本周热点概览
威胁通告
- Vite任意文件读取漏洞(CVE-2025-30208)通告
- js中间件权限绕过漏洞(CVE-2025-29927)通告
- Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974)通告
- Apache Tomcat远程代码执行漏洞(CVE-2025-24813)通告
热点资讯
- 人工智能驱动的编程:高效还是网络安全噩梦?
- 新型SvcStealer恶意软件攻击用户窃取浏览器敏感数据
- 透析AI赋能安全运营的五大应用场景,加速数智化转型
- 意大利要求Google DNS服务器修改盗版网站的DNS解析
- JumpServer漏洞使攻击者可绕过认证并获取完全控制权
- AI融入软件供应链,安全实践正在重新定义
- 俄罗斯零日漏洞卖家开价400万美元出售全链Telegram漏洞经过
- SpyX数据泄露,涉及近200万用户隐私
- Cloudflare R2服务故障由密码轮换错误引发
- 利用Fortinet漏洞LockBit Black勒索病毒样本分析
威胁通告
1.Vite任意文件读取漏洞(CVE-2025-30208)通告
【标签】CVE-2025-30208
【发布时间】2025-03-27 14:00:00 GMT
【概述】
近日,绿盟科技CERT监测到Vite发布安全公告,修复了Vite任意文件读取漏洞(CVE-2025-30208);由于Vite开发服务器在处理URL请求时未对路径进行严格校验,未经身份验证的攻击者可以通过构造特殊的URL绕过路径访问限制,从而获取项目根目录外的敏感文件。目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
2.Next.js中间件权限绕过漏洞(CVE-2025-29927)通告
【标签】CVE-2025-29927
【发布时间】2025-03-27 14:00:00 GMT
【概述】
近日,绿盟科技CERT监测到Next.js发布安全公告,修复了Next.js中间件权限绕过漏洞(CVE-2025-29927);由于Next.js对x-middleware-subrequest标头的来源缺乏有效校验,当配置使用中间件进行身份验证和授权时,未经身份验证的攻击者可通过操作x-middleware-subrequest请求头绕过系统权限控制,从而访问目标的受保护资源。目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
3.Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974)通告
【标签】CVE-2025-1974
【发布时间】2025-03-27 14:00:00 GMT
【概述】
近日,绿盟科技CERT监测到Kubernetes发布安全公告,修复了Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974);由于Kubernetes Pod中部署的Ingress控制器无需认证即可通过网络访问,当Admission webhook对外开放时,未经身份验证的攻击者可以通过向Ingress-nginx发送特制的AdmissionReview请求,远程注入任意的nginx配置,从而在Ingress-nginx上执行任意代码。CVSS评分9.8,目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
4.Apache Tomcat远程代码执行漏洞(CVE-2025-24813)通告
【标签】CVE-2025-24813
【发布时间】2025-03-27 14:00:00 GMT
【概述】
近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Tomcat远程代码执行漏洞(CVE-2025-24813);当应用程序启用了servlet的写入功能(默认关闭)、使用Tomcat文件会话持久机制和默认存储位置且包含反序列化利用库时,未经身份验证的攻击者可执行任意代码获取服务器权限。此外,当上传目标URL为公共目标URL的子目录,且攻击者知悉上传文件名称时,未经身份验证的攻击者可获取目标文件信息或添加文件内容。CVSS评分8.1,请相关用户尽快采取措施进行防护。
【参考链接】
https://nti.nsfocus.com/threatNotice
热点资讯
1.人工智能驱动的编程:高效还是网络安全噩梦?
