关于React Server Components存在远程代码执行漏洞的安全公告

安全公告编号:CNTA-2025-0015 2025年12月4日，国家信息安全漏洞共享平台（CNVD）收录了React Server Components远程代码执行漏洞（CNVD-2025-29

数百辆保时捷突然熄火变成“砖头”，联网汽车安全引发担忧

关注我们带你读懂网络安全因车辆追踪系统的卫星通信故障，俄罗斯多地数百辆保时捷突然无法正常运作，专家称可能是系统故障、人为造成（GPS和通信干扰）或网络攻击引发的，再度凸显现代联网汽车技术可能存在的安全

美国空军将在基地和基础设施工控系统实施零信任网络安全

编者按在美国防部发布新的运营技术零信任指南的情况下，美国空军即将开始在其基地和基础设施的工业控制系统中应用零信任网络安全原则。美国防部针对信息技术的零信任指导方针设定了两个成熟度级别、共计152项活动

安全卷不动了，听听歌吧

米山《戳不碎的生活》，周末愉快！想听完整版的可以B站或某音看🤔

【CVE-2025-27389】应用安装流程校验缺陷可能导致风险提示被绕过的致谢公告

OPPO 安全团队衷心感谢研究员的发现，帮助我们提高 OPPO产品安全性。 期望更多安全研究员积极参与申请CVE。致谢：Haonan Feng、Tianming Liu、Zikan Dong、Haoy

【年终盛典】全员有奖！OSRC年终盛典狂撒20w+福利，人人都有机会瓜分5w礼品池！

2025年岁末将至，OSRC年度颁奖典礼即将重磅启幕！总价值超20万元的福利池已蓄满，今年不止TOP10顶尖白帽可以瓜分15万现金大奖，更重磅的是：只要你今年在OSRC提交过有效漏洞，可以直接解锁年终

React高危漏洞，腾讯云全系安全产品一键防护

漏洞速览近日，腾讯云安全云鼎实验室监控到React与Next.js官方团同时发布紧急安全公告，披露了一个严重的远程代码执行漏洞。React 编号 CVE-2025-55182，对应 next.js 编

火绒小问答——「企业版」需要放开的域名和端口

尊敬的企业用户，您好！为确保火绒控制中心（Windows/Linux 版）及各系统终端（Windows/macOS/Linux）正常运行、顺利完成升级更新与功能使用，以下为您整理了需放开的相关域名及端

【火绒安全周报】北理工办公系统遭诈骗植入/韩国破获网络性犯罪大案

北理工办公系统遭诈骗植入据新京报报道，北京理工大学教职工近期在学校办公系统中收到以 “发放专项津贴”为名的诈骗链接。12 月 1 日，校方工作人员回应称，学校已高度重视此事并展开处理，初步判断系办公系

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

浅析如何在逆向中分析AES算法

AES算法浅析AES是对称加密算法，在逆向中常常使用到，白盒AES算法详解这篇文章写的非常好，通俗易懂。但是我在原理到代码的过程经常会卡壳，因此结合C语言代码浅析一下算法。这里使用的源码为https:

【免费领】超1800页！史上最全CTF学习宝典（从入门到实战）

点击蓝字/关注我们今日福利CTF大佬珍藏宝典全网最全的CTF入门学习资料CTF入门知识大全+实战技巧手册限时福利，请及时领取哦 ~该资料超1800页，无法列出全部目录，以下为节选的部分目录：长按识别下

从技术玩家到安全专家！2025补天白帽黑客盛典报名开启，AI安全攻防盛宴等你入局！

报名正式启动！补天白帽黑客盛典12.19 广州中心皇冠假日酒店筑牢网络安全防线、聚力人才生态建设，备受行业瞩目的年度网安技术盛会——2025 补天白帽黑客盛典暨湾区网络安全人才基地发布会，将于12月1

APT-C-53（Gamaredon）利用CVE-2025-8088进行网络钓鱼攻击活动

APT-C-53 GamaredonAPT-C-53（Gamaredon），又名Primitive Bear、Winterflounder、BlueAlpha，是一个自2013年起活跃的俄罗斯政府支

深度参与2025教育网络安全专题研修班，绿盟科技以体系化安全能力护航智慧教育

12月4日，由教育部教育信息中心主办的“2025教育网络安全专题研修班（中部片区）暨网络安全标准贯标应用活动”成功举办。绿盟科技作为教育网络安全领域的长期建设者与赋能者，受邀深度参与本次活动，充分展示

