- 综合排序
- 最热优先
- 最新优先
- 来自专栏小生观察室
软件供应链漏洞挖掘
image.png 视频内容 软件供应链漏洞挖掘 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。
79100发布于 2021-05-30 - 来自专栏火山信安实验室
【漏洞通报】DuckDB NPM包供应链投毒事件
漏洞情况近期,火山信安实验室监测发现,,DuckDB的Node.js和Wasm软件包在NPM供应链攻击中被植入恶意软件,攻击者通过劫持开发者账户发布恶意版本,利用供应链投毒手段在包中嵌入加密货币窃取后门 此次事件被追踪为CVE-2025-59037,属于高危供应链安全漏洞。 0x01漏洞利用方式攻击者通过精心策划的钓鱼邮件诱导开发者点击恶意链接,成功窃取其NPM账户控制权后,在受控账户下发布含恶意代码的DuckDB Node.js和Wasm包版本;当用户安装或运行这些受感染的包时 package.json和package-lock.json文件,确认是否引用了受影响版本的DuckDB启用NPM账户的双因素认证(2FA),防止账户被劫持引入AI异常行为检测和交易地址白名单验证,提升对供应链攻击的实时响应能力来源自
26910编辑于 2025-10-22 - 来自专栏FreeBuf
通过 Realtek SDK 漏洞攻击一窥 IoT 供应链威胁
根据 Unit 42 的监测,大多数月份利用单个漏洞的攻击不会超过攻击总量的 10%。 由于 CVE-2021-35394 漏洞影响来自 66 个不同厂商的近 190 种型号的设备,攻击者就利用该漏洞在全球范围内对智能设备进行大规模攻击。 漏洞概述 CVE-2021-35394 漏洞于 2021 年 8 月 16 日被公开披露,由于许多 IoT 设备厂商都使用 Realtek 芯片组,该远程命令执行漏洞是一个典型的供应链安全问题。 分析了所有的 Payload,出现频率最高的 URL 及其攻击源如下所示: URL 频度排名 结论 通过 CVE-2021-35394 的在野攻击情况可以看出,攻击者对供应链漏洞非常感兴趣。 由于普通用户非常难以识别和修复这些漏洞,造成影响面非常广。
1.9K10编辑于 2023-02-24 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA已将CVE-2022-36537添加到其已知已开发漏洞(KEV)目录中,该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。 当该公司在90天内没有回应时,研究人员在Twitter上公布了一些关于如何利用该漏洞的细节,Huntress的研究人员利用这些细节复制了该漏洞并完善了一个概念验证(PoC)漏洞。 他们推测,该漏洞有可能影响到比这更多的机器。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59210编辑于 2023-03-29 - 来自专栏网络安全技术点滴分享
PyPI安全审计深度解析:代码库漏洞与供应链防护
我们对PyPI的审计 - Trail of Bits博客William Woodruff 2023年11月14日 开源, 供应链, 生态系统安全, 审计本文与PyPI维护者联合发布;请在此阅读他们的公告 的权限处理第三方服务集成(GitHub密钥扫描、PyPA咨询数据库、AWS SNS邮件传递、外部对象存储)发现虽非高危但可能影响Warehouse可用性、完整性或托管分发版完整性的问题,包括一个可泄露私有账户信息的漏洞 GitHub webhook事件处理及容器构建调度逻辑容器镜像构建与编排密钥处理和日志过滤用户界面表单和路由逻辑发现可能影响cabotage及其构建容器可用性/完整性的问题,包括两个可绕过访问控制或日志过滤的漏洞
