安全研究員 Doyeon Park 揭露了 Cosmos 的 CometBFT 中一個 CVSS 7.1 的零日漏洞，可能在同步期間導致節點凍結；廠商的抵制、降級以及披露行動導致 4 月 21 日揭露；驗證者在修補程式出現前應避免重啟。 摘要：安全研究員 Doyeon Park 揭露了 Cosmos 的 CometBFT 共識層中的一個關鍵 CVSS 7.1 零日漏洞，可能導致節點在區塊同步期間凍結，進而可能影響保護 $8 十億元以上資產的網路。該漏洞無法直接竊取資金。Park 從 2 月 22 日起推動協調披露，但遭遇廠商對公開披露的抵制以及 HackerOne 的問題。廠商於 3 月 6 日將相關漏洞 (CVE-2025-24371) 任意降級為「資訊等級」，促使 Park 在 4 月 21 日進行公開披露之前先發布網路層級的概念驗證。該公告建議 Cosmos 的驗證者在發布修補程式前避免重啟節點；已處於共識中的節點可繼續運作，但重啟並重新同步可能使其面臨來自惡意對等方的攻擊，進而有造成死鎖的風險。

慢霧團隊研究員發現Anthropic的Claude Code中存在提權與命令執行漏洞CVE-2025-64755，攻擊者可未授權執行命令，相關PoC已公開，且黑客已利用此漏洞攻擊加密用戶。

近期，React 伺服器組件中披露的一項高危安全漏洞正引發行業高度警惕。該漏洞被編號為 CVE-2025-55182，又被稱為 React2Shell，已被多個威脅組織實際利用，波及包括加密貨幣平台在內的數千個網站，用戶資產安全面臨直接風險。 該漏洞允許攻擊者在無需身份驗證的情況下，對受影響伺服器執行遠端程式碼。React 官方於 12 月 3 日公開披露該問題，並將其嚴重等級評為最高級別。隨後，谷歌威脅情報小組（GTIG）確認，該漏洞已在真實環境中被快速武器化，既包括以牟利為目的的黑客，也疑似存在國家支持的攻擊行為，目標集中在雲端部署、尚未修復的 React 和 Next.js 應用。

近期，一類針對加密貨幣用戶的前端攻擊正在快速蔓延。據網絡安全非營利組織安全聯盟（SEAL）披露，黑客正利用開源前端 JavaScript 庫 React 中的新發現漏洞，在合法網站中植入加密貨幣竊取程式，相關攻擊案例顯著增加。 React 是當前最主流的 Web 前端框架之一，被廣泛用於構建各類網站和 Web 應用。12 月 3 日，React 官方披露，由白帽黑客 Lachlan Davidson 發現了一個嚴重安全漏洞，編號為 CVE-2025-55182。該漏洞允許未經身份驗證的遠程程式碼執行，攻擊者可藉此在網站前端注入並運行惡意程式碼。