Millions of AI agents imperiled by critical vulnerability in open source package★ 78
Ars Technica AI7d agoIncidentArs Technica reports that Starlette, a Python package with about 325 million weekly downloads, has a critical vulnerability called BadHost. The flaw can let crafted Host headers confuse request.url.path, potentially bypassing middleware-based path authorization. AI infrastructure using FastAPI or Starlette, including vLLM, LiteLLM, MCP servers, LLM proxies, and agent frameworks, should upgrade Starlette and audit custom middleware.
Everyone is navigating AI security in real time — even Google★ 70
TechCrunch AI8d agoCommentaryAs AI adoption accelerates, organizations worldwide—including Google—are finding themselves in a transitional phase, forced to address AI security vulnerabilities in real time. Traditional cybersecurity frameworks are proving insufficient against novel threats like prompt injection and model poisoning. This shifting landscape requires continuous adaptation and a fundamental rethink of how AI systems are secured.
Next.js May 2026 security release★ 70
Vercel Changelog26d agoReleaseVercel 於 2026 年 5 月 7 日針對 Next.js 框架發布了 2026 年 5 月的安全更新公告。本次更新主要針對框架內部的潛在安全漏洞進行修復,旨在提升 Web 應用的整體安全性與運行穩定性。官方強烈建議所有使用 Next.js 的開發團隊、企業與 SOHO 創作者,立即檢查當前專案的套件版本,並儘速升級至官方釋出的最新修復版本,以防範潛在的安全威脅與攻擊風險。
Summary of CVE-2026-23869★ 75
Vercel Changelog55d agoIncidentVercel 於 Changelog 發布了關於安全漏洞 CVE-2026-23869 的摘要公告。雖然目前詳細的技術細節與受影響範圍尚未完全公開,但此類 CVE 通常關乎 Next.js 框架、Vercel CLI 或 Serverless 執行環境的安全。建議使用 Vercel 部署服務的開發團隊密切留意官方後續的修補指引,並檢視專案依賴。
Axios package compromise and remediation steps★ 85
Vercel Changelog63d agoIncident熱門 JavaScript 套件 Axios 傳出安全入侵事件,Vercel 官方緊急發布安全公告。此事件可能導致建置或執行期引入惡意程式碼。開發者應立即檢查專案的 package.json 與 Lock 檔案,並依循指引進行套件更新、清除 Vercel 快取並重新部署,以防敏感憑證外洩。
Summaries of CVE-2025-59471 and CVE-2025-59472★ 75
Vercel Changelog127d agoIncidentVercel 於 2026 年 1 月底發布了針對 CVE-2025-59471 與 CVE-2025-59472 兩個安全漏洞的摘要說明。這類漏洞通常涉及 Vercel 平台或其核心框架(如 Next.js)的路由、快取或伺服器端渲染安全。官方建議開發者密切關注其影響範圍,並透過升級相關套件與重新部署來確保應用程式安全。
Summary of CVE-2026-23864★ 75
Vercel Changelog127d agoIncidentVercel 官方發布了關於 CVE-2026-23864 的安全漏洞總結報告。該公告旨在提醒使用 Vercel 平台及相關工具的開發者注意潛在的安全風險。官方建議開發者檢視專案依賴,並儘速升級至已修復的安全版本,以確保部署環境與應用程式的安全。
React Server Components security update: DoS and Source Code Exposure★ 85
Vercel Changelog173d agoReleaseVercel 針對 React Server Components (RSC) 發布緊急安全更新。本次更新主要修復了兩個重大安全隱患:一是可能導致伺服器崩潰的阻斷服務(DoS)漏洞,二是可能意外暴露伺服器端原始碼或敏感資料的漏洞。建議所有使用 Next.js 及 RSC 技術的開發者立即將專案依賴項升級至最新版本以確保安全。
Summary of CVE-2025-55182
Vercel Changelog181d agoIncidentVercel 官方發布了關於編號 CVE-2025-55182 的安全漏洞摘要。雖然目前 Changelog 尚未公開具體的技術細節與受影響範圍,但此類漏洞通常與 Next.js 框架或 Vercel 部署平台的安全機制相關。建議開發者密切關注官方更新,並及時將相關套件升級至最新版本。
CVE-2025-48985: Input Validation Bypass on AI SDK★ 75
Vercel Changelog208d agoIncidentVercel 官方發布安全公告,指出其 AI SDK 存在編號為 CVE-2025-48985 的安全漏洞。該漏洞允許攻擊者繞過輸入驗證機制,可能導致潛在的安全風險。官方已釋出修復版本,強烈建議所有使用 Vercel AI SDK 的開發者立即檢查並升級至最新版本,以確保應用程式安全。
CVE-2025-52662: XSS on Nuxt DevTools
