Windows PowerShell 0Day漏洞可导致攻击者执行恶意代码

微软已发布安全更新，修复一个危险的Windows PowerShell漏洞（CVE-2025-54100），该漏洞允许攻击者在受影响系统上执行恶意代码。该漏洞于2025年12月9日公开披露，对全球企业

React2Shell漏洞遭大规模利用：攻击者投放加密货币挖矿程序与新型恶意软件

根据Huntress最新研究，React2Shell漏洞正持续遭到大规模利用，攻击者通过React Server Components（RSC）中的高危安全缺陷投放加密货币挖矿程序及多个此前未记录的恶

Gemini零点击漏洞可致攻击者窃取Gmail、日历及文档数据

Google Gemini Enterprise（前身为Vertex AI Search）中存在一个被命名为"GeminiJack"的高危零点击漏洞，攻击者可借此轻松窃取Gmail、日历和文档中的企业

利用AI自动化工具发现零检测的GhostPenguin后门攻击Linux服务器

Part01新型Linux后门程序被发现研究人员发现了一个名为GhostPenguin的Linux后门程序，该恶意软件在过去四个月中成功规避了安全检测。这款采用C++编写的多线程恶意软件通过加密UDP

朝鲜黑客组织利用React2Shell漏洞部署新型EtherRAT恶意软件

与朝鲜有关联的黑客组织近期开始利用React服务器组件（RSC）中新披露的关键安全漏洞React2Shell，部署一种此前未公开记录的远程访问木马EtherRAT。云安全公司Sysdig在周一发布的报

Burp Suite扫描工具新增关键React2Shell漏洞检测能力

PortSwigger公司通过最新升级ActiveScan++扩展，增强了Burp Suite的扫描能力，新增了对关键React2Shell漏洞（CVE-2025-55182和CVE-2025-664

AI安全的“上海时刻”：GDPS这场前沿交锋至关重要

我们已站在AI的“转折元年”。智能体正走出虚拟，深入现实，从工具演化为能够直接干预物理世界的“行动者”。然而智能体的“反噬”，往往只源于一个未被察觉的漏洞。技术越前进，风险越迫近。一个根本命题已然浮现

三大关键能力，让 XDR 从“看到攻击”变成“搞定攻击”

过去几年，你可能已经听烦了各种安全术语：EDR、XDR、SOC、AI 检测、NDR、All-in-One……但很多安全负责人心里其实只有一个问题：“这些东西，到底能不能真正帮我挡得住攻击、少掉点坑？”

大学生为赚学费出售"白码"无检测Webshell，已入侵5200余个政府/教育网站

安全研究人员发现了一起规模庞大的僵尸网络活动，其幕后黑手并非国家资助的APT组织，而是一名试图赚取学费的孟加拉国大学生。Cyderes Howler Cell逆向工程团队的最新报告详细披露了"白码"（

英伟达与Lakera AI联合提出AI Agent系统安全统一框架

随着人工智能系统自主性不断增强，其与数字工具及数据的交互能力带来了复杂的新型风险。英伟达与Lakera AI的研究人员合作发表最新论文，针对这类先进"Agentic"系统的安全性提出统一框架，旨在解决

Dscan：全方位自动化攻击面管理与漏洞扫描平台

在企业安全建设中，攻击面管理（ASM）一直是防御体系的第一道防线。如何快速发现暴露在公网的资产，并及时检测其中潜藏的漏洞，是安全团队面临的日常挑战。不过现在不用担心，Dscan 能解决这些问题。Dsc

Next.js发布扫描工具，可检测并修复受React2Shell漏洞影响的应用

Next.js近日发布了名为fix-react2shell-next的专用命令行工具，帮助开发者快速检测并修复高危"React2Shell"漏洞（CVE-2025-66478）。这款新型工具提供单行命

智能汽车遭远程锁死，俄罗斯数百辆保时捷出现大规模瘫痪

Part01卫星安全系统故障致数百辆保时捷瘫痪俄罗斯数百名车主和经销商报告称，由于原厂安装的卫星安全系统发生故障，导致当地大批保时捷车辆无法正常行驶。据经销商集团Rolf透露，多个俄罗斯城市的驾驶员报

高危lz4-java漏洞可能导致敏感数据泄露（CVE-2025-66566）

广泛使用的LZ4压缩算法Java库lz4-java近日被发现存在一个高危漏洞。该漏洞编号为CVE-2025-66566，其CVSS评分为8.2，表明其对数据机密性构成重大威胁。攻击者可以利用该漏洞诱骗

215万台运行Next.js的Web服务暴露于互联网，CVSS10分漏洞需紧急修复

12月3日，React披露了编号为CVE-2025-55182的关键漏洞，该漏洞存在于React服务器组件中，其CVSS评分为满分10分。漏洞源于React服务器组件所使用的“Flight”协议中存在

