1、俄罗斯黑客利用Adaptix工具发动勒索攻击 https://www.silentpush.com/blog/adaptix-c2/ 安全公司发现，与俄罗斯相关的勒索软件组织正滥用跨平台渗透测试框架Adaptix，以静默推送方式在全球范围投递恶意载荷。调查始于对新型加载器CountLoader的追踪，研究人员随后锁定网名为“RalfHacker”的开发者，其通过俄语Telegram频道销售并推广该工具。Adaptix基于Golang与Qt构建，可在Windows、Linux、macOS上运行，跨平台特性使其迅速成为黑产新宠。监测显示，自检测规则更新后，相关攻击活动显著上升，凸显开源安全工具被武器化的风险。 2、白俄罗斯无人机部队遭SSH-Tor后门钓鱼攻击 https://cyble.com/blog/weaponized-military-documents-deliver-backdoor/ 研究人员发现疑似Sandworm（APT44）新行动：攻击者利用伪装成军事文件的恶意软件向白俄罗斯军方的特种作战单位发起了攻击。这种恶意软件通过一个名为“ТЛГ на убытие на переподготовку.pdf”的武器化ZIP文件进行传播，采用了多种高级规避技术，如双重扩展名和混淆的PowerShell执行，以隐藏其真实意图并维持持久的后门访问。研究人员表示，这一攻击不仅针对无人机操作人员，还利用了OpenSSH和Tor隐蔽服务，使攻击者 3、kinsing组织利用Apache漏洞发动双平台攻击 https://asec.ahnlab.com/en/90811/?&web_view=true& 安全研究团队确认Kinsing组织持续利用Apache ActiveMQ远程代码执行漏洞CVE-2023-46604，在韩国针对未修复服务器发动“双平台”攻击：Linux主机被植入XMRig矿机，Windows主机则通过MSI下载器安装名为Sharpire的.NET后门。攻击者先以篡改OpenWire序列化数据包触发漏洞，再拉取C2服务器上的恶意XML配置完成远控木马与矿机并行部署。安全团队呼吁尽快升级ActiveMQ至5.15.16/5.16.7/5.17.6/5.18.3等安全版本并限制6 4、热门WP插件Elementor被爆两个安全漏洞 https://www.infosecurity-magazine.com/news/critical-flaws-elementor-king/ WordPress热门插件“King Addons for Elementor”被爆两项高危0day：未经身份验证的任意文件上传(CVE-2025-6327)与注册接口权限提升(CVE-2025-6325)，波及全球1万站点。前者因AJAX nonce全站泄露且file_validity()校验失效，攻击者可伪装文件类型直传Web目录；后者允许攻击者在启用注册时通过king_addons_user_register动作指定user_role=ad 5、攻击者利用虚假PayPal进行钓鱼邮件诈骗 https://www.malwarebytes.com/blog/news/2025/10/fake-paypal-invoice-from-geek-squad-is-a-tech-support-scam 研究人员揭露冒充PayPal的新型技术支持诈骗：攻击者用群发空白邮件，附“随机名”PDF发票，声称用户被Geek Squad扣款823美元，24小时后到账，诱使受害者拨打假客服电话。邮件虽通过SPF/DKIM验证，但发件域名、BCC群发、无品牌标识、仅留可疑号码等特征均暴露其钓鱼本质。一旦拨号，骗子以远程检修为由植入后门或兜售假杀毒软件，最终窃取资金与数据。安全机构已将该样本标记为诈 6、安永云服务中发现4TB SQL备份泄露 https://www.neosecurity.nl/blog/ey-data-leak-4tb-sql-server-backup 研究人员在例行扫描中发现，通过HEAD请求意外确认了安永会计师事务所的云存储中存在一个高达4TB的SQL Server备份文件，该文件公开可访问并且未加密。这意味着其中包含的所有敏感信息，包括API密钥和用户凭据，都可能被恶意攻击者轻易获取。研究人员经15次联络才接通安永CSIRT，后者一周内完成修复并声明无客户数据外泄。 7、Linux 内核释放后重用漏洞正被用于勒索软件攻击 https://cybersecuritynews.com/linux-kernel-use-after-free-vulnerability-exploited/ CISA警告Linux内核高危漏洞CVE-2024-1086正被利用，攻击者可本地提权部署勒索软件，影响主流发行版。需立即升级内核至6.1.77+或禁用nf_tables模块，防范混合云环境中的勒索攻击。 8、Akira勒索软件组织宣称窃取Apache OpenOffice 23GB数据 https://cybersecuritynews.com/apache-openoffice-data-breach/ Akira勒索软件组织宣称窃取Apache OpenOffice 23GB敏感数据，威胁公开。该事件凸显开源项目安全风险，可能引发员工信息泄露和钓鱼攻击。Akira以双重勒索闻名，地缘政治选择性明显。开源社区需加强防护，用户应监控异常并隔离备份数据。 9、Claude AI漏洞：攻击者可利用代码解释器窃取企业数据 https://www.csoonline.com/article/4082514/claude-ai-vulnerability-exposes-enterprise-data-through-code-interpreter-exploit.html Claude AI漏洞允许攻击者通过代码解释器窃取企业数据，利用API端点绕过安全设置，将敏感信息发送至攻击者账户。Anthropic公司将其归类为模型安全问题，但研究者认为这是严重漏洞，企业面临高风险且缓解措施有限。 10、警惕窃取用户敏感数据的恶意ChatGPT应用 https://cybersecuritynews.com/beware-of-malicious-chatgpt-apps/ 恶意ChatGPT仿冒应用泛滥，窃取用户敏感数据并监控活动。这些应用伪装逼真，利用品牌信任渗透设备，通过混淆技术逃避检测，窃取密码、银行验证码等信息，威胁用户安全。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、WordPress防护插件漏洞致订阅用户可读服务器文件 https://www.wordfence.com/blog/2025/10/100000-wordpress-sites-affected-by-arbitrary-file-read-vulnerability-in-anti-malware-security-and-brute-force-firewall-wordpress-plugin/ 研究人员发现，安装在逾10万家网站上的WordPress插件“Anti-Malware Security and Brute-Force Firewall”存在高危漏洞（CVE-2025-11705），允许低权限订阅用户读取服务器任意文件，包括含 2、NFC中继恶意软件激增窃取欧洲信用卡信息 https://zimperium.com/blog/tap-and-steal-the-rise-of-nfc-relay-malware-on-mobile-devices 移动安全公司Zimperium警告称，滥用近场通信（NFC）技术的恶意软件在东欧地区急剧增长，近几个月内已发现超760个利用该技术窃取信用卡信息的Android应用。此类恶意程序通过滥用Android的主机卡仿真（HCE）功能，拦截并转发POS终端的APDU命令，从而在无需持卡人的情况下完成支付。攻击活动最早于2023年在波兰出现，随后扩散至捷克、俄罗斯、斯洛伐克等地。研究人员发现，这些应用伪装成Google Pay 3、外包巨头Conduent数据泄露波及逾一千万人 http://maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/389e9d0d-8e23-497d-aaab-1c4c8a80707f.html 美国业务流程外包（BPO）巨头Conduent确认，其于2024年遭遇的网络入侵事件已导致超过1050万人个人信息泄露。