TeamPCP再发动供应链攻击;数百个恶意包被上传,RubyGems 暂停新账号注册
这次攻击行动反映了供应链攻击的一个更广泛的转变:从孤立的软件包入侵,转向通过可信的 CI/CD 基础设施进行身份驱动的传播。
代码卫士
微软2026年5月补丁星期二值得关注的漏洞
速修复
Fortinet 提醒注意 FortiSandbox 和 FortiAuthenticator 中的严重RCE漏洞
速修复
Go 流行库 fsnotify 的维护人员访问权限变更,拉响供应链攻击警报
供应链入侵的早期阶段与维护者争议从外部看起来几乎一模一样。两者都可能涉及意外发布、权限变更以及相互矛盾的公开声明。
Checkmarx 再遭攻击,Jenkins AST 插件受陷
Checkmarx 公司第二次安全事件发生的如此之快,说明该团伙正在活跃观察再次进入的入口点、测试之前修复方案的深度并加以利用任何弱点。
斯柯达网上商店漏洞遭利用,客户信息遭短暂未授权访问
然而,由于现有服务器端登录协议中的限制条件,调查人员无法百分百证实数据是遭外泄还是仅遭访问。
cPanel 修复三个新漏洞
速修复
Dirty Frag 可被用于获得Linux所有主流发行版本的 root 权限
速修复
Microsoft 365 Copilot 多个严重漏洞可导致敏感信息暴露
速修复
速修复已存在21年的 FreeBSD RCE 漏洞
速修复
Ivanti 提醒注意已遭利用的 EPMM 高危漏洞
速修复
Apache HTTP/2 严重漏洞可导致 DoS 和 RCE
速修复
vm2 沙箱严重漏洞可导致在宿主机执行代码
速修复
Palo Alto 提醒注意严重的 PAN-OS RCE漏洞
速修复
Progress 提醒注意严重的 MOVEit 自动化认证绕过漏洞
速修复
SAP 官方 npm 包受陷,被用于供应链攻击窃取凭据
可能因一个 npm 令牌通过配置错误的 CircleCI 任务被泄露造成。
Copy Fail: 仅732字节,通杀所有主流 Linux 发行版,隐藏9年的 root 提权漏洞
速修复
奇安信Qcode Agents亮相数字中国,以多智能体协同守护AI时代代码安全
奇安信Qcode Agents以多智能体协同架构,精准破解研发安全痛点,本次数字中国峰会重点展示了三大核心智能体的实战能力,实现安全防护与研发效率双重提升。
刚刚,cPanel紧急修复影响所有受支持版本的认证漏洞
速修复
仅凭一条 git push 命令,即可在 GitHub 实现RCE 并访问数百万仓库
速修复
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)