HackerNews 编译，转载请注明出处：

网络安全研究人员近日披露，万兴科技（Wondershare）RepairIt 软件中存在两个严重漏洞，不仅导致用户私密数据泄露，还可能让系统遭受 AI模型篡改与供应链攻击的威胁。

这些高危漏洞由 趋势科技（Trend Micro）发现并披露，具体如下：

CVE-2025-10643（CVSS 评分：9.1） —— 一处身份验证绕过漏洞，源于对存储账户令牌赋予的过高权限。

CVE-2025-10644（CVSS 评分：9.4） —— 一处身份验证绕过漏洞，源于对 SAS 令牌赋予的过高权限。

一旦被成功利用，攻击者可绕过系统的身份认证保护，发起供应链攻击，最终在用户终端上执行任意代码。

趋势科技研究人员指出，这款具备 AI 功能的数据修复与照片编辑应用 “违背了其隐私政策”：由于缺乏严格的 DevSecOps（开发、安全与运维一体化）流程，导致收集与存储的用户私密数据被意外泄露。

...

在发送给美国各州选举官员的一份通知中，美国网络安全和基础设施局(CISA)表示至少有 16 个州目前在使用、来自一家主要供应商的电子投票机存在软件漏洞，如果不加以解决，很容易受到黑客攻击。

...