【中危】NGINX ngx_mail_smtp_module内存越界读取漏洞（CVE-2025-53859）影响版本[0.7.22, 1.29.1)。启用该模块且smtp_auth设为none时，认证服务器返回Auth-Wait响应会触发认证错误处理缺陷，导致内存越界读取，泄露服务器数据。建议升级至1.29.1及以上版本，或修改smtp_auth为非none方法，禁用不必要的smtp模块。

【高危】多个NPM组件（如@angular_devkit/core、microsoft-bonsai-api等）存在投毒风险，安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广，涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低，建议立即排查移除受影响包，删除node_modules及package-lock.json后重装依赖

NPM组件aiohappyeyeballs等存在高危投毒漏洞，安装受影响版本（如aiohappyeyeballs [0.1.4, 0.2.5]、node-calculator-yqhi@2.2.0等）会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低，可能针对开发环境及网站管理员主机。建议立即排查依赖，移除恶意包，全面检查系统安全（如异常网络连接、敏感凭证），并加强

以ChatGPT为代表的通用大模型在迅速发展，软件的开发模式、产品形态正在因为AIGC的崛起而发生改变，软件产业可能迎来一次革新。AI将成为软件供应链中的重要组成部分，随之而来在用于应用开发的过程中可能引入各种安全及合规风险，包括：漏洞代码的引入；模型可能由于训练数据的偏差或在使用过程中受到提示符注入的攻击，导致输出的结果被投毒干扰；其本身可能存在后门指令，一旦被开启则可能成为特洛伊木马大杀四方；

Guava 是 Google 公司开发的开源 Java 代码库，提供常用的Java工具和数据结构。Guava 1.0 至 31.1 版本中的 FileBackedOutputStream 类使用Java的默认临时目录创建文件，由于创建的文件名容易被攻击者猜测，在 Unix 和 Android Ice Cream Sandwich 系统中，允许具有访问默认 Java 临时目录权限的攻击者可创建同名的

以ChatGPT为代表的通用大模型在迅速发展，软件的开发模式、产品形态正在因为AIGC的崛起而发生改变，软件产业可能迎来一次革新。AI将成为软件供应链中的重要组成部分，随之而来在用于应用开发的过程中可能引入各种安全及合规风险，包括：漏洞代码的引入；模型可能由于训练数据的偏差或在使用过程中受到提示符注入的攻击，导致输出的结果被投毒干扰；其本身可能存在后门指令，一旦被开启则可能成为特洛伊木马大杀四方；

OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。

在 Smartbi 受影响版本中存在权限绕过问题，未授权的攻击者可以通过 RMI 的方式调用 getPassword 接口获取管理员 token 信息。OSCS 是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。Smartbi 是

Smartbi是一款企业级商业智能与大数据分析平台。由于Smartbi登录代码存在逻辑缺陷，攻击者可利用该漏洞登录管理员账号，进而利用系统后台加载扩展包功能执行任意代码。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、H