泄露数据包括姓名、社会安全号码、出生日期、健康保险及医疗信息等。此次事件最严重的受影响方为俄勒冈州政府，单州受害者数即达1050万，其余德州、华盛顿及缅因州亦有报告。Conduent此前曾在2025年初遭遇由Safepay勒索团伙声称负责的攻击， 4、澳大利亚警告思科设备可能被BadCandy反复感染 https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/badcandy 澳大利亚信号局（ASD）发布最新警报：因迟迟未打补丁，境内约150台Cisco IOS XE路由器仍被植入BadCandy WebShell，且攻击者在检测到重启清除后立即重新利用CVE-2023-20198漏洞再次入侵。该漏洞允许无验证远程创建管理员账户并获root权限。ASD已向受害实体及ISP发出批量通知，要求立即安装官方补丁、关闭公网Web UI、核查高权账户与隧道配置，并参考思科加固指南强化边缘设备。 5、L3Harris公司前高管承认向俄罗斯出售零日漏洞 https://cyberscoop.com/peter-williams-guilty-selling-zero-day-exploits-russian-broker-operation-zero/ 39岁前L3Harris子公司Trenchant高管彼得·威廉姆斯在华盛顿特区联邦法院承认两项窃取商业秘密罪：2022-2025年间，利用澳信号局背景与内部权限，将8个专为美国政府及盟友开发的零日漏洞经加密渠道卖给俄罗斯掮客“Operation Zero”，换取数百万美元加密货币并挥霍于奢侈品。美方评估此举致国防承包商损失3500万美元，并令俄政府等“非北约终端用户”获得可用于攻击全球目标的 6、Brash漏洞可令Chromium全系浏览器崩溃 https://github.com/jofpin/brash 研究员Jose Pino公开Blink引擎0day漏洞“Brash”：利用document.title无速率限制缺陷，通过单条恶意URL在15秒内注入2400万次DOM变更，令Chrome、Edge等所有Chromium浏览器主线程饱和崩溃。漏洞支持秒级/定时引爆，可潜伏于AI爬虫、手术导航、交易终端等关键场景，已验证影响桌面、Android及嵌入式环境超30亿用户。 7、CISA/NSA急发Exchange与WSUS防护令 https://www.cisa.gov/news-events/news/cisa-nsa-and-global-partners-unveil-security-blueprint-hardening-microsoft-exchange-servers CISA与NSA联合澳、加机构发布紧急指南，要求各组织立即为本地Exchange与WSUS服务器打补丁、限管、启用MFA及TLS强化配置，并停用已停服的Exchange。此前24小时内，CVE-2025-59287（WSUS远程代码执行）遭野外利用，攻击者通过base64 PowerShell回传数据，已致至少50家教育、医疗、制造及科 8、Eclipse基金会撤销泄露VSX令牌 https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025 Eclipse基金会公告Open VSX注册中心安全事件结案。月初，Wiz与Koi Security相继报露部分开发者将发布令牌误传至公开仓库，导致攻击者上传凭证窃取型恶意扩展，并虚刷3.5万下载量。团队已撤销所有受影令牌、下架恶意插件，并联合MSRC引入令牌前缀扫描、缩短默认有效期、上线发布时自动安全扫描及一键撤销功能。 9、WSUS漏洞遭利用植入Skuld木马 https://www.darktrace.com/blog/wsus-exploited-darktraces-analysis-of-post-exploitation-activities-related-to-cve-2025-59287 美国两家机构检测到CVE-2025-59287 WSUS漏洞利用情况。攻击者先通过workers.dev下发带漏洞的Velociraptor安装包，再投递UPX打包的Skuld窃密木马，窃取浏览器、钱包及系统数据。Darktrace凭行为异常模型秒级告警并触发自主阻断，显示漏洞可在补丁不完整后迅速遭武器化，建议立即加固WSUS并限制出站PowerS 10、CISA警告Linux内核漏洞遭勒索利用 https://cybersecuritynews.com/linux-kernel-use-after-free-vulnerability-exploited/ 近日，CISA将Linux内核netfilter组件CVE-2024-1086纳入KEV目录，确认其已被用于部署LockBit等勒索软件。该漏洞为本地释放后使用缺陷，攻击者先凭钓鱼或弱口令取得立足点，再植入恶意nf_tables规则即可提权至root并植入加密载荷，受影响版本涵盖Ubuntu、RHEL、Debian等内核低于6.1.77的系统。CISA要求联邦机构三日内升级至6.1.77+或禁用nf_tables，并呼吁企业扫描 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

0.前言 学习一下如何使用机器学习的方式去识别XSS Payload。 1.XSS介绍 其实xss说白了，就是通过向网页中注入恶意的脚本代码，一般来说都是 JavaScript，让代码在其他用户的浏览器中执行，从而达到窃取信息、冒充身份、传播木马等目的。 换句话说，网站本来应该只展示安全的内容的，但是攻击者把一些恶意的脚本给塞入了网站中，让浏览器错误地把其当成正常内容执行了。 大概有以下这几种分类： 反射型：payload 在请求里，也就是URL或者表单，服务器拼回页面即触发，通常需要诱导点击。 存储型：payload 被存入库，比如说什么网站的评论、昵称、公告之类的，所有访问者都会触发。 DOM 型：前端脚本把不可信数据塞进危险 DOM SinkinnerHTML 之类的，不依赖服务器拼接。 盲 XSS：这个顾名思义是看不到弹窗，但 payload 会在后台或者运营端页面执行。 自我 XSS：诱导用户在控制台粘贴代码。 变异 XSS：浏览器或框架在解析或者重排 DOM 时修补标签，绕过原本的过滤器。 2.隐式马尔科夫 马尔科夫模型就是基于本次观测的状态来预测上一次的状态 而不依赖前面的所有内容。 假设现在有三个时间点：1，2，3 在2这个时间点是a，到了3这个时间点就变成了A，而马尔科夫模型在这里就仅根据a来预测，而不是根据a前面的内容。 主要解决连续问题，比如说： 文本类中上一个字或者词中下一个字词的出现概率。 一个连续的字词构成的句子判断句子的情感等。 使用的时候需要在虚拟环境中下载一个第三方库 pip install hmmlearn -i https://pypi.tuna.tsinghua.edu.cn/simple 3.使用隐式马尔科夫识别XSS 注意：这里只截取重要部分代码，并没有展示完全。 xss语法特征 <src> <script> <alert> http:// <img> onerror 导入一个文本的数据，都是各种各样的xss变体,github或者是kaggle上都能找到相关的xss数据集。 然后进行一个数据向量的处理。 这是个正则表达式，匹配双引号里面的字符串，比如说xss里面会有这种<>括起来的符号。 还有把http开头的，闭合的标签，反斜杆，或者是只有一个>，还有=符号，毕竟xss里面有什么onerror=xxx之类 还有函数调用，老生常谈的alert。 然后使用nltk，一个自然语言的工具，用来做分词处理。 那什么是分词处理？把一段连续的文本拆分成一个个有意义的“词语”或“最小语言单位”的过程。 在英语中，单词之间有空格，计算机很容易识别： “I love natural language processing.” 可以直接得到：["I", "love", "natural", "language", "processing"] 但在中文中，句子是连续的，没有空格： “我爱自然语言处理。” 