全球网安事件速递1. 串联两个本地提权漏洞获取root权限:多数Linux发行版受影响(CVE-2025-6018、CVE-2025-6019)Qualys发现Linux本地提权漏洞CVE-2025-6018和CVE-2025-6019,攻击者可组合利用,通过PAM配置错误和libblockdev漏洞轻松获取root权限,影响多数Linux发行版。建议立即部署补丁,调整polkit策略要求管理员认证。【外刊-阅读原文】
2. 水咒组织利用76个GitHub账号发起多阶段恶意软件攻击网络安全组织"水咒"利用76个GitHub账号分发多阶段恶意软件,窃取凭证、远程控制并长期驻留。攻击采用混淆脚本、反调试技术,通过合法云服务逃避检测,欧洲多国已遭针对性攻击。【外刊-阅读原文】
3. 谷歌Gerrit代码平台漏洞致18个项目遭入侵,含ChromiumOS等核心系统高危漏洞"GerriScary"曝光,攻击者可利用谷歌Gerrit平台配置缺陷,向ChromiumOS等18个核心项目注入恶意代码。漏洞涉及权限设置、复制条件逻辑和自动化机器人竞争条件三重缺陷,5分钟内即可完成攻击。谷歌已修复其项目,但其他使用Gerrit的组织仍面临风险。【外刊-阅读原文】
4. 邮件服务商Cock.li遭入侵,100万名用户数据泄露Cock[.]li邮件服务遭黑客攻击,超100万用户信息泄露,涉及邮箱地址、登录记录等,但密码和邮件内容未受影响。漏洞源于Roundcube旧版本,公司已停用该服务并建议用户改密。事件凸显邮件服务安全防护重要性。【外刊-阅读原文】
5. 新型恶意软件滥用Cloudflare隧道投递RAT新型SERPENTINE#CLOUD攻击利用Cloudflare Tunnel托管恶意载荷,通过钓鱼邮件传播,采用多阶段感染链最终执行内存注入式RAT。攻击滥用信誉子域名规避检测,目标覆盖欧美亚多国。同时Shadow Vector活动通过SVG走私技术攻击哥伦比亚,部署远程木马。社会工程攻击激增,ClickFix技术利用用户操作完成感染。【外刊-阅读原文】
6. Bing搜索结果暗藏恶意广告,伪装PuTTY传播勒索软件攻击者通过Bing恶意广告传播伪装PuTTY的恶意软件,针对系统管理员,部署Rhysida勒索软件。攻击手段精密,利用代码签名证书增强欺骗性。建议使用广告拦截器,仅从官网下载软件并验证签名。【外刊-阅读原文】
7. Asana MCP AI 连接器漏洞可能泄露企业数据Asana的MCP服务器漏洞可能泄露企业数据,涉及项目、任务等敏感信息。专家警告MCP协议尚不成熟,建议限制数据访问并采用更安全的RAG方案。企业应加强租户隔离、日志记录和人工监督,避免过早部署新协议。【外刊-阅读原文】
8. Apache Traffic Server 漏洞可致攻击者通过内存耗尽发动DoS攻击Apache Traffic Server存在高危漏洞CVE-2025-49763,攻击者可利用ESI插件内存耗尽发动远程DoS攻击,影响9.0.0-9.2.10和10.0.0-10.0.5版本。建议立即升级并配置max-inclusion-depth参数缓解风险。【外刊-阅读原文】
9. 黄金SAML攻击:攻击者可窃取联合服务器私钥掌控全局身份系统黄金SAML攻击利用窃取的私钥伪造身份令牌,威胁企业整个身份系统,隐蔽且持久。虽罕见但破坏力极强,能绕过传统安全检测,需高度警惕。【外刊-阅读原文】
10. CVE-2025-23171与CVE-2025-23172:Versa Director漏洞可导致Webshell上传与命令执行Versa Director SD-WAN平台曝出两个高危漏洞(CVSS 7.2):CVE-2025-23171允许上传恶意Webshell,CVE-2025-23172可滥用Webhook执行sudo命令。影响多个版本,部分已修复,PoC代码已公开但暂无实际攻击案例。【外刊-阅读原文】
优质文章推荐1. 代码审计 | 柚子云购系统漏洞分析基于SpringBoot的电商平台支持OSS/本地存储和微信支付宝支付,但存在SQL注入、文件上传、XSS和CSRF漏洞,需修复安全风险。项目地址:https://gitee.com/ghostxbh/uzy-ssm-mall。【阅读原文】
2. Kubernetes :k8s一主两从集群搭建—实现全纪录Kubernetes(K8s)是开源容器编排引擎,用于自动化部署、扩展和管理容器化应用。核心概念包括Pod、Service、Controller等,支持微服务架构和自动伸缩。搭建需安装Docker、关闭防火墙/SELinux/swap,配置cgroups,部署Flannel网络插件。集群初始化后可通过kubeadm加入节点,并安装Dashboard面板进行管理。【阅读原文】
3. 受限上传漏洞绕过浏览器安全策略触发储存型 XSS 分析文件上传漏洞实战:绕过黑/白名单、MIME验证等18种技巧,结合SVG/PDF/XLS等文件触发存储型XSS攻击,利用Content-Type分号等特性绕过安全策略,实现组合攻击效果。强调合法测试,禁止恶意利用。【阅读原文】
漏洞情报精华1.汉王e脸通智慧园区管理平台 uploadMeetingFile.do 任意文件上传漏洞
https://xvi.vulbox.com/detail/1935218119970787328
2.宏景eHR getHrInfoByID SQL注入漏洞
https://xvi.vulbox.com/detail/1935603121678061568
3.积木报表 getDataSourceByPage 信息泄露漏洞
https://xvi.vulbox.com/detail/1935526287099695104
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。