Vercel Changelog208d agoIncidentVercel 發布安全更新公告,指出 Nuxt DevTools 中存在一個編號為 CVE-2025-52662 的跨網站指令碼(XSS)安全漏洞。該漏洞可能允許攻擊者在開發環境下執行惡意腳本。Vercel 提醒所有使用 Nuxt 框架的開發者檢查並更新其 DevTools 版本,以確保開發與部署環境的安全。
CVE-2025-57752★ 70
Vercel Changelog277d agoIncidentVercel 於 Changelog 發布了關於 CVE-2025-57752 的安全漏洞公告。雖然目前詳細的漏洞細節與受影響範圍尚未完全公開,但此類 CVE 通常涉及 Next.js 框架或 Vercel 部署平台的安全機制。建議使用 Vercel 服務與 Next.js 的開發者,應儘速檢查專案依賴並將 Vercel 相關工具鏈更新至最新版本,以防範潛在的安全風險。
CVE-2025-55173★ 70
Vercel Changelog277d agoIncidentVercel 於 2025 年 8 月 29 日發布安全通報 CVE-2025-55173。雖然詳細漏洞細節尚未完全公開,但此類通報通常涉及 Next.js 框架或 Vercel 部署平台的安全修補。強烈建議使用 Vercel 託管服務與 Next.js 的開發團隊密切關注官方更新,並將專案依賴升級至最新版本以防範潛在風險。
CVE-2025-57822
Vercel Changelog277d agoIncidentVercel 於 Changelog 發布了 CVE-2025-57822 安全漏洞公告。雖然目前詳細的漏洞細節與受影響範圍尚未完整公開,但此類公告通常涉及 Vercel 平台或 Next.js 等核心框架的安全修補。建議使用 Vercel 部署服務的開發團隊保持警惕,並準備進行版本升級。
CVE-2025-49005
Vercel Changelog334d agoIncidentVercel 於 Changelog 中釋出了關於安全漏洞 CVE-2025-49005 的公告。雖然目前詳細的漏洞細節與受影響範圍尚未完全公開,但此類 CVE 通常涉及 Next.js 框架或 Vercel 部署平台的安全性。建議開發者定期檢查專案依賴,並準備在官方釋出修補版本時立即進行升級。
CVE-2025-49826
Vercel Changelog334d agoIncidentVercel 於 2025 年 7 月發布了編號為 CVE-2025-49826 的安全漏洞通報。雖然目前官方頁面尚未揭露詳細的漏洞技術細節,但此類通報通常涉及 Next.js 或 Vercel 相關生態系套件的安全修補。建議使用 Vercel 部署服務的開發者密切關注官方後續更新並及時升級相關套件。
CVE-2025-48068★ 70
Vercel Changelog370d agoIncidentVercel 於 Changelog 發布了編號為 CVE-2025-48068 的安全漏洞公告。雖然目前官方尚未釋出詳細的漏洞細節與受影響範圍,但建議使用 Vercel 平台及 Next.js 等相關技術棧的開發者保持警惕。請密切注意官方後續的更新說明,並隨時準備升級專案中的 Vercel 相關依賴以確保系統安全。
Protection against React Router and Remix vulnerabilities★ 72
Vercel Changelog402d agoIncidentVercel 針對近期揭露的 React Router 與 Remix 安全漏洞(CVE-2025-43864)推出了平台級的防禦措施。此漏洞可能影響使用這些框架的 Web 應用程式,Vercel 已在其基礎設施端進行攔截與防護。雖然 Vercel 的自動防護已為託管專案提供即時的安全緩衝,但官方仍建議開發者盡速更新至安全版本。
CVE-2025-32421★ 75
Vercel Changelog406d agoIncidentVercel 於 Changelog 發布了編號為 CVE-2025-32421 的安全漏洞公告。雖然目前詳細技術細節尚未完全公開,但此類安全通告通常涉及 Next.js 框架或 Vercel 部署環境的修補。建議使用 Vercel 託管服務與相關開源套件的開發團隊,密切關注官方釋出的更新版本並儘速升級。
Protection against React Router vulnerability CVE-2025-31137★ 72
Vercel Changelog411d agoReleaseVercel 針對近期揭露的 React Router 安全漏洞(CVE-2025-31137)部署了平台級的自動防護措施。此漏洞影響使用 React Router 的 Web 應用,Vercel 透過其邊緣網路主動攔截潛在的惡意攻擊。這讓開發者在尚未手動更新專案套件前,能獲得即時的安全緩解,但官方仍建議開發者應儘速升級 React Router 版本。
CVE-2025-30218★ 75
Vercel Changelog426d agoIncidentVercel 於 Changelog 中發布了編號為 CVE-2025-30218 的安全漏洞公告。雖然目前具體漏洞細節與影響範圍尚未完全公開,但此類公告通常涉及 Vercel 平台、Next.js 或其相關 CLI 工具的安全修復。建議使用 Vercel 服務與 Next.js 的開發者密切關注官方更新,並將專案依賴升級至最新版本以確保系統安全。
A Security Review of Gradio 5★ 80
Hugging Face Blog600d agoReleaseHugging Face 委託專業安全公司 Trail of Bits 對 Gradio 5 進行全面安全性審計。本次更新修復了包括任意檔案讀取(LFI)與伺服器端請求偽造(SSRF)等潛在漏洞,並重新設計了檔案存取架構。新版本採取「預設安全」策略,大幅降低開發者在部署 AI 互動介面時面臨的安全風險。
Shared network vulnerability disclosure★ 75
Replicate Blog740d agoIncidentAI 模型託管平台 Replicate 揭露了一項已修復的嚴重安全漏洞。該漏洞由雲端安全公司 Wiz 發現,源於多租戶環境下的共享網路配置缺陷。攻擊者可透過上傳惡意模型,繞過容器隔離並存取其他用戶的私有模型、輸入與輸出數據。Replicate 已於第一時間完成修復、加強網路隔離,並確認除研究人員的測試外,無其他用戶數據外洩。
Hugging Face partners with Wiz Research to Improve AI Security★ 75
Hugging Face Blog789d agoBusinessHugging Face 宣布與知名雲端安全廠商 Wiz Research 建立合作夥伴關係。雙方將共同致力於識別並修復 Hugging Face 平台上的安全漏洞,特別是針對模型託管、租戶隔離以及 Spaces 的容器安全。此合作旨在為開源 AI 社群建立更強大的安全防禦機制,防範惡意模型與潛在的雲端基礎設施攻擊。