对计算机来说，这是一个连续的字符串，它不知道“我爱”、“自然语言处理”这些边界。所以就需要中文分词算法来判断哪些字该组合在一起。 接下来就是转换列表，去重，添加等常规操作。 这样就大致完成了数据向量的处理。 模型的结构 import model_param from hmmlearn import hmm remodel = hmm.GaussianHMM(n_components=model_param.N, covariance_type="full", n_iter=model_param.n_iter) model_param.N是模型的状态，就是样本到底有几个类型，比如3个不同类型的骰子之类的。 covariance_type="full" 这个表示所有的样本都是有数据的，都是不为0的。 #状态个数 N=5 #迭代次数 n_iter=100 这里就把状态数和迭代数设置为5和100，这里100次看个人电脑配置吧，我100次都跑得挺慢的。 模型的训练 import model_struct import joblib import vec_data index_wordbag=1 #词袋索引 wordbag={} #词袋 wordbag = vec_data.load_wordbag("E:\\my_hmm\\data\\xss-200000.txt",2000) X,X_lens = vec_data.vec("E:\\my_hmm\\data\\xss-200000.txt",wordbag) remodel = model_struct.remodel.fit(X,X_lens) joblib.dump(remodel, "xss-train.pkl") 把用到的数据都加入到词袋中去，第一次词袋是空的，第一次就是去填满这个内容，也就是词的特征，第二次是做匹配，也就是根据上面的特征去做匹配才能返回X这个结果。 有了X和X_lens之后就可以做训练，然后把xss-train.pkl这个模型保存到本地。 模型测试 可以设置一个判断的阈值，或者理解为一个评分。 都是负数，评分越靠近0就说明越不像xss，评分越远离0就说明很像xss。 比如说我们在test数据中放入这么几条数据 /0_1/?%22onmouseover='prompt(42873)'bad=%22%3E /0_1/api.php?op=map&maptype=1&city=test%3Cscript%3Ealert%28/42873/%29%3C/script%3E /0_1/api.php?op=map&maptype=1&defaultcity=%e5%22;alert%28/42873/%29;// /0_1/api.php?op=map&maptype=1&defaultcity=%E5%8C%97%E4%BA%AC&api_key=%22%3E%3C/script%3E%3Cscript%3Ealert%28/42873/%29;%3C/script%3E /0_1/api.php?op=map&maptype=1&defaultcity=%E5%8C%97%E4%BA%AC&field=%29%3C/script%3E%3Cscript%3Ealert%2842873%29%3C/script%3E// /0_1/api.php?op=video_api&pc_hash=1&uid=1&snid=%3C/script%3E%3Cscript%3Ealert(/42873/)%3C/script%3E//&do_complete=1%20 /0_1/api.php?op=video_api&uid=1&snid=1&pc_hash=%3C/script%3E%3Cscript%3Ealert(/360/)%3C/script%3E//&do_complete=1 /0_1/?callback=%3Cscript%3Eprompt(42873)%3C/script%3E 让训练好的模型去检测这些是不是xss攻击。 可以看到评分越小，说明它越像xss攻击。 接下来，可以把训练好的模型做成一个可视化界面。 可以使用django或者flask框架，这里就使用flask框架。 ... #最大似然概率阈值 T=-13 def process_text(input_text):    # 这里可以添加处理逻辑    remodel = joblib.load("E:\\my_hmm\\model\\xss-train.pkl")    f = open("test.txt", "w")    f.write(input_text)    f.close()    pro,line = test(remodel,"test.txt")    print(pro)    if pro == -1000:        return "请输入长度为10以上的payload"    elif pro > T:        return "没有检测到xss代码"    else:        return f"检测的结果是: {line},评分为：{pro}" @app.route('/', methods=['GET', 'POST']) def index():    result = ""    if request.method == 'POST':        input_text = request.form['input_text']        result = process_text(input_text)    return render_template('index.html', result=result) if __name__ == '__main__':    app.run(debug=True) 先把训练好的模型加载进来，然后把input_txt保存成一个本地文件test.txt，然后使用写好的判断分数函数去做一个分数判断。 因为最简单的xss攻击payload也会超过10个长度，所以可以先把长度小于10的排除了。 如果分数大于-13，就说明模型认为不是xss攻击。 实际效果就如下图： 使用样本里面没有的xss payload 模型也能检测出来。 但是并非百分之百正确，却可以解决一些看起来像的问题。 有一点要注意，虽然 HMM 可以捕捉 XSS Payload 的语法序列特征，但对于经过多层编码、混淆的攻击样本效果有限。 此外，模型需要大量带标签的数据进行训练，否则容易过拟合。

1、电通子公司Merkle遭数据泄露事件 https://www.group.dentsu.com/jp/news/release/001551.html 日本广告巨头电通（Dentsu）披露，其美国子公司Merkle遭遇网络安全事件，导致员工及客户数据被窃取。事件发生后，公司立即启动应急响应并关闭部分系统，以防止进一步扩散。泄露信息包括员工银行与薪资资料、个人联系方式及部分客户与供应商数据。电通已通知受影响个人，并向相关国家监管机构报告。Merkle是电通旗下专注客户体验与数据营销的全球子公司，在北美、EMEA及亚太地区运营，客户涵盖微软、英特尔、宝洁及希尔顿等国际品牌。目前调查仍在进行，电通确认日本国内系统未受影响，但预计事件将 2、PHP服务器与物联网设备遭大规模僵尸网络攻击 https://www.netscout.com/blog/asert/asert-threat-summary-aisuru-and-related-turbomirai-botnet-ddos Qualys威胁研究部门警告，近期Mirai、Gafgyt及Mozi等多种僵尸网络对PHP服务器、物联网设备与云网关发起自动化攻击激增。攻击者利用已知CVE漏洞及云配置错误，控制易受害系统并扩展僵尸网络，其中PHP框架漏洞如CVE-2017-9841（PHPUnit）、CVE-2021-3129（Laravel）和CVE-2022-47945（ThinkPHP）被频繁利用。部分攻击还滥用Xdebu 3、10款恶意npm包窃取开发者凭证 https://www.npmjs.com/package/keyring Socket安全研究员Kush Pandya披露，10个拼写山寨的npm包（如deezcord.js、dezcord.js等）于2025年7月4日上传注册表，合计约9900次下载。