快讯 -凯发娱乐登录

据外媒最新报道，vmware guest authentication service（vgauth）组件中存在两个严重漏洞，允许本地攻击者将权限从任何用户帐户升级到 windows 虚拟机上的系统级访问权限。漏洞会影响跨 esxi 管理的环境和独立vmware workstation部署的vmware tools安装。cve-2025-22230（7.8）源于 vgauth 命名管道实现中的一个严重缺陷，该缺陷可以通过预创建攻击绕过身份验证。cve-2025-22247（6.1）利用了别名存储管理功能中输入验证不足的问题。建议在windows客户机环境中运行vmware tools的组织应立即升级到最新版本。

研究人员近期在tridium的niagara框架中发现了多个关键漏洞，这些漏洞可能允许攻击者破坏楼宇自动化系统并收集敏感的网络数据。其中 cve-2025-3937（7.7），因为密码哈希的计算工作不足。最严重的漏洞包括 cve-2025-3944（7.2），涉及关键资源权限分配不正确，以及 cve-2025-3945（7.2），启用参数注入攻击。当niagara系统在网络设备上禁用加密时，这些缺陷将完全被利用，这种配置会生成安全仪表板警告。tridium迅速做出反应，发布了安全补丁并发布了全面的安全公告，解决了所有已发现的漏洞。

游戏外设制造商endgame gear近日证实，黑客成功破坏了其官方软件分发系统，使用该公司的 op1w 4k v2鼠标配置工具向客户传播了xred恶意软件。受恶意软件感染的软件直接从endgame gear的官方产品页面分发，因此防不胜防。该恶意软件收集敏感的系统信息，并通过硬编码到恶意软件中的smtp电子邮件地址将这些数据传输给攻击者。除了基本的数据盗窃之外，xred还通过键盘挂钩技术提供键盘记录功能，可能会捕获银行凭证和其他敏感信息。endgame gear目前已经发布干净版本。

美国保险提供商安联人寿保险公司周六证实，在遭受复杂的网络攻击后，黑客泄露了其 140 万客户中的个人信息。据初步调查，攻击者采用社会工程技术未经授权访问属于客户、金融专业人士和部分安联人寿员工的个人身份信息。此次攻击涉及犯罪分子冒充受信任实体来诱骗员工提供访问凭据或敏感信息。目前调查仍在进行中，安联人寿与联邦当局密切合作，以确定违规行为的全部范围并防止未来发生事件。

gitlab 近期发布了关键安全补丁，解决其社区版（ce）和企业版（ee）平台上的多个漏洞，版本 18.2.1、18.1.3 和 18.0.5 现已可立即部署。该版本修复了六个不同的安全漏洞，包括两个对kubernetes代理功能构成重大风险的高严重性跨站点脚本（xss）问题。此补丁周期中解决的最严重漏洞涉及针对gitlab kubernetes代理功能的跨站点脚本攻击。此外，cve-2025-4439 专门影响通过内容分发网络（cdn）提供的实例的相关xss问题。gitlab 强烈建议立即升级到最新的补丁版本。

据外媒最新报道，tp-link vigi 网络录像机（nvr）系统中的两个高严重性漏洞可能允许攻击者在受影响的设备上执行任意命令。cve-2025-7723 是一个高严重性作系统 （os） 命令注入漏洞，允许具有身份验证访问权限的攻击者在受影响的设备上注入和执行任意作系统级命令。cve-2025-7724 由于缺乏利用所需的身份验证，因此存在更高的风险。使攻击者能够在受影响的 vigi nvr 设备上执行任意命令，而无需登录或提供凭据。tp-link 已发布固件更新来解决这两个漏洞，并强烈建议立即部署这些补丁。

研究人员最新发现恶意拉取请求通过了亚马逊的审核流程，进入了适用于visual studio code的amazon q扩展的 1.84.0 版，向流行的ai助手提供了擦除用户本地文件和aws资源的指令。攻击者只需从非特权github帐户提交拉取请求即可获得访问权限，就获得了管理员级凭据。目前亚马逊从visual studio marketplace中删除了1.84.0版本，并推送了修补的1.85.0版本，有效地从扩展的历史记录中删除了受损版本。

研究人员最近检测到dropping elephant 高级持续威胁组织发起了一场针对国防承包商，特别是制造精确制导导弹系统的公司的复杂网络间谍活动。这次攻击始于一个武器化lnk文件，该文件伪装成定于今年7月举行的无人机会议邀请。执行后，该恶意软件通过dll侧载机制滥用合法软件组件来进行规避检测。该活动最显着的创新在于下载五个不同的文件，并带有故意混淆的扩展名，因此极难追踪。

mitel networks近日发布了安全更新，以修补影响其mivoice mx-one企业通信平台的关键严重性身份验证绕过漏洞。该严重安全漏洞是由于在 mivoice mx-one provisioning manager 组件中发现的不当访问控制漏洞造成的，未经身份验证的攻击者可以在不需要用户交互即可获得对未修补系统上的管理员帐户的未经授权的访问的低复杂性攻击中利用它。此外，mitel 还披露了其micollab协作平台中的一个高严重性sql注入漏洞（cve-2025-52914），该漏洞可被滥用在未打补丁的设备上执行任意sql数据库命令。

据外媒近期报道，威胁行为者入侵了steam上的一款游戏，向下载该游戏的毫无戒心的用户分发信息窃取恶意软件。威胁行为者先后在游戏里面加入了hijackloader 恶意软件和fickle stealer。前者负责在受害者设备上建立持久性并下载 vidar 信息窃取程序 ，后者则展开持续性信息窃取。目前已向游戏开发者发出警告邮件，暂时还未得到回复。