27510编辑于 2025-08-21 - 来自专栏公共互联网反网络钓鱼(APCN)
ExifTool元数据解析漏洞机制与macOS供应链防御研究
摘要随着数字取证、新闻调查及企业资产管理系统对自动化文件处理流程依赖度的加深,元数据解析库的安全性已成为软件供应链中的关键薄弱环节。 关键词:ExifTool;CVE-2026-3102;元数据注入;远程代码执行;macOS安全;供应链攻击1. 引言在当代网络安全格局中,攻击面的边界正以前所未有的速度扩张。 这一发现不仅打破了“图片文件绝对安全”的认知误区,更揭示了软件供应链中潜藏的深层风险。 攻击场景建模与实战利用分析3.1 自动化工作流中的隐蔽渗透CVE-2026-3102最具破坏力的应用场景并非针对个人用户的单次点击,而是针对企业级自动化工作流的供应链攻击。 结论与展望CVE-2026-3102漏洞的披露,再次敲响了软件供应链安全的警钟。它揭示了在高度自动化的数字工作流中,看似无害的基础设施组件(如ExifTool)可能成为攻击者突破防线的跳板。
11410编辑于 2026-03-11 - 来自专栏网络安全技术点滴分享
CVE-2024-3094:XZ Utils供应链后门漏洞深度剖析
项目概述CVE-2024-3094是一个存在于XZ Utils数据压缩库中的关键供应链后门漏洞,CVSS v3.1评分为10.0(严重)。 该漏洞通过修改构建过程在liblzma库中植入了远程代码执行后门。 主要风险 未经授权的远程访问 → 完整系统被攻陷 功能特性根据提供的代码内容分析,该项目主要涉及以下安全分析功能:供应链攻击分析:详细解析恶意代码如何通过构建过程注入到开源项目中漏洞机制剖析 return 0;} 技术深度分析该漏洞展现了高度复杂的供应链攻击技术:长期潜伏:攻击者以受信任贡献者身份长期参与项目隐蔽植入:恶意代码仅存在于发布包而非源码仓库条件触发:后门仅在特定条件下激活,避免常规检测依赖链利用 :通过系统服务的间接依赖实现权限提升这个案例强调了开源供应链安全的重要性,以及需要多层防御策略来防止类似攻击。
25300编辑于 2025-12-25 - 来自专栏FreeBuf
TensorFlow机器学习框架曝严重漏洞,黑客可发起供应链攻击
在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 Khan和John Stawinski在本周发布的一份报告中表示,这些配置错误可能被攻击者利用来“通过恶意拉取请求(pull request),在GitHub和PyPi上对TensorFlow版本实施供应链妥协 通过利用这些漏洞,攻击者可将恶意版本上传到GitHub仓库,并获得自托管GitHub运行器(runner)上的远程代码执行权限,甚至检索tensorflow-jenkins用户的GitHub个人访问令牌
58010编辑于 2024-01-20 - 来自专栏DevOps
制品可信 + 漏洞动态阻断,嘉为蓝鲸 CPack 护航软件供应链
官网原文(免费申请演示):CPack制品库:制品黑白名单,为软件供应链安全护航01.背景企业级应用中 90% 以上依赖开源组件,但开源生态存在漏洞、后门及协议风险;同时,在金融、电信等行业,需要遵从合规条例和安全法规 所以,在 DevOps 制品仓库管理平台中,制品黑白名单和漏洞黑白名单是保障软件供应链安全、控制风险的核心功能。
11900编辑于 2025-07-07 供应链漏洞治理方法全解析:腾讯云VGS构筑企业安全护城河
