| Claude Code | CVE-2025-54794 | CVE-2025-54795 | 命令注入 | 路徑限制繞過
Claude Code曝高風險漏洞,可被濫用存取檔案與執行未授權命令
Claude Code存在兩高風險漏洞,恐被攻擊者用於繞過當前工作目錄讀檔並注入命令,目前Anthropic已修補,建議用戶立即更新並檢查權限
2025-08-11
| Dell | ReVault | 資安漏洞 | 韌體更新 | Cisco Talos
Dell商務筆電特定晶片存在ReVault漏洞,影響逾百款機型恐遭持久控制與資料竊取
Cisco Talos揭露Dell商務筆電ReVault漏洞,影響逾百款機型,攻擊者可持久控制系統、繞過登入並竊取資料,研究人員建議應立即更新韌體並採取防護措施
2025-08-08
| PyPI | Python套件安全 | ZIP混淆攻擊 | wheel檔案 | RECORD檢核
PyPI強化上傳審核以防ZIP解析差異造成的混淆攻擊,新增多項ZIP結構檢核並預告2026年2月起強制比對RECORD檔案與內容一致性,降低Python套件供應鏈風險
2025-08-08
| 微軟 | Exchange | 漏洞 | CVE-2025-53786
微軟本周發出安全公告,警告Exchange Server混合環境存在重大漏洞,可使攻擊者在某些狀況下提高權限,微軟呼籲用戶安裝早先發布的修補程式
2025-08-08
| 資安日報
【資安日報】8月8日,越南駭客竊資軟體攻擊行動升溫,逾20萬組帳密遭竊
本週資安業者SentinelOne與Beazley Security揭露竊資軟體PXA Stealer的攻擊行動,並指出這波攻擊來自越南的網路犯罪生態圈,駭客將竊得資料透過Telegram的API進行自動化銷售及資料運用
2025-08-08
| CyberArk | Conjur | CVE-2025-49827 | CVE-2025-49828 | CVE-2025-49829 | CVE-2025-49830 | CVE-2025-49831 | 黑帽大會 | Black Hat USA 2025
CyberArk身分驗證資料管理平臺Conjur存在資安漏洞,攻擊者可進行串連,從而遠端執行任意程式碼
資安業者Cyata於本週舉行的資安大型會議Black Hat USA 2025裡,揭露他們通報的身分驗證資料管理平臺CyberArk Conjur資安漏洞,並指出攻擊者一旦串連,就有機會在無須提供帳密資料、Token的情況下,藉由一系列特製請求,完全控制這套管理平臺
2025-08-08
| 資安日報
【資安日報】8月7日,Linux惡意程式濫用身分驗證模組PAM隱匿行蹤
資安業者Nextron Systems揭露新型態的Linux後門程式Plague,此惡意軟體具備高度匿蹤特性,且鮮少在受害電腦留下活動的痕跡,特別的是,駭客以插入式身分驗證模組(Pluggable Authentication Module,PAM)為基礎打造而成,這樣的做法相當罕見
2025-08-07
| Claude Code | 自動安全審查 | AI | GitHub Actions
Claude Code支援GitHub,AI自動安全審查即時提供漏洞修正建議
Anthropic推出Claude Code自動安全審查功能,支援GitHub Actions,在拉取請求階段利用人工智慧分析程式碼變更,偵測安全風險並提供修正建議,提升開發流程安全性
2025-08-07
| 竊資軟體 | 越南 | PXA Stealer
越南駭客透過竊資軟體PXA從事大規模攻擊,4千組IP位址受害、20萬組帳密遭竊
資安業者SentinelOne與Beazley Security公布最新一波竊資軟體PXA Stealer的攻擊行動,越南駭客從去年下半開始活動,並不斷調整攻擊手法,使其變得更加隱密,受害者難以察覺有異
2025-08-07