2025年10月25日新增48条安全情报，其中44条涉及开源软件漏洞，4条为投毒情报。高危漏洞占比显著，包括Plane项目管理软件（CVE-2025-62716，8.1分）的XSS漏洞、PerfreeBlog（CVE-2025-60735等）多个文件操作漏洞，以及Karmada Dashboard（CVE-2025-62714，8.7分）的认证绕过问题。最严重的RCE漏洞出现在Antabot Wh

2025年11月27日共报告85条漏洞预警，其中商业软件漏洞51条，供应链投毒34条。重点漏洞包括：Cursor代码编辑器严重漏洞(9.8分)可能导致任意代码执行；Zenitel TCIV-3+对讲终端存在多个严重漏洞(最高10分)，包括命令注入和XSS攻击；Frappe CRM存在高危SQL注入漏洞(7.1分)；GitLab多个版本存在拒绝服务漏洞(6.5分)。建议优先修复Cursor、Zeni

2025年11月14日共发布81条漏洞预警，包含18条CVE漏洞、54条商业软件漏洞和9条供应链投毒预警。其中高危漏洞值得关注： Apollo Federation存在访问控制绕过漏洞(CVE-2025-64530，高危7.5)，建议升级至修复版本； NCP-HG100设备存在命令注入漏洞(CVE-2025-64444，高危8.6)，可导致root权限被获取； WordPress插件H5PxAPI

2025年12月1日共发布59条漏洞预警，包括51条CVE漏洞、1条商业软件漏洞和7条供应链投毒预警。其中重点关注CVE-2025-35028（HexStrike AI MCP服务器命令注入漏洞，9.1分严重）和CVE-2025-64772（INZONE Hub DLL劫持漏洞，8.4分高危）。其他中危漏洞涉及代码注入、XSS、SSRF等多种类型，影响Qualitor、Scada-LTS等多个系统

2025年11月18日新增121条漏洞预警，其中商业软件漏洞93条、供应链投毒28条。重点漏洞包括：Tenda CH22路由器高危缓冲区溢出漏洞（7.4分）、phpMyFAQ高危SQL注入漏洞（7.2分）、Nettec AS Digi On-Prem Manager高危API漏洞（8.8分）。其他中危漏洞涉及OpenRapid CMS、学生管理系统等多个系统的XSS和SQL注入问题。建议优先修复高

2025年10月26日安全情报摘要：共披露13条安全情报，其中开源软件漏洞7条，投毒攻击6条。开源方面披露多个影响BLU-IC2/IC4至1.19.5版本的严重漏洞（CVE-2025-12216至12221），以及langchain的SQL注入高危漏洞。投毒攻击涉及NPM和PyPI组件，包括realtime-twilio、yulk、bad-santa-claude等恶意包，会窃取主机信息、钱包助记

2025年12月1日共发布59条漏洞预警，包括51条CVE漏洞、1条商业软件漏洞和7条供应链投毒预警。其中重点关注CVE-2025-35028（HexStrike AI MCP服务器命令注入漏洞，9.1分严重）和CVE-2025-64772（INZONE Hub DLL劫持漏洞，8.4分高危）。其他中危漏洞涉及代码注入、XSS、SSRF等多种类型，影响Qualitor、Scada-LTS等多个系统

2025年11月22日共发布35条漏洞预警，其中CVE漏洞32条，供应链投毒预警3条。高危漏洞包括WordPress S2B AI Assistant插件的任意文件上传漏洞(CVE-2025-12973)、RNP加密漏洞(CVE-2025-13470)等。中危漏洞涉及Wazuh配置泄露(CVE-2025-64483)、IBM Concert点击劫持(CVE-2025-36149)等。低危漏洞主要为

近期发现多起NPM和PyPI供应链投毒事件，多个恶意组件被发现窃取用户敏感信息或植入后门。受影响NPM组件包括@elara-services/tickets、acz.view.src、@book000/node-utils等，会窃取主机名、用户名、IP地址等信息并发送至攻击者服务器。PyPI组件mcp-weather-full和wei516-enconly存在后门风险，利用AI代理执行恶意命令。d

2025年11月5日共发布35条漏洞预警，包含26条CVE漏洞、1条商业软件漏洞和8条供应链投毒预警。其中，Radiometrics VizAir系统存在多个严重漏洞（CVSS评分10分），可能导致未经授权修改关键气象数据；Cursor代码编辑器存在高危漏洞（最高8.8分），涉及远程代码执行风险；三星Exynos系列芯片存在中高危漏洞。建议重点关注CVE-2025-61956等严重漏洞，及时采取修