Apache Tika 存在嚴重 XXE 漏洞,需要緊急修復2025.12.08資安漏洞Apache Tika中發現一個極為嚴重的XML外部實體(XXE)注入漏洞(CVE-2025-66516),CVSS評分高達10.0。此漏洞影響tika-core、tika-pdf-module和tika-parsers等多個模組,允許攻擊者透過惡意構造的PDF檔案執行攻擊。本文詳述漏洞範圍、與先前CVE-2025-54988的關係,並敦促使用者立即升級至修復版本。
WebXR漏洞影響40億Chromium用戶,立即更新瀏覽器2025.12.05資安漏洞由於WebXR功能存在一個影響全球七成以上瀏覽器市場份額的嚴重漏洞(CVE-2025-12443),本文呼籲所有Chromium核心瀏覽器用戶立即更新至安全版本,以保護敏感資料。
OpenAI 編碼代理程式中的漏洞可能使開發者更容易遭受攻擊2025.12.05資安漏洞OpenAI的Codex CLI中一個關鍵漏洞(CVE-2025-61260)已被修復。該漏洞允許攻擊者透過在程式碼儲存庫中植入惡意配置檔案,在開發者工作流程中觸發命令執行,構成隱蔽的供應鏈威脅。
React 和 Node.js 中存在最高嚴重性漏洞,已修復,請盡快更新2025.12.05資安漏洞React開發團隊已修復React伺服器元件(RSC)中的一個最高嚴重性漏洞(CVE-2025-55182),該漏洞允許未經身份驗證的攻擊者執行遠端程式碼,並廣泛影響Next.js、Waku等依賴框架。
微軟「緩解」了被用作零時差漏洞的Windows LNK漏洞2025.12.04資安漏洞微軟悄悄地「緩解」了一個被多個國家支持和網路犯罪駭客組織利用的 Windows LNK 高嚴重性零時差漏洞(CVE-2025-9491),該漏洞允許攻擊者在 LNK 檔案中隱藏惡意指令來部署惡意軟體。
King Addons 嚴重漏洞被利用來攻擊 WordPress 網站2025.12.04資安漏洞WordPress 插件 King Addons for Elementor 中一個 CVSS 評分 9.8 的嚴重漏洞(CVE-2025-8489)正被威脅行為者利用,允許未經身份驗證的攻擊者獲得管理權限,導致網站被完全攻陷。
開源軟體庫React 嚴重缺陷引發立即採取行動的呼籲2025.12.04資安漏洞React 開源專案發布了針對其伺服器元件(RCS)協定的最高級別嚴重漏洞(CVSS 10.0)警告,該漏洞允許遠端程式碼執行(RCE),並要求使用者立即更新 React 及 Next.js 以防止攻擊。
全新 ShadowV2 殭屍網路惡意軟體利用 AWS 服務中斷進行測試2025.11.28資安漏洞Fortinet FortiGuard Labs發現新型Mirai變種「ShadowV2」殭屍網路,利用已知漏洞攻擊D-Link、TP-Link等多家供應商的物聯網設備。該惡意軟體在AWS服務中斷期間短暫活躍,可能是一次大規模攻擊的測試運行,凸顯了物聯網設備韌體更新的關鍵性。