Cursor等AI编程工具曝30余项漏洞，可导致数据窃取与远程代码执行

近期，研究人员在各类人工智能（AI）集成开发环境（IDE）中发现了三十多个安全漏洞。这些漏洞能够将提示词注入攻击手法与IDE的合法功能相结合，从而实现数据窃取与远程代码执行。Part01漏洞概述：攻击

每周PDF资源：苹果锁屏漏洞探究；Javassist代码审计关键点实践；网络安全实验教程；计算机病毒揭秘与对抗，网络防卫计划

念古诗绕过AI安全护栏：25款顶尖模型栽跟头，模糊语义成安全大漏洞

Part01一首诗 “放倒” AI 安全墙？危险内容竟能轻松获取对人类来说，诗歌有时是 “猜不透的艺术”，可最新研究发现，AI 遇上诗歌也会 “犯迷糊”！来自德克萨伊伦理 AI 公司伊卡洛斯实验室、罗

Cloudflare全球服务中断事件溯源：React漏洞修复适得其反

Part01全球网络突发中断Cloudflare 全球网络今晨因 Web 应用防火墙（WAF）内部变更引发短暂但大规模服务中断，持续时间约 25 分钟。此次变更旨在应对 React Server Co

FreeBuf周报 | 高通骁龙8 Gen3曝出高危漏洞；核弹级React远程代码执行漏洞

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！📶启动过程遭入侵：高通骁龙8 Gen3及5G调制解调器曝出高危漏洞

黑客可在数秒内劫持行车记录仪并将其武器化为攻击工具

行车记录仪已成为全球驾驶员必备设备，可作为交通事故或道路纠纷的可靠见证。然而，新加坡网络安全研究团队发现了一个令人不安的事实：这些看似无害的设备可在数秒内被劫持，转变为强大的监控工具。Part01漏洞

朝鲜黑客遭“反杀”：专用设备意外感染木马，牵涉14亿美元加密货币盗窃案

一起罕见的"反杀"事件曝光：朝鲜国家资助的黑客组织设备感染了通常用于攻击他人的同类型恶意软件，意外揭露其运营细节与史上最大规模加密货币盗窃案之一的直接关联。网络安全情报公司Hudson Rock在分析

大模型安全资料一次找齐！3000 + 份资源，覆盖全领域

现在大模型落地越来越快，不管是企业做合规落地，还是团队搞技术研发，甚至是个人想跟进行业动态，都绕不开 “安全” 这块 —— 但偏偏这领域的资源特别散，要么政策更新了找不到解读，要么技术方案缺实操支撑，

高危级Splunk漏洞：Windows文件权限配置错误导致本地提权

Part01漏洞概括2025年12月5日，安全研究人员发现影响Splunk Enterprise平台和Universal Forwarder组件的两个高危漏洞（CVE-2025-20386、CVE-2

WebXR漏洞影响40亿Chromium用户，请立即更新浏览器

网络安全专家AISLE近期在全球主流网页浏览器底层代码中发现一个严重安全漏洞，可能导致超过40亿台设备面临数据泄露风险。该漏洞被评定为中等危害程度（4.3分），影响所有基于Chromium代码库的主流

FreeBuf社群开通AI商桥服务，甲乙双方精准业务对接

写在前面回首而望，FreeBuf甲方会员体系已经陪伴大家走过 1800多个日夜 ，与来自科技、金融、制造、医疗、政务等 20大行业 的 2000多位安全从业者 共同成长，同时也与 300+家优质安全厂

React框架被曝最高危险等级漏洞，阿里云一键防护指南速览

近日，Meta的React核心团队与Vercel的Next.js团队联合发布公告，披露了两个最高危险等级（Critical）的安全漏洞：CVE-2025-55182（React）和CVE-2025-6

核弹级漏洞：React与Next.js严重RSC漏洞可致未经认证的远程代码执行

React Server Components（RSC）组件中被披露存在一个最高严重级别的安全漏洞，攻击者成功利用该漏洞可实现远程代码执行。该漏洞编号为（CVE-2025-55182），CVSS评分为

Anthropic红队成功利用AI攻击区块链智能合约盗走460万美金

Anthropic 与 MATS Fellows 开展了一项研究，提出一个关键问题：当 AI 具备“进攻性网络能力”（offensive cyber capabilities）时，其潜在经济影响有多大

乌克兰黑客利用新型定制恶意软件攻击俄罗斯航空航天企业及国防相关行业

与乌克兰有关的黑客组织正加强对俄罗斯航空航天企业及其他国防相关公司的网络攻击，使用新型定制恶意软件窃取设计图纸、生产进度表和内部邮件。此次攻击活动同时针对主要承包商和较小规模的供应商，旨在绘制生产链图