从开发视角看：Android App代码混淆进阶方法

点击蓝字 关注我们代码混淆是一种 “伪装” 技术，通过工具（如 R8/ProGuard等）对 App 的 Java/Kotlin 代码进行处理，让原本清晰的类名、方法名、字段名变成无意义的符号（如 a

Mock 热加载重塑无污染客户端测试

在传统的渗透测试中，我们常常在客户端与服务器之间架设窃听设备，我们拦截、观察、篡改真实的通信。这种模式有效，但存在固有缺陷：状态污染 (State Contamination): 每次测试都会在服务器

TSRC Commit ｜ 让改变，随倾听发生

我们深知，你追求的不仅是漏洞奖励，更是技术被认可的价值感。TSRC团队这是我们新开辟的专栏，用来同步那些 “因你建议而落地” 的改变。TSRC的每一次优化，都希望与你更好的体验同频。这一切的源头，是你

【漏洞预警】React 和 Next.js 中的严重远程代码执行漏洞（CVE-2025-55182）

先关注，不迷路.免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文

安全简讯（2025.12.05）

1. Aisuru僵尸网络发动了29.7 Tbps DDoS攻击12月3日，2025年第三季度，规模庞大的Aisuru僵尸网络在三个月内发起1304次分布式拒绝服务攻击，其中一次创纪录地达到29.7T

Next.js & React 满分RCE漏洞 (CVSS 10.0) 现已公开（附PoC与自查工具）

漏洞编号： CVE-2025-55182 / CVE-2025-66478风险等级： CRITICAL (10.0)利用难度： 极低 (无需认证/0-Click)受影响资产： Next.js, Dif

CVE-2025-55182 React Server Components 远程代码执行漏洞

>>>> 漏洞名称：CVE-2025-55182 React Server Components 远程代码执行漏洞>>>> 组件名称：React Server Components（react-ser

【追更】已支持回显验证！新爆CVE-2025-55182 PoC可无条件利用，Dify受影响严重

书接上文，Goby安全团队在分析12月4日爆出的CVE-2025-55182 PoC后，分析出CVE-2025-55182的利用条件：分析出该漏洞并非完全无危害：react作为前端的主流框架，涉及面非

习近平同法国总统马克龙在成都进行友好交流

12月5日，国家主席习近平在四川省成都市都江堰同法国总统马克龙进行友好交流。初冬的都江堰，苍山掩翠。马克龙夫妇抵达时，受到习近平和彭丽媛热情迎接。习近平欢迎马克龙到访“天府之国”，表示去年你邀请我赴你

苹果爆出“超级漏洞”：官方播客沦为黑客攻击入口

近日，多家国外媒体与安全研究者发现一件诡异的事：越来越多苹果用户的iPhone和Mac，在无人操作的情况下自动弹出苹果播客（Apple Podcasts），界面指向从未订阅过的宗教、灵修、教育类节目，

OT人工智能集成的四大基本安全原则

随着人工智能（AI）加速向工业控制领域渗透，如何平衡AI的“概率性创新”与运营技术（OT）的“确定性安全”，已成为全球关键基础设施面临的首要挑战。近日，美国网络安全和基础设施安全局（CISA）联合澳大

【高危漏洞复现】React Server Components|Next.js远程代码执行漏洞(CVE-2025-55182)

漏洞描述:Rеасt Sеrvеr Cоmроnеntѕ是一个用于构建服务器端组件的框架,支持多种包如rеасt-ѕеrvеr-dоm-раrсеl、rеасt-ѕеrvеr-dоm-turbорас

白话AI安全：AI的攻防博弈

诺贝尔物理学奖、图灵奖得主，“AI教父”杰弗里·辛顿（Geoffrey Hinton）教授近日接受采访时抛出惊人观点：人类需立即行动应对AI风险，否则生存将受到威胁。他甚至用“外星舰队抵达地球”来类比

专家

【免费直播】前期基础弱一样成功中标立项！大牛评审免费1v1连麦答疑

国自然中标的难度，各位老师都心知肚明，有人勤勤恳恳数年，都换不来一个中标的机会，是能力不行吗？并不全是。还有的老师觉得是不是因为我没好平台、前期基础薄弱，所以永远也不可能中？说实话，平台只占很小很小的