murphysec

【严重】Smartbi <= 11.0.99471.25193 权限控制不当导致远程代码执行漏洞 漏洞描述 Smartbi 是一款领先的国产商业智能软件，致力于为企业提供一站式的数据分析和决策支持解决方案。受影响版本中，由于Smartbi存在权限验证缺陷，未授权的攻击者通过访问 /smartbi/vision/share.jsp?resid= 公开分享…

【高危】PyPI仓库 pytensorlite 组件窃取用户敏感信息 漏洞描述 当用户安装受影响版本的 pytensorlite Python组件包时会窃取用户的浏览器、Discord/加密货币钱包、社交媒体应用（Instagram、TikTok、ProtonMail）等敏感数据信息，并发送到攻击者的 Discord Webhook 地址。 MPS编号 MP…

【高危】NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @capacitor-bmo/biometric 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-ulta-dq1b 处置建议 强烈建议修复 发现时间 2025-08-17 …

【高危】Google Chrome V8<13.8.79 沙箱绕过漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，owner_ident…

【高危】NPM组件 @angular_devkit/architect 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/architect 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-b43a-1vwt 处置建议 强烈建议修复 发现时间 2025-08-1…

【中危】NGINX ngx_mail_smtp_module 内存越界读取漏洞 漏洞描述 NGINX是一个开源的、高性能的HTTP和反向代理服务器，同时也是一个IMAP/POP3/SMTP代理服务器。它被广泛应用于构建高并发、高可用的Web服务。受影响版本中，当NGINX配置了ngx_mail_smtp_module模块，并且smtp_auth指令设置为no…

【高危】NPM组件 @angular_devkit/core 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/core 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-1jf5-s6ix 处置建议 强烈建议修复 发现时间 2025-08-14 投毒仓库 npm…

想要构建坚实的企业安全防线，合理的组织架构是基石。一个优秀的安全组织架构，不仅能明确责任、优化流程，更能将安全战略高效落地，是企业安全建设从“被动响应”迈向“主动防御”的关键。 如何理解企业安全组织架构的重要性？缺乏合理组织架构会导致哪些问题？如何设计出既高效又匹配企业发展的安全组织架构？ 我在多年的企业安全从业和管理实践中，从企业安全组织的顶层设计到岗位职…

安全运营是在企业安全工作中体现安全价值最直接的工作，而安全运营中心（SOC）是承载安全运营工作最重要的平台。 那么安全运营中心的产品设计直接影响到企业安全治理工作的成败，如何深入理解安全运营中心的定位，并且设计出一款好的安全运营中心，做了十多年的企业安全建设和管理工作，我有非常多的心得体会，我将从企业管理者、员工、安全负责人、安全专家等不同时间说说我对安全运…

在企业做安全运营的同学，如何将繁杂的技术、工具和流程，真正转化为企业看得见的安全能力？这背后需要的是体系化的思考和持续的优化。 8月3日晚19:30，我会在直播间和大家一起聊聊关于“深入理解安全运营”这个话题，分享我近二十年在安全行业沉淀的经验和思考。欢迎大家一起来交流和学习。