HUAWEI CV81-WDM FW 输入验证错误漏洞

HUAWEI CV81\-WDM FW是中国华为（HUAWEI）公司的一款激光多功能打印机。 HUAWEI CV81\-WDM FW 存在输入验证错误漏洞。攻击者成功利用该漏洞可能导致业务异常。

Microsoft Office 数据伪造问题漏洞

Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。 Microsoft Office 16.83版本存在数据伪造问题漏洞，该漏洞源于在macOS版本中，特制的库可以利用OneNote的访问权限，从而导致权限绕过。恶意应用程序可以注入库并启动程序以触发此漏洞。

Intel CPU 安全漏洞

Intel CPU是美国英特尔（Intel）公司的一款因特尔的处理器。该设备用于解释计算机指令以及处理计算机软件中的数据。 Intel CPU存在安全漏洞，该漏洞源于存在分支目标注入\(BTI\)问题。攻击者攻击者利用该漏洞可以在间接分支预测后推测性地执行泄露小工具。

NPM组件包 @rspack/core、@rspack/cli 内嵌恶意代码

Rspack 是基于 Rust 编写的高性能 JavaScript 打包工具。 由于Rspack 团队成员的 npm token被窃取，@rspack/core 和 @rspack/cli 1.1.7 版本被插入挖矿代码，当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址：475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\)，并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。

NPM组件包 vant 内嵌挖矿代码

Vant 是由有赞团队开源的基于 Vue.js 的移动端组件库。 由于开发者的 npm token被窃取，攻击者向 Vant 组件植入挖矿代码，当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址：475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\)，并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。