研究人员最近在广泛使用的javascript表单数据库中发现了一个严重的安全漏洞，可能会使数百万个应用程序遭受代码执行攻击。该漏洞被分配为 cve-2025-7783（9.4），源于该库使用可预测的 math.random（）函数为多部分表单编码数据生成边界值，从而允许攻击者纵 http 请求并将恶意参数注入后端系统。修补程序已在表单数据库的所有受影响版本分支中发布。用户应立即升级到版本 4.0.4、3.0.4 或 2.5.4，以规避潜在的攻击面。

mozilla昨日发布了firefox 141来解决17个安全漏洞，其中包括几个可能允许任意代码执行的高影响缺陷。最严重的漏洞集中在firefox的javascript引擎和内存管理系统上，另外几个漏洞涉及规避重要的web安全机制。值得关注的是，android版firefox修复了cve-2025-8041和cve-2025-8042。专家强烈建议所有 firefox 用户立即更新到版本 141，以防止这些漏洞。

cisa近日警告说，攻击者正在积极利用sysaid it服务管理（itsm）软件中的两个安全漏洞来劫持管理员帐户。虽然 cisa 没有分享有关这些正在进行的攻击的任何其他细节，但它确实将这两个漏洞添加到其已知被利用的漏洞目录中，这些类型的漏洞是恶意网络行为者的频繁攻击媒介，对联邦企业构成重大风险。联邦民事行政部门 （fceb） 机构有三周的时间在8月12日之前修补其系统。

据外媒最新报道，未知的威胁行为者利用最近修补的microsoft sharepoint零日漏洞链进行攻击，破坏了美国国家核安全局的网络。根据目前来看，极少数系统受到影响，并且所有受影响的系统都在恢复中。该机构内部的消息人士还指出，没有证据表明敏感或机密信息在此次泄露中受到损害。目前仍在调查当中。

安全人员近期发现，流行的 npm 包“is”在一次供应链攻击中受到损害，该攻击注入了后门恶意软件，使攻击者能够完全访问受感染的设备。威胁行为者采用使用虚假域名来抢夺维护者凭据，然后发布流行软件包的laced版本。该恶意软件具有间接系统调用、加密命令和控制（c2）通信等规避机制。据分析，威胁行为者可能已经泄露了额外的维护者凭据，并准备在新软件包上试验更隐蔽的有效负载。专家建议应立即重置密码并轮换所有令牌，开发人员应仅使用已知安全的版本。

据外媒近日报道，sophos 防火墙产品存在多个安全漏洞。cve-2025-6704 代表安全pdf交换（spx）功能中的任意文件写入缺陷，该功能支持预身份验证远程代码执行。cve-2025-7624是传统透明 smtp 代理中的一个sql注入漏洞，可能导致远程代码执行。cve-2025-7382还在webadmin中存在一个命令注入漏洞，使攻击者能够在ha辅助设备上实现预身份验证代码执行。cve-2024-13974漏洞利用了up2date组件中的业务逻辑缺陷，使得攻击者能够控制防火墙dns环境，实现远程代码执行。

etq reliance 质量管理软件中的一个重大漏洞允许攻击者通过简单地在登录尝试中添加单个空格字符来获得完全的管理访问权限。该漏洞被跟踪为 cve-2025-34143，是企业软件中发现的最不寻常的身份验证绕过漏洞之一，不需要复杂的技术，只需在用户名字段中输入“system”以及任何密码即可授予完整的系统访问权限。研究发现通过利用etq reliance的自定义jython报告功能，可以将这种身份验证绕过升级为远程代码执行（rce）。目前hexagon etq 在 nxg 版本 2025.1.2 中发布了解决这些漏洞的补丁。

apache jena近期披露了两个影响5.4.0版本的重大安全漏洞，cve-2025-49656（7.5）和 cve-2025-50151（8.8），这些缺陷利用管理访问来破坏服务器文件系统的完整性。cve-2025-49656 使管理用户能够通过 fuseki 管理界面在指定的服务器目录空间之外创建数据库文件，允许具有合法管理员凭据的攻击者绕过文件系统限制。cve-2025-50151 影响管理界面中的配置文件上传功能，允许管理员上传包含绕过预期安全边界的恶意路径引用的配置文件。建议尽快完成5.5.0版本升级。

据外媒最新报道称，威胁行为者正在一个著名的黑客论坛上提供针对apple macos作系统的零日本地权限升级（lpe）漏洞。这一发展对macos用户来说是一个重大的安全问题。该所谓的零日漏洞专门针对13.0至15.5的macos版本，兼容性扩展到macos 26 beta版本。该漏洞为逻辑lpe漏洞，使任何非特权用户帐户能够将权限直接升级到root访问权限。运行受影响的 macos 版本的组织面临潜在风险，安全专业人员建议实施深度防御策略。

网络安全和基础设施安全局（cisa）与多家机构近期已发布紧急联合咨询警告，称interlock 勒索软件组织发起的攻击不断升级，该组织自去年以来一直以企业和关键基础设施部门为目标。与许多网络犯罪团伙不同，interlock 行为者通过从受感染的合法网站进行偷渡式下载来获得初始访问权限，使检测更具挑战性。interlock 策略的核心是使用双重勒索策略，攻击者既加密受害者数据又泄露敏感信息。cisa 建议组织实施强大的端点检测和响应 （edr） 功能，特别是对于虚拟机环境。