安装时通过postinstall钩子展示假CAPTCHA并在新终端启动四层混淆的JavaScript加载器，指纹化受害者后下载约24MB的PyInstaller信息窃取器（跨Windows、macOS、Linux）。该窃取器能读取系统keyring、浏览器凭证、SSH密钥与各类开发令牌，将压缩后的数据上报至攻击服务器（报告指向IP 195. 4、俄黑客对乌发动隐蔽性网络攻击 https://www.security.com/blog-post/ukraine-russia-attacks 据Symantec与Carbon Black威胁狩猎团队报告，俄方黑客近期针对乌克兰多家机构展开间谍活动，旨在窃取敏感数据并维持长期访问权限。攻击者通过在公共服务器上植入Web Shell（如LocalOlive）入侵系统，广泛使用“以系统之矛攻系统”的Living-off-the-Land（LotL）战术及双用途工具，减少恶意软件使用以规避检测。入侵行动包括执行PowerShell命令、修改注册表、建立RDP连接、部署OpenSSH并定时运行后门脚本等。尽管未发现确凿证据指向 5、会计巨头安永4TB数据库文件在微软Azure平台遭公开 https://cybersecuritynews.com/ey-data-leak/ 全球会计巨头安永4TB敏感数据库备份文件在Azure平台公开暴露，含并购数据与密钥，凸显云存储配置风险。攻击者可在数分钟内扫描并利用此类漏洞，企业需加强持续监测与访问控制。 6、攻击者利用NFC中继恶意软件克隆安卓手机，实现非接触式支付 https://hackread.com/nfc-relay-malware-clone-tap-to-pay-android/ 安卓恶意应用滥用NFC功能窃取支付数据，760余款伪装成银行程序的恶意软件在全球扩散，通过Telegram机器人实时中继交易。Zimperium建议仅从官方商店下载应用并警惕支付设置请求。 7、Windows 云文件过滤驱动存在权限提升漏洞 https://securityonline.info/researcher-details-windows-cloud-files-mini-filter-driver-elevation-of-privilege-flaw-cve-2025-55680/ 微软Cloud Files驱动(cldflt.sys)存在权限提升漏洞(CVE-2025-55680)，攻击者可利用竞态条件在系统任意位置创建文件，通过DLL侧加载获取SYSTEM权限。影响2025年10月前所有Windows版本，建议立即更新补丁。 8、微软全球服务中断：Azure、365等多平台受影响 https://hackread.com/microsoft-outage-azure-365-xbox-minecraft/ 微软云配置错误引发全球服务瘫痪，Azure、Office 365、Teams等多项服务中断，波及企业和个人用户。事件凸显单一云服务风险，微软正紧急修复。建议用户暂缓使用并评估容灾预案。 9、Chrome 142 版本发布：修复 20 个可导致恶意代码执行的漏洞 https://cybersecuritynews.com/chrome-142-released-fix-20-vulnerabilities/ 谷歌发布Chrome 142稳定版，修复20个高危漏洞，包括V8引擎远程代码执行风险，强化安全防护。更新涵盖Windows、Mac和Linux平台，建议用户立即升级以确保系统安全。 10、新型AI定向伪装攻击诱使AI爬虫将虚假信息引用为已验证事实 https://thehackernews.com/2025/10/new-ai-targeted-cloaking-attack-tricks.html 网络安全研究人员发现AI定向伪装攻击，可诱骗ChatGPT等AI爬虫引用虚假信息，威胁AI模型安全。攻击者通过向普通浏览器和AI爬虫提供不同内容实施攻击。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、BiDi Swap漏洞让假网址伪装成真 https://www.bleepingcomputer.com/news/security/bidi-swap-the-bidirectional-text-trick-that-makes-fake-urls-look-real/ Varonis Threat Labs警告称，一项名为“BiDi Swap”的旧漏洞正被重新利用，用以伪造看似可信的网页链接。该漏洞源于浏览器对左右混排文字（LTR/RTL）的处理差异，攻击者可借此制造表面正常、实则指向恶意网站的URL，从而实施钓鱼攻击。早期类似技术包括Punycode同形异义域名与RTL覆盖符欺骗，而BiDi Swap进一步利用Unicod 2、TEE.Fail攻击破坏Intel、AMD、NVIDIA CPU上的机密计算 https://tee.fail/ Georgia Tech与Purdue大学研究人员披露，一种称为TEE.Fail的侧信道攻击可在DDR5平台通过内存总线插装设备（interposer）截获AES-XTS密文，进而恢复Intel SGX/TDX与AMD SEV-SNP中的密钥并伪造attestation。研究显示此法成本低于1000美元，但需物理接触与内核权限，攻击原理利用DDR5去除内存完整性/重放保护导致的决定性密文映射。实验已能重建签名私钥并模拟可信执行环境，三大厂商已获通报并在制定缓解方案；研究者警告尽管实施复杂，面对高价值目标具现实威胁，建议加强硬件与固件防护与补丁应对。 3、Chrome将默认警告HTTP不安全网站 https://www.bleepingcomputer.com/news/google/google-chrome-to-warn-users-before-opening-insecure-http-sites/ Google宣布，自2026年10月发布的Chrome 154起，浏览器将默认在访问未使用HTTPS的公共网站前提示用户确认，以强化防护中间人攻击与数据篡改风险。此举相当于默认启用“始终使用安全连接”功能，该模式自2021年起为可选设置。未来Chrome将在首次访问非加密网站时请求许可，而对经常访问的HTTP站点不重复提醒。预计2026年4月起，启用增强安全浏览的用户将率先体验 4、CISA警告达索Apriso再曝两漏洞遭利用 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-6204%2C+CVE-2025-6205&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=&&&&& 美国网络安全与基础设施安全局（CISA）通报，攻击者正积极利用法国达索系统（Dassault Systèmes）DELMIA Apriso制造执行系统中的两项新漏洞。漏洞CVE-2025- 5、网络安全法完成修改，2026年1月1日起施行 https://www.freebuf.com/articles/454670.html 新修订《网络安全法》2026年施行，强化法律责任，新增人工智能治理条款，支持AI技术研发与基础设施建设，完善伦理规范与风险监管，加强关键信息基础设施保护，提升数据安全与个人信息保护力度。 6、Ubuntu内核曝严重UAF漏洞，可致攻击者获取Root权限 https://cybersecuritynews.com/ubuntus-kernel-vulnerability/ Ubuntu Linux内核曝高危漏洞，本地攻击者可提权至root。漏洞源于af_unix子系统引用计数失衡，导致UAF问题，影响Ubuntu 24.04.2系统。Canonical已发布修复补丁，用户需立即更新内核版本至6.8.0-61或更高。 7、 微软披露ASP.NET漏洞：攻击者可利用HTTP请求走私绕过安全控制 https://cybersecuritynews.com/microsoft-details-asp-net-vulnerability/ 微软紧急修复ASP.NET Core高危漏洞CVE-2025-55315（CVSS 9.9），该漏洞允许HTTP请求走私攻击，可能导致权限提升、数据泄露。