Manager软件存在多个高危漏洞,允许远程攻击者绕过身份验证,未经授权访问敏感功能。最严重的漏洞CVE-2025-43995评分为9.8,影响DSM 20.1.21版本。戴尔已发布修复版本2020 R1.22以解决这些问题。

戴尔Storage Center曝严重漏洞可致未授权API绕过(CVE-2025-43995,CVSS 9.8)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
漏洞警报:ASP.NET Core 被曝 CVSS 9.9 分漏洞!

漏洞警报:ASP.NET Core 被曝 CVSS 9.9 分漏洞!
dotNET跨平台
dotNET跨平台 ·

流行的JavaScript包Happy DOM存在严重安全漏洞CVE-2025-61927,攻击者可逃逸Node.js虚拟机执行任意代码。建议升级至v20版本并禁用不受信任的JavaScript评估,以防止数据泄露和代码执行风险。

Happy DOM曝CVSS 9.4严重RCE漏洞,PoC已公开(CVE-2025-61927)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

NVIDIA近期发布安全更新,修复多个高危漏洞,影响Windows、Linux及云游戏组件。关键漏洞包括DLL加载路径和权限提升,CVSS评分高达8.2。用户应立即更新驱动以降低风险。

NVIDIA GPU驱动修复多个高危漏洞,存在远程代码执行和权限提升风险
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

Nagios Log Server发现两个严重漏洞(CVE-2025-44823和CVE-2025-44824),影响2024R1.3.2之前版本。前者允许认证用户获取明文API密钥,后者使只读用户能停止Elasticsearch服务,导致监控失效。建议管理员立即升级以降低风险。

Nagios严重漏洞(CVE-2025-44823,CVSS 9.9)致管理员API密钥明文泄露,PoC已公开
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

SillyTavern团队发布安全公告,警告其Web界面存在高危漏洞CVE-2025-59159,攻击者可远程控制实例,窃取聊天记录并注入恶意代码。该漏洞评分为9.7,已在1.13.4版本中修复,用户需手动启用主机验证以确保安全。

SillyTavern 存在高危漏洞(CVE-2025-59159,CVSS 9.7),可导致本地 AI 实例遭远程完全控制
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

Redis修复了四个严重安全漏洞(CVE-2025-46817、CVE-2025-46818、CVE-2025-46819、CVE-2025-49844),可能导致远程代码执行和拒绝服务。建议用户升级至最新版本并限制Lua脚本访问以提高安全性。

Redis曝高危漏洞(CVE-2025-49844,CVSS 10.0)可导致远程代码执行
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

微软修复了Azure Entra ID中的高危漏洞CVE-2025-55241,该漏洞允许攻击者仿冒任意用户身份,包括全局管理员。研究表明,该漏洞源于执行者令牌与Azure AD Graph API的缺陷,导致跨租户攻击。尽管微软迅速推出了修复方案,但安全专家警告此事件暴露了云身份系统的信任问题,强调需要建立独立可观测性以降低风险。

微软修复CVSS 10.0分高危Entra ID漏洞CVE-2025-55241
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

研究员Dirk-jan Mollema披露了Microsoft Entra ID中的严重漏洞(CVE-2025-55241),CVSS评分为10分。该漏洞源于不安全的“Actor tokens”和Azure AD Graph API的验证缺陷,攻击者可模拟其他租户用户身份,甚至全局管理员,获取Microsoft 365和Azure资源。微软已迅速修复此漏洞。

CVE-2025-55241:CVSS 10.0分Microsoft Entra ID漏洞或危及全球所有租户
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

开源AI平台FlowiseAI存在高危漏洞CVE-2025-58434,攻击者可在未认证状态下接管任意账户。该漏洞源于密码重置机制,攻击者可通过邮箱获取重置令牌直接修改密码。建议采取临时防护措施,如限制敏感信息返回和启用多因素认证。

漏洞预警:FlowiseAI 高危漏洞(CVE-2025-58434)可导致完全账户接管(CVSS 9.8)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

LangChainGo存在高危漏洞CVE-2025-9556,CVSS评分9.8,攻击者可利用Gonja模板引擎进行任意文件读取,导致服务端模板注入。开发者应立即升级至最新版本以修复该漏洞。

CVE-2025-9556(CVSS 9.8):LangChainGo严重漏洞威胁LLM应用安全
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

安全研究员Salah Chafai披露,cJSON库存在高危漏洞CVE-2025-57052,CVSS评分9.8。攻击者可利用畸形JSON指针绕过边界检查,导致内存越界、崩溃或权限提升。漏洞源于decode_array_index_from_pointer函数的逻辑错误,修复方法为修正循环条件判断。受影响的软件包括嵌入式设备和Web API。

CVE-2025-57052:cJSON库存在CVSS 9.8高危JSON解析漏洞(含PoC)
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

一款月下载量超过3600万的流行Python库被发现存在CVSS评分为10.0的远程代码执行漏洞,可能导致服务拒绝或系统完全控制。

热门Python库曝CVSS 10.0分远程代码执行漏洞(月下载量超3600万次)概念验证代码已公开
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

H2O-3平台发现高危漏洞CVE-2025-6507,攻击者可通过不安全的JDBC连接实现远程代码执行和未授权文件访问。受影响版本为3.47.0.99999,已在3.46.0.8中修复。建议用户立即升级以降低风险。

CVE-2025-6507(CVSS 9.8):H2O-3严重漏洞威胁机器学习安全
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
降低CVSS噪音:利用AI和运行时上下文来消除脆弱性警报

降低CVSS噪音:利用AI和运行时上下文来消除脆弱性警报
The New Stack
The New Stack ·

安全研究人员发现ADOdb中的高危SQL注入漏洞(CVE-2025-54119),CVSS评分为10.0,影响5.22.10之前版本的SQLite3驱动。该漏洞源于对表名参数的不当处理,攻击者可注入任意SQL。建议开发者立即升级至5.22.10版本,或严格控制传入参数。

ADOdb SQLite3驱动高危漏洞(CVE-2025-54119,CVSS 10.0)可导致SQL注入攻击
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

SUSE Manager管理平台存在严重安全漏洞(CVSS 9.8),攻击者可无身份验证远程执行代码并获取root权限。建议用户立即检查安全公告、获取补丁并监控异常行为。

SUSE Manager曝高危漏洞(CVSS 9.8):攻击者可远程无认证获取客户端root权限,PoC已公开
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
👤 个人中心
在公众号发送验证码完成验证