【标签】人工智能
【概述】
人工智能编码工具正在改变软件开发范式。GitHub Copilot、Amazon CodeWhisperer和ChatGPT等平台已成为开发人员的必备工具,可帮助他们更快地编写代码、高效调试并以最小的努力解决复杂的编程任务。这些人工智能编码助手可以自动执行繁琐的任务、提供实时调试,并仅通过一些建议即可帮助解决复杂问题。它们承诺提高生产力和自动化程度,减少对重复编码任务的需求。然而,这些好处背后也隐藏着一系列复杂的风险。网络安全威胁、过度依赖人工智能的可能性以及对工作岗位流失的担忧都是不容忽视的严重问题。虽然人工智能编码工具可以带来很大帮助,但必须审视其利弊,才能了解它们是否真正改善了软件开发或带来了新的问题。
【参考链接】
https://ti.nsfocus.com/security-news/79vRIV
2.新型SvcStealer恶意软件攻击用户窃取浏览器敏感数据
【标签】SvcStealer
【概述】
2025年1月底,安全研究人员首次发现了一种名为SvcStealer 2025的恶意软件。该恶意软件通过鱼叉式网络钓鱼(Spear Phishing)邮件附件传播,专门窃取受感染系统中的大量个人和财务信息,包括设备数据、已安装的软件、用户凭据、加密货币钱包和浏览器数据。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJh
3.透析AI赋能安全运营的五大应用场景,加速数智化转型
【标签】AI
【概述】
蓬勃发展的AI技术已经渗透到各个领域,重塑千行百业。在我国网络安全领域,各路厂商正积极拥抱AI技术,将其与安全运营的各个环节深度融合,推动安全运营向自动化、智能化方向发展。各厂商基于自身的技术积累、产品优势和对客户需求的理解,纷纷推出各具特色的AI创新应用,呈现出百花齐放的态势。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJq
4.意大利要求Google DNS服务器修改盗版网站的DNS解析
【标签】DNS
【概述】
意大利法庭根据反盗版法律Piracy Shield命令Google的公共DNS服务器修改盗版网站的DNS解析,此类行为被称为DNS中毒攻击。Piracy Shield中的DNS中毒要求被认为会造成严重的附带损害,它会屏蔽整个域名而不是盗版内容所在的网页,可能会导致流行平台因上面的盗版材料而遭到整体屏蔽。去年意大利ISP就因为这一原因短暂屏蔽了Google Drive域名。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJ7
5.JumpServer漏洞使攻击者可绕过认证并获取完全控制权
【标签】JumpServer
【概述】
Fit2Cloud开发的开源特权访问管理(PAM)工具JumpServer中发现一系列严重漏洞,引发了重大的安全担忧。JumpServer作为内部网络的堡垒主机,通过用户友好的Web界面提供通过SSH、RDP、数据库和FTP隧道访问内部资源的集中点。发现的缺陷可能允许未经身份验证的攻击者绕过身份验证并完全控制JumpServer基础设施。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJa
6.AI融入软件供应链,安全实践正在重新定义
【标签】AI
【概述】
AI与企业软件开发和应用关系的日益紧密,使得AI和软件供应链已经融为一体。AI成为软件供应链的重要组成部分。AI的技术复杂性与快速采用特性,构成了供应链威胁的“完美风暴”。无论是生产还是应用软件解决方案的组织,都需要为AI带来的风险做好准备。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJx
7.俄罗斯零日漏洞卖家开价400万美元出售全链Telegram漏洞经过
【标签】Telegram
【概述】
俄罗斯漏洞经纪公司Operation Zero已公开宣布为Telegram零日漏洞提供高达400万美元的赏金,这表明俄罗斯政府对入侵这款流行消息应用程序的兴趣日益浓厚。该公司专门为俄罗斯政府和当地实体提供服务,正在寻求针对Android、iOS和Windows版本的Telegram的远程代码执行(RCE)漏洞。根据漏洞利用的复杂程度,支付金额将有所增加。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJ8
8.SpyX数据泄露,涉及近200万用户隐私
【标签】SpyX
【概述】
SpyX是一家因开发间谍软件而声名狼藉的公司,该公司遭遇了数据泄露事件,致使近200万用户的个人信息被泄露。根据Have I been Pwned发布的一份报告,此次泄密事件发生在2024年6月24日,大量敏感数据遭到泄露,其中包括电子邮件地址、IP地址、设备信息、地理位置以及密码。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJp
9.Cloudflare R2服务故障由密码轮换错误引发
【标签】Cloudflare R2
【概述】
Cloudflare宣布,其R2对象存储及相关服务出现了一次持续1小时7分钟的故障,导致全球100%的写入请求和35%的读取请求失败。Cloudflare R2是一种可扩展的、与S3兼容的对象存储服务,具有免费的数据检索、多区域复制以及与Cloudflare的紧密集成等特点。此次故障发生在UTC时间21:38至22:45之间,据称是由一次凭证轮换操作导致R2网关(API前端)失去对后端存储的认证访问权限所引发的。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJl
10.利用Fortinet漏洞LockBit Black勒索病毒样本分析
【标签】LockBit Black
【概述】
最近几年勒索病毒已经席卷全球,全球范围内越来越多的政府、企业,组织机构等受到勒索病毒黑客组织的攻击,几乎每天都有企业被勒索病毒攻击的新闻被曝光,可能还有更多的企业被勒索病毒攻击之后,选择默默交纳赎金,由于勒索病毒太过于暴利,从而导致越来越多的黑客组织开始使用勒索病毒攻击。
【参考链接】
https://ti.nsfocus.com/security-news/79vRJ5