供应链漏洞已成为威胁企业数字安全的“隐形炸弹”。 本文结合供应链漏洞治理的核心挑战,深度剖析腾讯云漏洞治理服务(VGS)的技术优势与创新实践,为企业提供从情报监测到修复落地的全链路解决方案,助力筑牢供应链安全防线。一、供应链漏洞治理为何迫在眉睫? 随着全球供应链数字化程度加深,攻击者正通过组件依赖、开源代码、第三方服务等薄弱环节发起攻击。2024年全球供应链攻击事件同比增加38%,平均每家企业需应对7.2个未修复漏洞。 二、供应链漏洞治理的“腾讯云方案”腾讯云漏洞治理服务(VGS)依托腾讯安全实验室的实战经验与全网情报网络,提供覆盖“监测-分析-修复-验证”的闭环能力,显著缩短漏洞响应时间窗口。 需部署探针,年均成本超$15万 合规适配 支持GDPR、等保2.0等国际国内标准 需二次开发对接 结语 供应链漏洞治理已进入
28910编辑于 2025-10-10- 来自专栏腾讯安全
Patch2QL:开源供应链漏洞挖掘和检测的新方向
背景开源生态的上下游中,漏洞可能存在多种成因有渊源的其它缺陷,统称为“同源漏洞”,典型如:上游代码复用缺陷。 作为软件供应链研究重点,腾讯安全云鼎实验室通过对开源上下游的典型实践的长期分析和漏洞挖掘,论证了供应链的典型威胁,特别是“同源漏洞”的风险模型。 原理与实现Patch2QL的核心任务就是处理漏洞关键代码,使用规则条件描述漏洞语义,组成完备的规则并适当泛化。工具整体原理流程如下。漏洞语义的获取,通过对漏洞补丁前后的代码上下文分析提取。 结果揭示了开源供应链下游实践中不同程度的来由的问题,并通过向相关厂商和社区反馈,及时封堵了这些长时间存在的风险。 公开资源与规划Patch2QL是一项服务于开源供应链安全的技术,为在开源生态中发挥最大化效能,其产出已由云鼎实验室面向开源生态公开使用。
1.1K10编辑于 2024-01-31 - 来自专栏OpenSCA
供应链安全情报 | cURL最新远程堆溢出漏洞复现与修复建议
cURL在2023年10月11日下午紧急发布最新版本来修复前几日发现的高危安全漏洞,其中编号为CVE-2023-38545的漏洞是cURL客户端在处理SOCKS5协议时存在的堆内存溢出漏洞。 图片漏洞复现悬镜供应链安全实验室第一时间对该漏洞进行分析和复现,当使用存在CVE-2023-38545漏洞的curl客户端或libcurl库请求攻击者的恶意socks代理服务器时,攻击者可通过socks5 服务器返回非法的协议数据来远程触发该堆内存溢出漏洞,如果能成功利用该漏洞,受害者主机系统可能存在被攻击者远程执行任意代码的风险。 ,在8.4.0版本中被修复,目前该漏洞只影响libcurl 7.69.0 ~ 8.3.0版本,不受漏洞影响的版本:libcurl < 7.69.0 和 >= 8.4.0。 图片修复建议禁止使用存在漏洞版本的curl客户端或libcurl库连接不信任的socks代理服务器升级到最新版本8.4.0*ps:可以关注下容器中 cURL 的默认版本该漏洞利用难度较高,用户可酌情选择是否升级到最新版本悬镜供应链安全实验室也将持续监测和挖掘未知的开源组件安全风险
2.4K220编辑于 2023-10-12 - 来自专栏FreeBuf
SolarWinds漏洞四周年,供应链攻击已成企业「大麻烦」
更新机制劫持:供应链攻击中,更新机制劫持是一种极具破坏性的策略,威胁攻击者利用软件更新过程中的漏洞或不安全的通信渠道,将恶意代码注入到软件的更新包中,然后通过合法渠道将这些恶意更新推送给用户。 篡改源代码:篡改源代码是一种常见且危险的供应链攻击方法,通过对软件或系统的源代码进行恶意修改,来实施攻击并植入后门、恶意代码或漏洞,这种攻击方法往往利用供应链中的弱点,例如第三方软件库、开源组件或外包开发团队 ,通过实时监控和审计,可以及时发现和应对供应链中的安全风险和漏洞。 减少第三方和开源组件依赖:组织应该审查和评估其对第三方和开源组件的依赖情况,识别和分析所有使用的第三方库、框架和工具,了解其安全性和稳定性,通过对第三方和开源组件的全面审查,可以识别潜在的安全风险和漏洞 同时,建立一个集中化的组件库和更新机制,确保所有使用的组件都经过审查和更新,以修复已知的安全漏洞。
