Microsoft Office 数据伪造问题漏洞

Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。 Microsoft Office 16.83版本存在数据伪造问题漏洞，该漏洞源于在macOS版本中，特制的库可以利用OneNote的访问权限，从而导致权限绕过。恶意应用程序可以注入库并启动程序以触发此漏洞。

Intel CPU 安全漏洞

Intel CPU是美国英特尔（Intel）公司的一款因特尔的处理器。该设备用于解释计算机指令以及处理计算机软件中的数据。 Intel CPU存在安全漏洞，该漏洞源于存在分支目标注入\(BTI\)问题。攻击者攻击者利用该漏洞可以在间接分支预测后推测性地执行泄露小工具。

NPM组件包 @rspack/core、@rspack/cli 内嵌恶意代码

Rspack 是基于 Rust 编写的高性能 JavaScript 打包工具。 由于Rspack 团队成员的 npm token被窃取，@rspack/core 和 @rspack/cli 1.1.7 版本被插入挖矿代码，当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址：475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\)，并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。

NPM组件包 vant 内嵌挖矿代码

Vant 是由有赞团队开源的基于 Vue.js 的移动端组件库。 由于开发者的 npm token被窃取，攻击者向 Vant 组件植入挖矿代码，当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址：475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\)，并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。

信诺瑞得 WiseGrid慧敏应用交付网关 远程命令执行漏洞

远程命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。