影响所有版本，需立即更新补丁并审核请求处理代码，加强代理流量监控。 8、Herodotus安卓木马通过模拟人类打字行为逃避检测 https://securityaffairs.com/183974/malware/herodotus-android-malware-mimics-human-typing-to-evade-detection.html Herodotus新型安卓银行木马通过模拟人类打字行为（随机延迟输入）逃避检测，利用无障碍服务窃取凭据并接管设备，已在意大利和巴西发动针对性攻击。其MaaS商业模式和高级功能显示银行木马威胁持续升级。 9、Aisuru僵尸网络创下20Tb/秒DDoS攻击新纪录 https://securityaffairs.com/183969/malware/aisuru-botnet-is-behind-record-20tb-sec-ddos-attacks.html 新型Mirai变种僵尸网络Aisuru发动峰值超20Tb/秒DDoS攻击，主要针对在线游戏行业，利用漏洞设备发起UDP/TCP洪泛，导致宽带中断和路由器故障。防御需全面监控流量，部署智能缓解系统并修复漏洞设备。 10、塔塔汽车泄露AWS密钥和超70TB敏感信息与试驾数据 https://cybersecuritynews.com/tata-motors-data-leak/ 塔塔汽车系统漏洞暴露70TB敏感数据，包括客户信息、财务报告等，因AWS密钥硬编码和薄弱加密导致。漏洞2023年发现但修复拖延，危及数百万用户数据，凸显车企数字安全风险及透明度不足。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ChatGPT Atlas浏览器现“记忆污染”漏洞 https://layerxsecurity.com/blog/layerx-identifies-vulnerability-in-new-chatgpt-atlas-browser/ LayerX Security研究人员披露，OpenAI的ChatGPT Atlas浏览器存在严重漏洞，攻击者可利用跨站请求伪造（CSRF）手法，将恶意指令写入AI助手的持久记忆，从而在多设备、多会话间持续执行任意代码。该漏洞可导致系统感染恶意软件、权限提升或数据外泄，且除非用户手动清除记忆，恶意指令将长期存在。研究指出，Atlas浏览器在防钓鱼能力上远弱于Chrome或Edge，仅能阻止约5.8%的恶意网 2、Chrome零日漏洞助推LeetAgent间谍传播 https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/ 卡巴斯基披露，利用已修补的Chrome沙箱逃逸漏洞CVE-2025-2783（CVSS 8.3），攻击者通过针对性钓鱼链接将意大利厂商Memento Labs开发的LeetAgent间谍软件植入受害者系统。攻击以短期有效的论坛诱饵触发浏览器内的验证脚本，再借漏洞实现远程代码执行并投放加载器。LeetAgent可通过HTTPS与C2通信，执行命令、注入代码、读写文件、记录按键并采集指定文档类型；在若干事件中还与更复杂的Dante间谍软件关联或接力。受 3、QNAP警告Windows备份软件受ASP.NET严重漏洞影响 https://www.qnap.com/en/security-advisory/qsa-25-44 QNAP发布安全警告称，其Windows备份工具NetBak PC Agent受影响于微软ASP.NET Core框架中的严重漏洞CVE-2025-55315。该漏洞存在于Kestrel ASP.NET Core Web服务器中，允许低权限攻击者通过HTTP请求走私绕过前端安全控制或劫持其他用户凭证。微软此前已将此漏洞评为ASP.NET Core史上“最严重”安全缺陷之一。QNAP提醒用户，若系统未及时更新ASP.NET Core组件，可能面临敏感数据泄露、文件篡改或拒绝服务风险。用户应尽 4、SideWinder利用ClickOnce攻击外交目标 https://www.trellix.com/blogs/research/sidewinders-shifting-sands-click-once-for-espionage/ 安全公司Trellix披露，印度新德里一欧洲使馆及南亚多国外交机构近期遭到APT组织SideWinder的新一轮攻击。该组织自2025年3月至9月通过多波钓鱼邮件发动攻击，伪装成来自巴基斯坦国防部的公文，诱导受害者下载“更新版Adobe Reader”。实则下载并执行基于ClickOnce机制的恶意应用，侧载签名合法的MagTek程序以加载恶意DLL“DEVOBJ.dll”。随后，模块化下载器ModuleIns 5、Qilin勒索组织利用Linux载荷和BYOVD入侵 https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/ 安全公司报告称，勒索组织Qilin自2025年以来高频活跃，攻击者利用泄露管理凭证与钓鱼获得初始访问，随后通过RDP、Mimikatz等工具横向移动并窃取备份凭据，目标多为制造业、科研与批发行业。近期样本显示其将Linux勒索二进制与Windows 环境结合，借助合法远程管理工具（AnyDesk、ScreenConnect、Splashtop）和BYOVD易受攻击驱动（如eskle.sys）禁用防 6、通用汽车宣布押注AI：自研Gemini系统 https://www.anquanke.com/post/id/312822 最近的“GM Forward”媒体活动上，通用汽车（GM）宣布其软件战略发生重大转变，计划从2026年起将谷歌Gemini平台深度集成到旗下轿车、卡车和SUV产品线中。这款下一代对话式AI助手将取代目前许多通用汽车车型中搭载的“Google built-in”操作系统。 7、60多国签署《联合国打击网络犯罪公约》 https://www.freebuf.com/articles/454497.html 全球首部旨在预防和打击网络犯罪的国际公约今日在越南河内开放签署，并将在纽约联合国总部持续接受签署至2026年12月31日。该《联合国打击网络犯罪公约》于2024年12月经联合国大会通过，将在获得第40份批准书90天后正式生效。公约生效后，缔约国会议将定期召开，以加强各国能力建设、深化国际合作并审议执行情况，确保实现公约目标。 8、"短信钓鱼三人组"：19.4万个恶意域名支撑全球钓鱼即服务活动 https://securityonline.info/smishing-triad-uncovered-194000-malicious-domains-power-global-phishing-as-a-service-campaign/ "短信钓鱼三人组"发起大规模全球钓鱼活动，仿冒邮政、银行等机构，已注册19.4万恶意域名。其高度分散的基础设施和Telegram上的PhaaS生态系统使攻击高效且难追踪，结合中美混合架构增强隐蔽性。 9、Pwn2Own爱尔兰站73个0Day漏洞共获102万美元奖金 https://cybersecuritynews.com/73-unique-0-day-vulnerabilities-pwn2own/ Pwn2Own爱尔兰站2025落幕，黑客利用73个0Day漏洞获102万美元奖金，突显网络安全挑战。赛事覆盖智能家居、打印机等设备，技术创新与厂商协作成亮点。Summoning Team夺冠，东京汽车黑客赛将启。 10、瑞典国营电力公司遭遇勒索软件攻击 https://www.secrss.com/articles/84401 2025年10月28日监测发现，瑞典电力公司（Svenska kraftnät）于当地时间10月27日晚间确认遭遇勒索软件攻击，导致约280GB的内部数据可能被窃取。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT36利用DeskRAT木马攻击印度政府目标 https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/ 网络安全公司Sekoia近日披露，巴基斯坦关联的APT组织Transparent Tribe（又名APT36）于2025年8月至9月间对印度政府机构发动鱼叉式钓鱼攻击，投放基于Golang语言开发的DeskRAT远控木马。