murphysec

写在前面 最近在直播聊企业安全的时候，一个在阿里国际做企业安全相关工作的小伙伴一直希望我们聊聊关于项目管理的事情。 我想了想，其实还真的有很多可以聊的，因为在各家企业安全建设过程中，安全项目的推进都会遇到各种各样的槽点和困难。 过去我在企业负责安全团队的时候，以及当下在创业过程中，日常一项核心的工作，就是做好公司核心项目的管理，包括安全建设项目、产品研发项目…

对于所有的企业安全管理者来说，团队建设是最核心的工作。而对于企业安全从业者来说，更应该清晰的理解企业安全管理者在建设安全团队时思考的一些关键问题，这样才更加有利于自己长期健康的职业发展。那么6月2日晚19:30，我会结合我多年在企业负责安全部门以及和很多安全负责人交流下来的心得体会，结合案例和所有的企业安全管理者、从业者来一场深入的交流。

写在前面 大家都知道我最近一直在做视频号，包括日常坚持每天发视频，以及每周日晚上至少有一场直播，现在基本上每场直播差不多有5000～7000多的观看，每一场直播都会有一个企业安全相关的主题，而这个主题通常都是来自于大家在直播中最关心的一些问题。 这次要和大家交流的主题是关于企业安全从业者职业发展的一些关键问题。 我想把我自己过去十多年职业发展的思考、我在面试…

【高危】NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @amiga-fwk-nodejs/log 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-l8r3-kn1o 处置建议 强烈建议修复 发现时间 2025-08-13 …

【高危】Stirling-PDF < 1.1.0 SSRF漏洞 漏洞描述 Stirling-PDF是一款开源的、功能强大的Web应用程序，为用户提供了一系列处理PDF文件的工具，如格式转换、页面编辑、合并与拆分等。受影响版本中，HTML 转 PDF 功能未校验 等标签的 src URL，攻击者可提交含内网或特定地址的 HTML 文件，使服务器发起未授权…

【高危】PyPI仓库 GramApi 组件窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 GramApi Python组件包时会窃取用户的主机名、操作系统、机器架构、公网/内网 IP、当前用户、Python 版本等信息并发送到攻击者可控的Telegram地址（Bot Token：8053585122:AAGYVF0srARSIlKCmTK54WiIjWc…

【高危】Cherry Studio 命令注入漏洞 漏洞描述 Cherry Studio 是一款开源的桌面客户端，用于支持多种大型语言模型（LLM）提供商。受影响版本中，Cherry Studio在处理与MCP服务器的连接认证流程时存在缺陷。redirectToAuthorization 函数接收到来自服务器的授权端点URL后，未作任何安全检查，便将其直接传递…

【高危】NPM组件 @evt-cdk/codepipeline 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @evt-cdk/codepipeline 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-zin0-7bsl 处置建议 强烈建议修复 发现时间 2025-08-07 …

【高危】Google Chrome <139.0.7236.0 UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，OpenscreenSessionHost::ReportAndLogError 方法的参数使用了 std::string_view 类型来接收错误消息。当一个异步任务通过 b…

【高危】NPM组件 @abg-mec/fwk-fe-devcraft 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @abg-mec/fwk-fe-devcraft 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-3kfh-a8ed 处置建议 强烈建议修复 发现时间 2025-…