本周热点概览
威胁通告
- Oracle全系产品2025年4月关键补丁更新通告
热点资讯
- EncryptHub的双重生活:网络罪犯与Windows漏洞赏金研究人员
- 计划生育实验室合作伙伴数据泄露,泄露160万条信息
- 严重的Apache Roller漏洞可实现未经授权的会话持续
- 针对漏洞安全研究人员的钓鱼攻击
- 利用AI代码幻觉的新型软件供应链攻击
- 谷歌封禁51亿条违规广告,暂停3920万个广告主账户
- 4chan遭入侵?竞争对手Soyjak论坛黑客宣称泄露其源代码
- 俄罗斯黑客用U盘攻击驻乌克兰西方军队
- js中的严重漏洞可让黑客绕过授权
- CVE通用漏洞披露计划面临合同到期资金中断局面,美国政府似乎不再提供资金支持
威胁通告
1.Oracle全系产品2025年4月关键补丁更新通告
【标签】CVE-2025-30706,CVE-2025-30712,CVE-2025-30716
【发布时间】2025-04-18 16:00:00 GMT
【概述】
2025年4月16日,绿盟科技CERT监测到Oracle官方发布了4月重要补丁更新公告CPU(Critical Patch Update),此次共修复了390个不同程度的漏洞,本次安全更新涉及Oracle MySQL Connectors、Oracle MySQL Server、Oracle Java SE、Oracle Fusion Middleware、Oracle Financial Services Applications、Oracle Communications Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
【参考链接】
https://nti.nsfocus.com/threatNotice
热点资讯
1.EncryptHub的双重生活:网络罪犯与Windows漏洞赏金研究人员
【标签】CVE-2025-24061
【概述】
据悉,臭名昭著的威胁分子EncryptHub向微软报告了两个Windows零日漏洞,揭示了介于网络犯罪和安全研究之间的矛盾人物。报告的漏洞是CVE-2025-24061(Web绕过标记)和CVE-2025-24071(文件浏览器欺骗),微软在2025年3月的补丁星期二更新中解决了这些漏洞,并承认报告者为“SkorikARI与SkorikARI”。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLC
2.计划生育实验室合作伙伴数据泄露,泄露160万条信息
【标签】数据泄露
【概述】
美国实验室检测服务提供商实验室服务合作社(LSC)证实,黑客于2024年10月侵入其计算机系统,窃取了约160万人的个人信息。供您参考,LSC是华盛顿州西雅图的一个非营利组织。它在不同时期开始与不同的计划生育中心合作,有些是在最近几年才开始的。目前,它为美国约31个州的计划生育中心提供实验室检测服务。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLG
3.严重的Apache Roller漏洞可实现未经授权的会话持续
【标签】CVE-2025-24859
【概述】
Apache Roller开源、基于Java的博客服务器软件被披露存在一个严重的安全漏洞,该漏洞可能允许恶意行为者即使在用户更改密码后仍能保持未经授权的访问权限。该漏洞被分配了CVE编号CVE-2025-24859,其CVSS评分为10.0,表明其严重性极高。该漏洞影响Roller的所有版本,包括6.1.4版本。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLu
4.针对漏洞安全研究人员的钓鱼攻击
【标签】Lazarus APT
【概述】
通过GitHub项目钓鱼针对安全研究人员进行钓鱼攻击已经不是第一次了,此前Lazarus APT组织就曾使用GitHub项目针对漏洞研究人员进行钓鱼攻击,盗取漏洞研究人员高价值漏洞,该组织通过建立技术BLOG、发布漏洞分析文章、伪装安全研究人员身份进行技术交流,然后发布带有后门的POC代码诱骗安全研究人员下载执行,安装后门程序。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLs
5.利用AI代码幻觉的新型软件供应链攻击
【标签】slopsquatting
【概述】
随着生成式AI工具在编程领域的普及,一种名为“slopsquatting”的新型供应链攻击悄然浮现。这种攻击利用了AI模型在生成代码时“幻觉”出不存在的软件包名称的特性,威胁不容小觑。“Slopsquatting”这一术语由安全研究员Seth Larson首次提出,灵感来源于传统的“typosquatting”(拼写错误蹲守)。Typosquatting通过伪造与热门软件库名称相似的恶意包,诱骗开发者安装。而Slopsquatting则更进一步:它并不依赖拼写错误,而是利用AI模型生成代码时推荐的“虚构”包名。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLy
6.谷歌封禁51亿条违规广告,暂停3920万个广告主账户
【标签】谷歌
【概述】
谷歌周三透露,该公司在2024年暂停了超过3920万个广告主账户,其中大部分账户在其向用户推送有害广告之前已被系统识别并拦截。这家科技巨头表示,去年总计屏蔽了51亿条违规广告,限制了91亿条广告,并在13亿个页面上屏蔽或限制了广告展示。此外,该公司还因诈骗相关违规行为暂停了超过500万个账户。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLN
7.4chan遭入侵?竞争对手Soyjak论坛黑客宣称泄露其源代码
【标签】4chan
【概述】
知名图片论坛4chan正面临重大安全事件。在竞争对手Soyjak.st论坛用户宣称入侵该网站并泄露其源代码后,4chan目前处于宕机状态,相关调查仍在进行中。用户和研究人员发现,4chan定制化源代码(广为人知的Yotsuba系统)可能已遭泄露。颇具讽刺意味的是,攻击者自称与Soyjak.st有关联——这是一个知名度较低但与4chan存在竞争关系的图片论坛社区。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLH
8.俄罗斯黑客用U盘攻击驻乌克兰西方军队
【标签】Gamaredon
【概述】
据赛门铁克报道,俄罗斯国家支持的黑客组织Gamaredon(又称“Shuckworm”)近期针对驻乌克兰的某西方国家军事使团发起了攻击,主要通过U盘传播恶意软件。赛门铁克的威胁研究人员指出,此次攻击始于2025年2月,持续至3月,黑客部署了更新版本的GammaSteel信息窃取恶意软件以窃取数据。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLd
9.Next.js中的严重漏洞可让黑客绕过授权
【标签】CVE-2025-29927
【概述】
在Next.js这个开源的Web开发框架中,发现了一个严重漏洞,攻击者有可能借此绕过授权检查。该漏洞编号为CVE-2025-29927,攻击者利用此漏洞,无需经过关键的安全检查,就能发送请求并到达目标路径。Next.js是一个广受欢迎的React框架,在npm上,每周的下载量超过900万次。
【参考链接】
https://ti.nsfocus.com/security-news/79vRL6
10.CVE通用漏洞披露计划面临合同到期资金中断局面,美国政府似乎不再提供资金支持
【标签】CVE
【概述】
CVE通用漏洞披露计划面临合同到期资金中断的局面,美国政府似乎不再提供资金支持。CVE是MITRE公司负责开发和运营的用于跟踪行业漏洞的数据库,其客户主要是美国政府机构,现在MITRE与这些客户的合同已经到期且没有续签,这可能导致CVE因缺乏资金支持而被迫关闭。
【参考链接】
https://ti.nsfocus.com/security-news/79vRLA