Schwachstellenanalyse

CVE-2025-34291 是在 Langflow AI 代理与工作流平台中发现的一个严重漏洞链，安全评分达到 CVSS v4.0: 9.4。该漏洞允许攻击者通过诱导用户访问恶意网页，实现对 Langflow 实例的完全账户接管和远程代码执行（RCE）。

CVE-2025-55182漏洞受影响版本中React 19引入，Next.js App Router 将来自客户端的 RSC 序列化数据直接交由 ReactFlightReplyServer 反序列化，未对模型结构、引用路径与 Server Reference 元数据进行充分校验。攻击者可构造恶意 RSC请求，引导 parseModelString、getOutlinedModel、loadServerReference、initializeModelChunk 等解析链路进入异常状态，在模块加载与引用绑定阶段控制调用目标，最终在 Next.js 中可触发任意服务端代码执行。

In diesem Beitrag wird die von den Sicherheitsforschern Bo Lai und Xin Zhang vom 360 Vulpecker Team durchgeführte Suche nach Schwachstellen in SDKs von Drittanbietern für mobile Anwendungen vorgestellt. Das Team konzentriert sich auf den Bereich der Angriffe und der Verteidigung der Sicherheit von Android-Systemen und -Anwendungen und hat selbst ein automatisiertes System für die Sicherheitsprüfung von Android-Anwendungen entwickelt. Dieses Papier beginnt mit dem Sicherheitsstatus von SDKs von Drittanbietern, diskutiert die Sicherheitsrisiken, die durch die SDK-Integration entstehen, und beschreibt im Detail die Sicherheitsrisiken und Angriffsmethoden, die in verschiedenen SDKs existieren. Die Methoden zur Ausnutzung von Schwachstellen bei Push-SDKs und gemeinsam genutzten SDKs werden anhand von Beispielen analysiert, und es wird aufgezeigt, inwieweit sich die damit verbundenen Schwachstellen auf Anwendungen auswirken. Abschließend werden einige Überlegungen vorgestellt, um die Aufmerksamkeit der Leser zu wecken und sie zum Nachdenken über die Sicherheit mobiler APPs anzuregen.

Google Android 14 Input Method Information Disclosure Vulnerability, aufgrund eines Seitenkanal-Informationsoffenlegung, gibt es eine Möglichkeit, potenziell zu bestimmen, ob eine Anwendung installiert ist, ohne die Berechtigungen abzufragen. Dies könnte zu einem lokalen Informationsleck ohne zusätzliche Ausführungsberechtigungen führen. Es ist keine Benutzerinteraktion erforderlich, um die Sicherheitslücke auszunutzen.

Am 24. November 2021 meldete das AliCloud-Sicherheitsteam die Apache Log4j2-Schwachstelle für Remotecodeausführung an die Apache-Beamten. 01 Beschreibung der Schwachstelle Apache Log4j2 ist ein hervorragendes Java-Logging-Framework. ...