攻击者通过伪装成官方指令的ZIP附件或云端链接传播恶意Desktop文件，诱导受害者打开伪装的PDF文档同时执行后门程序。该木马主要针对BOSS Linux系统，可通过WebSocket与指挥 2、YouTube“幽灵网络”滥用平台传播恶意软件 https://research.checkpoint.com/2025/youtube-ghost-network/ 网络安全公司Check Point揭露，一个名为“YouTube Ghost Network”的大规模恶意网络自2021年以来已在平台上发布超3000个恶意视频，利用被入侵或伪装的YouTube账号传播信息窃取类恶意软件。攻击者通过热门关键词如“破解软件”和“Roblox外挂”吸引用户点击视频描述或置顶评论中的下载链接，从而感染Lumma、Rhadamanthys、StealC、RedLine等窃密程序。该网络采用“角色分工”机制，分为上传、发帖和互动账号，协同制造可信度假 3、黑客利用基于RedTiger的恶意程序窃取Discord账户 https://www.netskope.com/blog/redtiger-new-red-teaming-tool-in-the-wild-targeting-gamers-and-discord-accounts 网络安全公司Netskope报告，威胁者滥用开源红队工具RedTiger的info-stealer构建恶意载体，主要针对法国Discord用户。攻击者将代码用PyInstaller打包成独立可执行文件、伪装为游戏或Discord相关应用，安装后扫描并提取Discord令牌、账户信息、邮箱、MFA与订阅及付款数据；还窃取浏览器保存的密码、cookies、加密钱包文件、游戏数据并 4、微软禁用下载文件预览防窃密攻击 https://support.microsoft.com/en-us/topic/file-explorer-automatically-disables-the-preview-feature-for-files-downloaded-from-the-internet-56d55920-6187-4aae-a4f6-102454ef61fb 微软宣布，自2025年10月安全更新起，Windows 11与Windows Server的文件资源管理器（File Explorer）将默认禁用对互联网下载文件的预览功能，以防止攻击者利用恶意文件窃取凭证。该措施适用于带有“网页标记”（Mark 5、Jingle Thief利用云环境大规模盗刷礼品卡 https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/ 安全公司Unit 42披露，名为“Jingle Thief”的犯罪集团通过网络钓鱼与短信钓鱼窃取凭证，侵入零售与消费服务机构的云环境以大规模发行并兑现礼品卡。该组织自2021年底活动至今，偏好滞留式横向移动与身分滥用，深度搜寻SharePoint/OneDrive与发卡流程、创建收件箱规则并注册伪造认证器以绕过MFA，从而在不依赖自定义恶意软件的情况下长期维持访问并隐匿痕迹。研究者指出，攻击目标高度定制且以节假日消费高峰期变现为主，最终通过灰色市 6、OpenAI Atlas浏览器漏洞允许向ChatGPT注入恶意代码 https://www.freebuf.com/articles/ai-security/454414.html OpenAI新推出的ChatGPT Atlas浏览器存在严重漏洞，攻击者可借此向ChatGPT内存注入恶意指令，并在用户系统上执行远程代码。网络安全公司LayerX发现，该漏洞利用跨站请求伪造（CSRF）技术劫持已认证会话，可能导致设备感染恶意软件或被未授权访问。这一发现凸显了AI浏览器日益增长的安全风险——集成的LLM（大语言模型）会放大传统网络威胁。 7、朝鲜黑客组织Lazarus针对无人机行业发起窃密攻击 https://www.freebuf.com/articles/454169.html 朝鲜国家背景的黑客组织Lazarus（APT38）近期发起代号"DreamJob"的网络间谍行动，专门针对欧洲无人机技术研发企业。自2025年3月下旬起，攻击者已成功入侵中欧和东南欧地区三家国防相关机构，通过部署高级恶意软件窃取专有无人机技术。 8、“游蛇（银狐）”黑产密集仿冒各类流行应用进行传播 https://www.freebuf.com/articles/es/454365.html “游蛇”攻击组织，其他安全企业又称“银狐”、“谷堕大盗”等，主要针对国内用户进行攻击诈骗活动。安天在2022年下半年发现和分析游蛇组织的早期活动，包括伪装常用软件下载站和搜索引擎SEO和钓鱼邮件方式实施投放，采取白加黑方式执行，利用即时通讯软件（微信、企业微信等）进一步扩散。其主要获利方式为通过即时通讯软件拉群的方式进行诈骗，同时也对感染主机形成窃密能力，可能进行数据贩卖等其他活动。其传播的恶意文件变种极多、免杀手段更换极为频繁，影响到的个人和行业极为广泛。 9、70.6万余台BIND 9实例暴露在线易遭缓存投毒攻击 https://www.freebuf.com/articles/network/454177.html BIND 9 解析器曝出高危漏洞（CVE-2025-40778），攻击者可利用该漏洞实施缓存投毒攻击，将互联网流量重定向至恶意网站。互联网扫描公司 Censys 发现，全球超过 706,000 个暴露在外的 BIND 实例受此影响。该漏洞 CVSS 评分为 8.6 分，源于 BIND 对 DNS 响应中未经请求的资源记录处理过于宽松，使得非路径攻击者无需直接访问网络即可注入伪造数据。BIND 软件的维护方互联网系统联盟（ISC）于 2025 年 10 月 22 日发布公告，敦促管理员立即 10、Jira中存在权限漏洞，可篡改Jira JVM进程有权访问的文件 https://www.anquanke.com/post/id/312843 Atlassian披露了Jira Software Data Center和Server版本中存在的一个严重路径遍历漏洞，该漏洞可使已认证攻击者修改Jira Java虚拟机（JVM）进程可访问的文件。该漏洞编号为CVE-2025-22167，严重级别为高，CVSS评分为8.7，影响自2025年9月以来的多个产品版本。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、朝鲜Lazarus组织渗透欧洲防务企业 https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/ 网络安全公司ESET披露，朝鲜黑客组织Lazarus近期通过“梦幻工作（Operation DreamJob）”行动入侵欧洲三家防务相关企业，目标集中于无人机（UAV）技术领域。攻击者伪装成大型企业招聘人员，以虚假职位诱导目标员工下载被植入恶意代码的开源程序插件，从而实现DLL旁加载并执行远控木马ScoringMathTea RAT或加载器BinMergeLoader（MISTPEN）。这些企业位于中欧和东南欧，均参与向乌 2、CISA警告Lanscope漏洞遭黑客利用 https://www.motex.co.jp/news/notice/2025/release251020/ 美国网络安全与基础设施安全局（CISA）发布警告称，黑客正积极利用日本Motex公司Lanscope Endpoint Manager中的严重漏洞CVE-2025-61932发起攻击。该漏洞评分9.3，源于请求来源验证不当，攻击者可通过特制数据包在未经认证的情况下远程执行任意代码。Motex确认部分客户环境已收到恶意数据包，表明漏洞正被零日利用。受影响版本为9.4.7.2及以前版本，修复已在9.4.7.3等多个子版本中发布。目前暂无临时缓解措施，唯一防护方式是立即更新客户端。日本C 3、新加坡遭遇大规模投资欺诈 https://www.group-ib.com/blog/immediate-era-fraud-singapore/ 一场大规模的诈骗活动盗用了新加坡政府官员的图像和肖像，诱骗新加坡公民和居民参与一个欺诈性投资平台。