https://blog.qife122.com/tags/%E5%87%AD%E6%8D%AE%E5%AE%89%E5%85%A8/ Recent content in 凭据安全 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 17:09:23 +0800 https://blog.qife122.com/p/cve-2025-15128zkteco-biotime%E4%B8%AD%E5%87%AD%E6%8D%AE%E5%AD%98%E5%82%A8%E6%9C%AA%E5%8A%A0%E5%AF%86%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Mon, 29 Dec 2025 17:09:23 +0800 https://blog.qife122.com/p/cve-2025-15128zkteco-biotime%E4%B8%AD%E5%87%AD%E6%8D%AE%E5%AD%98%E5%82%A8%E6%9C%AA%E5%8A%A0%E5%AF%86%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h3 id="cve-2025-15128zkteco-biotime中凭据的未受保护存储">CVE-2025-15128：ZKTeco BioTime中凭据的未受保护存储</h3> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE编号：</strong> CVE-2025-15128</p> <p>在ZKTeco BioTime 9.0.3、9.0.4及9.5.2版本中发现一处漏洞。该漏洞影响端点组件中 <code>/base/safe_setting/</code> 文件的未知部分。对参数 <code>backup_encryption_password_decrypt</code> 或 <code>export_encryption_password_decrypt</code> 进行操作会导致凭据以未受保护的形式存储。此攻击可能被远程利用。目前漏洞利用代码已公开，并可能被使用。厂商在早期已就此事被告知，但未作出任何回应。</p> https://blog.qife122.com/p/mcp%E4%B8%8D%E5%AE%89%E5%85%A8%E5%87%AD%E6%8D%AE%E5%AD%98%E5%82%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ Fri, 12 Sep 2025 20:48:50 +0800 https://blog.qife122.com/p/mcp%E4%B8%8D%E5%AE%89%E5%85%A8%E5%87%AD%E6%8D%AE%E5%AD%98%E5%82%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ <h1 id="mcp不安全凭据存储漏洞分析">MCP不安全凭据存储漏洞分析</h1> <h2 id="窃取mcp服务器存储的长期凭据">窃取MCP服务器存储的长期凭据</h2> <p>由于许多MCP服务器旨在将LLM连接到第三方API（如知识管理系统或云基础设施服务），它们通常需要凭据来读取或修改数据。为此，MCP在2025年3月的协议修订中集成了OAuth 2.1。如果正确实施，OAuth基于令牌的方法为服务器提供了一种简单安全的方式，以获取范围有限的短期凭据。</p>