AI 绘图工具 ComfyUI 存在多个高危漏洞

近日，百度安全团队捕获到了一起针对大模型相关组件ComfyUI的攻击事件，经过深入分析，该事件背后团伙已实际针对国内不少公网ComfyUI进行了入侵。 关于ComfyUI ‌ComfyUI是一款基于节点流程的Stable Diffusion操作界面，专为图

用于视频编码/解码）。 CVE-2025-8880：V8 JavaScript 引擎中存在竞争条件漏洞（race condition），研究者 Seunghyun Lee 报告。 CVE-2025-8901：ANGLE (Almost Native Graphics Layer Engine) 中的越界写漏洞，涉及图形渲染层。 两个中等级别漏洞：

or/issues/935   新增CVE 情报 1. Firefox Canvas渲染恶意绘图指令越界内存写漏洞导致远程代码执行 漏洞描述 漏洞编号：CVE-2025-49709 发布日期：2025年06月11日 CVSS v3.1 评分为 9.8（超危） 参考链接：https://nvd.nist.gov/vuln/detail/CV

行解释： SerializationUtils#dserialize本身不是漏洞，使用此工具处理用户输入数据可能会导致 CVE，但该方法在内部作为缓存结果拦截器（ CacheResultInterceptor） 使用的话，则不会导致任何漏洞。 目前， SerializationUtils#dserialize在 Spring

动的开源项目，为 LLM 推理和服务提供快速易用的库。该工具支持分布式部署和先进的 KV 缓存管理，并能与工业级 LLM 基础设施集成。 漏洞存在于 PyNcclPipe 类中，该类通过点对点消息传递实现分布式节点间的 KV 缓存传输。其 CPU

漏洞 由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞，可以通过制作恶意电子邮件地址以溢出堆栈上的 4 个字节，成功利用此漏洞可用于发起 Dos 攻击或远程代码执行。 CVE-2022-3786：X.509 电子邮件地址可

23 日报告了一个“沙盒逃逸”漏洞，编号为 CVE-2025-4609，存在于 Chrome 内核的 IPCZ 通信系统中。攻击者可通过诱导用户访问恶意网站，利用该漏洞突破浏览器沙箱限制，实现远程代码执行。 尽管研究员最初将其标记为“中等危

布更新，修复了 Docker Desktop 在 Windows 10/11 和 macOS 版本中存在的一处高危漏洞。该漏洞编号为 CVE-2025-9074，评分高达 9.3/10，利用难度低，风险极高。官方已在 Docker Desktop v4.44.3 中完成修复，建议所有用户立即升级。 问题源于容

发布 Chrome 稳定版更新，修复了 V8 JavaScript 引擎中的一个高危漏洞（CVE-2025-9132）。该漏洞属于 越界写入（out-of-bounds write），攻击者可通过恶意网页触发内存破坏，进而导致浏览器崩溃或远程代码执行。 此次更新覆盖 Chrome 139.0

【漏洞描述】 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并引入了大量丰富的特性。该日志框架被广泛地用于中间件、开发框架与Web应用中，用来记录日志信息。 由于组件存在 Java JNDI 注入漏洞，

着更新或补丁可用但尚未应用。 此外，Log4J 漏洞仍然存在。在全部的代码库中，有 5% 的代码库中发现了易受攻击的 Log4J 版本；审计的 Java 代码库中，也有 11% 发现了易受攻击的 Log4J 版本。 报告建议，为避免漏洞利用并保

lare则迅速发布Workers平台补丁方案，并推出“Diverce”迁移工具（命名戏谑Divorce+Vercel），宣称可一键将Next.js应用从Vercel迁移至Cloudflare平台。 Cloudflare这波操作把Vercel CEO给气炸了，直接贴脸开怼，说Cloudflare DDoS是垃圾，而且服

23日，360CERT监测发现Apache官方发布了安全通告 ，修复了多个漏洞，其中包含的漏洞编号有：CVE-2021-44224、CVE-2021-44790，漏洞等级：高危，漏洞评分：8.2。 Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器，可以在大

需求大量增加。" 报告数据显示，有 300% 的测试目标存在某种形式的漏洞，36% 的测试发现了高危或严重漏洞；还有 76% 发现的漏洞属于 OWASP Top 10 类别，而应用程序和服务器配置错误占所发现的整体漏洞的 21%。 在移动应