Group-IB表示：“该诈骗活动依赖于付费谷歌广告、旨在掩盖欺诈和恶意活动的中介重定向网站以及极具欺骗性的虚假网页。受害者最终被引导至一个在毛里求斯注册的外汇投资平台，该平台以看似合法的法人实体身份运营，并持有官方投资许可证。这种结构制造了一种合规的假象，却为跨境欺诈活动提供了便利。” 在这些诈骗平台上，受害者被要求填写个人信息，然后他们会通过电话主动催促他们存入大量资金。 4、Oat++ MCP中的安全漏洞可劫持MCP会话 https://jfrog.com/blog/mcp-prompt-hijacking-vulnerability/ Oat++实现的Anthropic模型上下文协议 (MCP) 中存在一个安全漏洞，攻击者可以利用该漏洞预测或捕获活动AI对话中的会话ID，劫持MCP会话，并通过oatpp-mcp服务器注入恶意响应。该漏洞被称为“Prompt Hijacking”，编号为CVE-2025-6515（CVSS评分：6.8）。虽然服务器发送事件 (SSE)传输使用的生成会话ID旨在将响应从MCP服务器路由到客户端，并区分不同的MCP客户端会话，但该攻击利用了SSE不要求会话ID唯一且加密安全（较新 5、微软Copilot被滥用于OAuth钓鱼攻击 https://securitylabs.datadoghq.com/articles/cophish-using-microsoft-copilot-studio-as-a-wrapper/ Datadog安全实验室披露一种名为“CoPhish”的新型钓鱼技术，攻击者利用Microsoft Copilot Studio的聊天代理功能发起OAuth令牌窃取攻击。该方法通过在微软合法域名下托管伪造登录页面，诱骗用户或管理员授权恶意应用，从而窃取访问令牌。研究人员指出，攻击者可在“登录”主题中自定义验证流程，将令牌发送至外部服务器，甚至可针对高权限管理员实施攻击。微软已确认问题并计划在后续更新中 6、过时插件引发大规模WordPress攻击 https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/ 研究人员披露，一场针对GutenKit与Hunk Companion旧版插件的大规模利用活动正在肆虐，攻击者借三项高危漏洞（CVE-2024-9234、CVE-2024-9707、CVE-2024-11972）未经认证安装并激活任意插件，最终可实现远程代码执行。Wordfence在10月8–9日两天内阻止了约870万次攻击尝试，攻击者常通过含有后门的恶意插件（ 7、黑客伪造身故申请攻击LastPass用户 https://blog.lastpass.com/posts/possible-cryptochameleon-social-engineering-campaign-targeting-lastpass-customers-and-more 密码管理服务商LastPass警告称，自10月中旬起，黑客团伙CryptoChameleon（UNC5356）发动钓鱼攻击，冒充“遗产继承申请”通知，诱骗用户输入主密码以窃取密码库与Passkey。攻击邮件伪称家属提交了死亡证明，请求访问受害者账户，并附带伪造的代理编号提升可信度。若用户点击“取消申请”链接，将被引导至假冒的lastpassrecov 8、微软WSUS关键RCE漏洞已被实战利用 https://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability 安全研究与厂商报告称，编号为CVE-2025-59287的关键性WSUS远程代码执行漏洞已被实战利用且出现公开PoC代码。该漏洞仅影响启用了“作为更新源”的WSUS Server角色的服务器，可在无需交互或权限的情况下以SYSTEM权限执行代码，存在跨服务器蠕虫传播风险。Eye Security、Huntress等组织发现针对暴露端口（8530/8531）的扫描与利用行 9、F1赛事遭遇网络攻击：黑客入侵车手门户网站 https://www.csoonline.com/article/4078450/formel-1-betroffen-cyberattacke-auf-fahrer-portal.html 黑客入侵FIA车手门户获取F1车手数据，自称爱好者旨在揭露漏洞。FIA迅速保护数据并与黑客合作修复系统，未泄露敏感信息。事件凸显网络安全重要性。 10、 研究人员揭露大规模YouTube恶意软件分发网络 https://www.helpnetsecurity.com/2025/10/23/youtube-malware-distribution-network-ghost/ Check Point发现"YouTube幽灵网络"，利用3000多个入侵或伪造频道以破解软件为诱饵传播恶意软件，采用分工模式规避检测，主要传播信息窃取程序，2025年恶意视频增长两倍。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、PolarEdge恶意僵尸网络扩散至路由器 https://blog.sekoia.io/polaredge-backdoor-qnap-cve-2023-20118-analysis/ 安全研究人员披露，名为PolarEdge的僵尸网络通过利用路由器漏洞（含Cisco的CVE‑2023‑20118）感染Cisco、ASUS、QNAP与Synology等设备，目标疑似用于构建运营中继箱（ORB）式基础设施。该恶意ELF后门基于TLS（使用mbedTLS）实现内置服务器/回连模式，可上报主机指纹并执行远程命令；配置位于ELF末尾并经单字节XOR混淆。样本携带多种反分析与进程伪装手段，虽不保证重启持久化，但通过父子进程监控实现自动重启。研 2、TP-Link修复四项Omada网关设备漏洞 https://support.omadanetworks.com/en/document/108456/ TP-Link发布安全更新，修复影响Omada网关设备的四个漏洞，其中两项为高危命令执行漏洞。包括CVE-2025-6542可被远程未认证攻击者利用执行任意命令，以及CVE-2025-6541、CVE-2025-7850需登录管理界面或持管理员权限即可触发。另一漏洞CVE-2025-7851涉及权限管理不当，可在受限条件下获取root shell。受影响设备涵盖ER8411、ER7412-M2、ER707-M2、ER7206等多个型号。TP-Link建议用户尽快升级固件并检查配置，以确 3、Jira路径遍历漏洞可导致服务器/数据中心任意文件写入 https://www.freebuf.com/articles/453764.html Atlassian公司已发布补丁，修复影响Jira Software数据中心与服务器版以及Jira Service Management数据中心与服务器版的高危路径遍历漏洞（CVE-2025-22167）。该漏洞CVSS评分为8.7分，攻击者可借此在运行受影响Jira版本的系统上执行任意文件写入操作，若与其他漏洞利用链结合，可能导致数据损坏或远程代码执行。 4、主流AI Agent存在关键参数注入漏洞，可实现远程代码执行 https://www.freebuf.com/articles/ai-security/453735.html 三家未公开名称的热门AI Agent平台存在关键参数注入漏洞，攻击者可通过看似无害的提示绕过人工审批防护机制，实现远程代码执行（RCE）。Trail of Bits指出，这些漏洞利用了为提升文件搜索和代码分析等任务效率而预先批准的系统命令，暴露出智能体AI系统中普遍存在的设计缺陷。 5、Sauter AG 产品中存在严重漏洞 https://www.anquanke.com/post/id/312770 瑞士楼宇自动化制造商Sauter AG披露了其modulo 6设备嵌入式固件中的六个漏洞，警告攻击者可能利用这些缺陷实现远程控制、权限提升和破坏系统完整性。其中编号为CVE-2025-41723的漏洞CVSS评分为9.8，属于严重级别。 6、ABB已停产负载控制器存在严重漏洞可导致未授权的管理员访问 https://www.anquanke.com/post/id/312781 工业自动化巨头ABB披露了其ALS-mini-S4/S8 IP智能负载控制器中存在的严重身份验证缺失漏洞（CVE-2025-9574），这些设备广泛部署于能源管理和负载优化系统中。