1.1K10编辑于 2024-04-25 供应链漏洞治理方法全解析:腾讯云VGS构筑企业安全护城河
供应链漏洞已成为威胁企业数字安全的“隐形炸弹”。 本文结合供应链漏洞治理的核心挑战,深度剖析腾讯云漏洞治理服务(VGS)的技术优势与创新实践,为企业提供从情报监测到修复落地的全链路解决方案,助力筑牢供应链安全防线。 一、供应链漏洞治理为何迫在眉睫? 随着全球供应链数字化程度加深,攻击者正通过组件依赖、开源代码、第三方服务等薄弱环节发起攻击。2024年全球供应链攻击事件同比增加38%,平均每家企业需应对7.2个未修复漏洞。 二、供应链漏洞治理的“腾讯云方案” 腾讯云漏洞治理服务(VGS)依托腾讯安全实验室的实战经验与全网情报网络,提供覆盖“监测-分析-修复-验证”的闭环能力,显著缩短漏洞响应时间窗口。 需部署探针,年均成本超$15万 合规适配 支持GDPR、等保2.0等国际国内标准 需二次开发对接 结语 供应链漏洞治理已进入
19710编辑于 2025-10-10- 来自专栏机器之心
影响众多编程语言、引发供应链攻击,剑桥大学发布「木马源」漏洞
机器之心报道 编辑:陈萍 最近,剑桥大学的研究者公布了一种名为 Trojan-Source 漏洞,可能危及软件和第一手供应链。 漏洞与攻击无处不在。 该漏洞几乎影响所有计算机语言,包括对 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 。 此外,恶意代码可以将 Trojan Source 用于供应链攻击。 「这种代码复制是现实世界安全漏洞的重要来源。」 好消息是,研究人员进行了广泛的漏洞扫描,还没有人利用这一漏洞。坏消息是目前还没有防御措施,将来可能会有人利用该漏洞进行一些破坏。 Green 表示:希望编译器和代码编辑器开发人员能够快速修补这个漏洞! 图源:XKCD.com/2347/ 加州大学伯克利分校计算机科学系的讲师 Nicholas Weaver 表示,剑桥提出了一组非常简单、优雅的攻击,可能会使供应链攻击变得更加严重。
1.3K10编辑于 2023-03-29 - 来自专栏FreeBuf
中国台湾一厂商曝高危漏洞,威胁供应链上数百万设备
近期,CISA发布了一个新的ICS公告,称ThroughTek工具中存在高危漏洞(CVSS评级9.1分)。该漏洞可被攻击者利用,从而访问音频、视频源以及其他敏感信息,还可以欺骗设备、劫持设备证书。 作为多个消费级安全摄像头和物联网设备原始设备制造商供应链的组成部分,此次漏洞影响IP 摄像机到婴儿和宠物监控摄像机,以及机器人和电池设备。 ? 事实上,该漏洞已在SDK 3.3版及2020年以后的版本中得到解决,但对于3.1.5版(包括3.1.5版)而言仍然是一个问题。 CISA则建议用户采取相应防御措施,将漏洞的风险降至最低: 尽量减少所有控制系统设备和系统的网络暴露,并确保它们不能从 Internet 访问。 不过也要意识到VPN可能存在漏洞,同样需要更新到可用的最新版本。 最后,所有企业在部署防御措施之前,最好都进行适当的影响分析和风险评估。
65620发布于 2021-07-02 - 来自专栏走进敏捷BI
供应链管理难?用数据打造智能供应链
随着技术的不断进步和经济的飞速发展,企业已由产品竞争,逐渐转移到供应链竞争,供应链也迎来转型变革的最佳时机。 供应链管理建设目标和方法 供应链管理的核心是在合适的时间,把合适的商品配送合适的数量到合适的位置。 具体分为如下四个方面: 1、通过供应链管理缩短现金周转时间,供应链环节是资金周转率的决定性环节。 那么关注供应链的企业应如何实现对供应链的深度科学管理? 供应链绩效是围绕供应链的最终目标,对供应链所包含的各个部门、环节,进行的生产前、生产中和销售后整个环节进行的一个系统整体的分析评价。 在已经了解了供应链绩效体系之后,如何来管理供应链?结合供应链管理分析架构,我们以供应链的关键环节采购、库存为例,来了解企业如何实现供应链的数字化运营。
