FreeBuf早报 | WinRAR目录遍历漏洞允许通过恶意文件执行任意代码;中东网络战全景速览
全球网络安全事件频发:软件漏洞、网络战加剧、间谍软件渗透官方商店、AI平台滥用个人信息、供应链攻击、路由器与WordPress插件漏洞等威胁持续攀升,凸显数字时代安全挑战严峻。 2025-6-25 09:36:19 Author: www.freebuf.com(查看原文) 阅读量:12 收藏

全球网安事件速递

1. WinRAR目录遍历漏洞允许通过恶意文件执行任意代码

WinRAR高危漏洞CVE-2025-6218允许攻击者通过恶意压缩文件执行任意代码,需用户交互触发。CVSS评分7.8,影响6月19日前所有版本。厂商已发布7.11版补丁,建议立即升级。【外刊-阅读原文

2. 中东网络战全景图:GPS欺骗、虚假警报、加密货币攻击与IP摄像头监控事件曝光

中东冲突加剧网络战升级:GPS欺骗、虚假警报、加密货币攻击和IP监控交织,黑客活动爆发式增长,电子战与物理战界限模糊,威胁关键基础设施和民众安全,凸显网络-物理冲突新时代的严峻挑战。【外刊-阅读原文

3. App Store暗藏虚假抖音,内含间谍软件窃取照片和加密货币

卡巴斯基发现新型间谍软件SparkKitty,通过伪装成TikTok等流行应用渗透苹果和谷歌官方商店,窃取用户相册照片,专门搜寻加密货币信息。主要针对东南亚和中国用户,利用企业证书绕过审核。官方应用商店也不再完全安全,需警惕异常权限请求。【外刊-阅读原文

4. 主流AI平台擅自共享用户个人信息 ,用户掌控权严重缺失

主流AI平台如Meta、谷歌等收集并共享用户敏感数据,缺乏透明度和控制权,且无退出机制。企业商业机密也可能被泄露。隐私政策晦涩难懂,用户权益难以保障。【外刊-阅读原文

5. NVIDIA Megatron-LM 存在双重注入风险:v0.12.1 版本修复代码执行漏洞

NVIDIA披露其开源LLM框架Megatron-LM存在两个高危漏洞(CVE-2025-23264/23265),CVSS评分7.8,可导致远程代码执行和数据篡改。漏洞源于Python组件输入处理不当,影响0.12.0之前版本,已在0.12.1修复。企业AI应用需警惕此类框架安全风险。【外刊-阅读原文

6. 朝鲜背景供应链攻击利用35个恶意npm包针对开发者

朝鲜黑客组织通过35个恶意npm包发起"传染性面试"攻击,伪装招聘诱骗开发者下载含HexEval加载器的软件,窃取数据并远程控制主机,累计下载超4000次,6个包仍可下载。攻击结合社会工程与供应链漏洞,针对求职者信任实施精准入侵。【外刊-阅读原文

7. ELECOM路由器曝高危漏洞:JPCERT/CC警告命令注入与XSS风险

ELECOM多款路由器曝高危漏洞,包括远程代码执行、命令注入和XSS,部分漏洞CVSS评分达9.8分。建议立即更新固件或停用受影响设备,临时措施包括修改密码和谨慎访问WebGUI。【外刊-阅读原文

8. 恶意WordPress插件曝光:隐蔽木马窃取信用卡与登录凭证

Wordfence揭露伪装成WordPress插件的恶意软件,能窃取信用卡、凭证并实施广告欺诈,最早可追溯至2023年。该插件高度伪装,含服务器端持久化功能,通过多重技术逃避检测,将受害网站转化为攻击者定制界面。【外刊-阅读原文

9. 2025年3月以来Prometei僵尸网络活动激增

Prometei僵尸网络新型变种快速传播,针对Linux系统进行门罗币挖矿和凭证窃取,采用模块化架构和动态技术规避检测。最新版本支持多恶意活动,需通过YARA规则和持续监控防御。【外刊-阅读原文

10. 高危级Kaleris Navis N4漏洞(CVE-2025-2566,CVSS 9.8):威胁全球供应链基础设施安全

Kaleris Navis N4终端操作系统曝出两个高危漏洞(CVE-2025-2566和CVE-2025-5087),其中9.8分漏洞可远程执行任意代码,5.9分漏洞泄露敏感信息。建议立即升级至4.0版本或采取防火墙、HTTPS等防护措施,供应链安全面临严重威胁。【外刊-阅读原文

优质文章推荐

1. burp插件开发——GUI的学习

本文介绍如何为Burp插件开发GUI界面,使用Java Swing实现包含VulDisplay和Config两个标签页的界面,重点讲解JTable组件的数据模型设计、布局管理和按钮功能实现,最终将UI注册到Burp中,提升操作效率。【阅读原文

2. 免杀菜鸡如何免杀自己的fscan

本文介绍如何对fscan工具进行二次开发实现免杀,包括去除静态特征(替换项目名、修改参数)、动态绕过(反沙箱、随机校验)、使用garble混淆编译,最终绕过主流杀软检测,适合新手学习免杀技巧。【阅读原文

3. 【XSS专题】利用XSS攻击漏洞配合Basic认证页面钓鱼获取账号密码

攻击者利用Yxcms存储XSS漏洞植入Basic认证钓鱼脚本,诱骗管理员输入账号密码,成功窃取后台凭证。通过auth.php和recode.php实现钓鱼与信息收集,最终获取敏感数据。【阅读原文

漏洞情报精华

1.用友NC ActivityNotice SQL注入漏洞

https://xvi.vulbox.com/detail/1937795729531736064

2.华天软件InforCenter PLM BaseHandler 任意文件读取漏洞

https://xvi.vulbox.com/detail/1937716825534107648

3.宏景eHR Huayu_peWageRecv XXE漏洞

https://xvi.vulbox.com/detail/1937755574615805952

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/436353.html
如有侵权请联系:admin#unsafe.sh