安全研究员朴度妍（Doyeon Park）披露了 Cosmos 的 CometBFT 中一个 CVSS 7.1 的零日漏洞，可能在同步期间导致节点冻结；厂商的抵制、降级以及披露最终促成了 4 月 21 日的揭露；验证者应在修复补丁发布前避免重启。 摘要：安全研究员朴度妍（Doyeon Park）披露了 Cosmos 的 CometBFT 共识层中一项关键的 CVSS 7.1 零日漏洞，该漏洞可能导致节点在区块同步时冻结，从而潜在影响为 $8 billion 以上资产提供安全保障的网络。该漏洞无法直接窃取资金。Park 从 2 月 22 日开始推动协调披露，但遭遇厂商对公开披露的抵制以及与 HackerOne 相关的问题。厂商于 3 月 6 日将相关漏洞 (CVE-2025-24371) 降级为信息级别（informational），促使 Park 在 4 月 21 日公开披露前先发布了网络层面的概念验证（proof-of-concept）。公告建议 Cosmos 验证者在发布补丁前避免重启节点；已经处于共识中的节点可能继续运行，但重启并进入同步可能使其遭受恶意对等方的攻击，进而带来死锁风险。

慢雾团队研究员发现Anthropic的Claude Code中存在提权与命令执行漏洞CVE-2025-64755，攻击者可未授权执行命令，相关PoC已公开，且黑客已利用此漏洞攻击加密用户。

近期，React 服务器组件中披露的一项高危安全漏洞正引发行业高度警惕。该漏洞被编号为 CVE-2025-55182，又被称为 React2Shell，已被多个威胁组织实际利用，波及包括加密货币平台在内的数千个网站，用户资产安全面临直接风险。 该漏洞允许攻击者在无需身份验证的情况下，对受影响服务器执行远程代码。React 官方于 12 月 3 日公开披露该问题，并将其严重等级评为最高级别。随后，谷歌威胁情报小组（GTIG）确认，该漏洞已在真实环境中被快速武器化，既包括以牟利为目的的黑客，也疑似存在国家支持的攻击行为，目标集中在云端部署、尚未修复的 React 和 Next.js 应用。

近期，一类针对加密货币用户的前端攻击正在快速蔓延。据网络安全非营利组织安全联盟（SEAL）披露，黑客正利用开源前端 JavaScript 库 React 中的新发现漏洞，在合法网站中植入加密货币窃取程序，相关攻击案例显著增加。 React 是当前最主流的 Web 前端框架之一，被广泛用于构建各类网站和 Web 应用。12 月 3 日，React 官方披露，由白帽黑客 Lachlan Davidson 发现了一个严重安全漏洞，编号为 CVE-2025-55182。该漏洞允许未经身份验证的远程代码执行，攻击者可借此在网站前端注入并运行恶意代码。