2.1K32发布于 2021-11-16 - 来自专栏FreeBuf
云计算供应链遭遇重大安全风险!AMI MegaRAC BMC 曝两大关键漏洞
作者丨小薯条 编辑丨zhuo 近日,AMI MegaRAC Baseboard Management Controller (BMC)软件中披露了两个安全漏洞,这些漏洞一旦被攻击者成功利用,将可远程控制服务器并直接部署恶意软件 此次的新漏洞被命名为BMC&C,其中一些漏洞是固件安全公司在2022年12月(CVE-2022-40259、CVE-2022-40242和CVE-2022-2827)和2023年1月(CVE-2022- 虽然没有证据表明这些漏洞已被广泛利用,但 MegaRAC BMC(主要供应商出货的数百万台设备中的关键供应链组件)确实已经成为了威胁行为者的重要目标。 研究人员表示,这些漏洞给那些以云计算为基础的技术供应链带来了巨大风险。简单来说,就是一个组件供应商的漏洞可能会影响到许多其他的硬件供应商,而这些硬件供应商的漏洞又会传递给许多云计算服务。 这些漏洞可能会对企业的服务器、硬件以及支持其使用的云服务的硬件构成风险。
62520编辑于 2023-08-08 - 来自专栏FreeBuf
又见供应链威胁:漏洞“INFRA:HALT ”影响数百家供应商的OT设备
2021年8月4日,JFrog和Forescout的研究人员发布了一份联合报告,公开披露了在NicheStack TCP/IP堆栈中发现的14个安全漏洞。 由于这种漏洞存在于OT环境,所以受影响最大的垂直行业是制造业。 INFRA:NicheStack中的HALT漏洞 在过去的两年里,来自多家公司的研究人员亲自探索物联网、OT和嵌入式设备/系统中使用的各种TCP/IP堆栈的安全性,并记录了他们的发现。 关于此次被发现的漏洞,研究人员解释称, “如果这些漏洞被利用,不法分子就可以控制用于控制照明、电力、安全和消防系统的楼宇自动化设备,以及用于运行装配线、机器和机器人设备的可编程逻辑控制器(PLC)。 除了实施补丁外,安全专家还敦促管理员使用网络分段来降低易受攻击设备的风险,并监控所有网络流量中是否存在试图利用已知漏洞或零日漏洞的恶意数据包。
56830发布于 2021-08-24 - 来自专栏DevOps实践之路
Dependency-Track:分析开源组件漏洞,帮助组织识别和减少软件供应链中的风险
研发过程中被忽略的开源组件安全 2021年底的Log4j核弹级漏洞刚过去,近期XZ漏洞又被推上热搜。近期准备结合一些工具实践,介绍下关于研发过程中的开源治理,也是近些年被炒的很火的“供应链安全”。 回到漏洞爆发那天晚上 研发团队是否在紧急修复漏洞? 我们有这么多开发组,有没有哪个团队在用这个第三方组件? 用了这个第三方组件的团队,他们使用的组件的版本是否受此次漏洞影响? Dependency-Track:帮助组织识别和减少软件供应链中的风险 ❝OWASP,全称Open Web Application Security Project,是一个非盈利组织,致力于提升Web应用程序的安全性 该平台集成了多种漏洞数据库,并提供了一系列功能,帮助组织识别和管理其软件供应链中的安全风险。 平台采用了几种漏洞识别方法,包括: NVD,美国国家漏洞数据库 ~~NPM Public Advisories,NPM出品的关于JS及Node.js包、库的漏洞数据库,这个数据库里可能包含了不在NVD数据库中的漏洞
2.2K10编辑于 2024-04-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号