该漏洞允许未认证远程攻击者通过嵌入式Web界面访问并修改设备配置，可能导致工业设施中的电力分配中断或能源效率操作异常。 7、Adobe Commerce漏洞使许多电商网站遭遇攻击 https://www.securityweek.com/exploitation-of-critical-adobe-commerce-flaw-puts-many-ecommerce-sites-at-risk/ 网络安全公司 Sansec 报告称，黑客已经开始利用 Adobe Commerce 和 Magento 开源产品中的一个严重漏洞，该漏洞被追踪为 CVE-2025-54236（CVSS 评分为 9.1），描述为不正确的输入验证问题，导致安全功能绕过。 8、BIND 更新解决高危缓存投毒漏洞 https://www.securityweek.com/bind-updates-address-high-severity-cache-poisoning-flaws/ 互联网系统联合组织（ISC）于周三宣布了 BIND 9 更新，以解决包括缓存投毒漏洞在内的高严重性漏洞。第一个问题是流行 DNS 服务器软件中使用的伪随机数生成器（PRNG）的弱点，在特定情况下，可能允许攻击者预测将被使用的源端口和查询 ID，攻击者可能会滥用这个安全缺陷，跟踪为 CVE-2025-40780（CVSS 评分为 8.6），在欺骗攻击中，如果成功，可能导致 BIND 缓存攻击者的响应。 9、Lanscope 终端管理器零日漏洞已被利用 https://www.securityweek.com/lanscope-endpoint-manager-zero-day-exploited-in-the-wild/ 京瓷通信子公司 Motex 本周发布了针对 Lanscope Endpoint Manager 中一个严重漏洞的紧急补丁，该漏洞作为零日漏洞已被野外利用。追踪为 CVE-2025-61932（CVSS 评分为 9.8），该漏洞被描述为“通信通道来源验证不当”问题，允许远程攻击者发送精心制作的包并实现任意代码执行。 10、三星Galaxy S25 零日漏洞可远程启用摄像头和追踪位置 https://cybersecuritynews.com/samsung-galaxy-s25-0-day-vulnerability/ 在 2025 年爱尔兰 Pwn2Own 活动中，来自 Interrupt Labs 的安全研究人员 Ben R.和 Georgi G.展示了他们的一项令人印象深刻的成就，成功利用了三星 Galaxy S25 的零日漏洞。这使得他们能够完全控制设备，激活摄像头并追踪用户的位置。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、GlassWorm蠕虫入侵VS Code与OpenVSX扩展平台 https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace#heading-5 Koi Security研究人员披露，一场名为“GlassWorm”的供应链攻击正在针对OpenVSX与Microsoft VS Code扩展平台的开发者。该自传播恶意软件通过隐藏的Unicode字符伪装代码，利用被盗账户信息在多个扩展间传播，迄今已感染约3.58万次。GlassWorm可窃取GitHub、npm与加密钱包凭证，并部署SOCKS代理与HVNC组 2、Pwn2Own爱尔兰首日曝34个零日漏洞 https://www.bleepingcomputer.com/news/security/hackers-exploit-34-zero-days-on-first-day-of-pwn2own-ireland/ 在2025年Pwn2Own爱尔兰黑客竞赛首日，参赛研究人员共成功利用34个零日漏洞，赢得总计52.25万美元奖金。来自Team DDOS的Bongeun Koo与Evangelos Daravigkas通过八个零日漏洞链攻击QNAP路由器与NAS设备，单项奖金达10万美元。Synacktiv、DEVCORE、Summoning等团队亦成功攻破Synology、QNAP与Home 3、Cursor、Windsurf曝90余个Chromium漏洞 https://www.ox.security/blog/94-Vulnerabilities-in-Cursor-and-Windsurf-Put-1-8M-Developers-at-Risk/ 安全公司Ox Security披露，AI 代码编辑器Cursor与Windsurf因内嵌过旧的Electron/Chromium与V8引擎，累计存在94个已修补的n-day漏洞，约180万开发者面临风险。研究人员以CVE-2025-7656为例，演示通过deeplink触发渲染器崩溃（DoS），并警示真实攻击可构造成内存破坏或远程执行。攻击向量包括恶意扩展、带毒的文档/README预览与钓鱼链接 4、GitLab 多安全漏洞可致攻击者触发拒绝服务状态 https://www.freebuf.com/articles/453728.html GitLab 已紧急发布社区版（CE）和企业版（EE）的 18.5.1、18.4.3 和 18.3.5 补丁版本，修复多个关键安全漏洞，其中包括数个高危拒绝服务（DoS）漏洞。 5、Rust异步TAR库TARmageddon漏洞可植入恶意档案 https://www.freebuf.com/articles/453730.html Edera安全团队披露了Rust异步TAR库async-tar及其分支（如tokio-tar）中存在的一个高危漏洞（CVE-2025-62518，CVSS评分8.1），该漏洞被命名为TARmageddon。攻击者可利用此漏洞实现远程代码执行。 6、微软365 Copilot 提示注入漏洞可导致攻击者窃取敏感数据 https://www.freebuf.com/articles/ai-security/453577.html 研究人员发现Microsoft 365 Copilot（M365 Copilot）存在一项复杂漏洞，攻击者可通过间接提示注入攻击窃取租户敏感数据，包括近期电子邮件内容。 7、AWS服务大规模中断，基础设施故障影响全球企业 https://hackread.com/aws-outage-mitigated-impact-what-happened/ AWS云服务DNS故障引发全球中断，影响Reddit、金融平台等多领域，凸显数字基础设施依赖风险，专家呼吁加强备份与监管。 8、Xubuntu官方网站遭入侵，下载链接被替换为恶意软件 https://securityonline.info/warning-xubuntu-website-compromised-to-deliver-malware/ Xubuntu官网遭黑客入侵，下载链接被替换为含恶意EXE的ZIP文件，32款安全引擎标记为后门程序。攻击者捆绑正常安装程序掩盖恶意行为，疑似窃取加密货币钱包等财务信息。团队已移除恶意链接。 9、逾7.1万台WatchGuard设备存在远程代码执行漏洞风险 https://cybersecuritynews.com/watchguard-devices-rce-attack/ WatchGuard防火墙曝高危漏洞CVE-2025-9242，全球超7.1万台设备未修复，攻击者可远程执行任意代码。该漏洞源于IKEv2协议缺陷，CVSS评分9.8，建议立即升级系统或禁用IKEv2协议。 10、微软紧急修复Windows恢复环境关键漏洞 https://securityonline.info/emergency-fix-microsoft-rushes-patch-for-critical-windows-recovery-bug/ 微软紧急修复Windows 11更新KB5066835引发的严重漏洞：localhost访问问题已通过KIR解决，但WinRE输入故障需额外补丁KB5070773修复，否则用户将无法使用恢复功能。 声明 以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。