全球网安事件速递

1. 计划生育协会合作实验室数据泄露事件波及160万人

美国LSC实验室遭黑客入侵，约160万关联计划生育协会者的敏感信息泄露，含身份、财务及医疗数据。LSC已启动信用监控和防护服务，专家建议警惕钓鱼诈骗。【外刊-阅读原文】

2. 谷歌Chrome 136将修复存在20年的已访问链接隐私漏洞

谷歌Chrome 136将引入"已访问链接分区"功能，彻底修复存在20年的隐私漏洞，防止跨站追踪用户历史。新机制仅在同站点内显示已访问链接样式，同时保留子页面导航便利性，实现安全与体验的完美平衡。这标志着浏览器隐私保护的重大突破。【外刊-阅读原文】

3. 黑客利用域控制器通过RDP部署勒索软件攻击激增

2024年勒索软件通过RDP攻击域控制器激增，单次损失达936万美元。攻击者利用域管理员凭证和集中网络访问，通过窃取密码哈希、横向移动瘫痪系统。微软Defender的"高价值资产隔离"能3分钟内阻断攻击，保持业务连续，成功防御Storm-0300案例。【外刊-阅读原文】

4. 英伟达漏洞补丁不完整致攻击者可窃取AI模型数据

英伟达容器工具包CVE-2024-0132高危漏洞补丁修复不彻底，仍可突破容器隔离窃取AI模型或控制主机；Linux版Docker存在拒绝服务漏洞，可耗尽资源中断服务。相关组织需立即限制API权限、禁用非必要功能并扫描镜像，防范数据泄露与业务瘫痪风险。【外刊-阅读原文】

5. 蓝宝石狼组织升级攻击工具包，利用新型紫水晶窃密软件瞄准能源企业

网络安全组织“蓝宝石狼”升级“紫水晶”窃密软件，针对能源企业发起复杂攻击。通过钓鱼邮件传播，采用多阶段感染流程规避检测，窃取浏览器、SSH等凭证，并配备高级虚拟机检测机制。恶意软件使用三重DES加密增加分析难度，数据通过Telegram外传。【外刊-阅读原文】

6. 思科设备曝出七年旧漏洞 攻击者可远程执行代码

思科Smart Install功能存在七年未修复的漏洞CVE-2018-0171，攻击者可远程执行代码。全球仍有1200多台设备暴露该服务，APT组织"盐台风"已利用此漏洞攻击电信运营商。漏洞利用无需认证，可窃取设备配置，威胁持续存在凸显历史漏洞的长期风险。【外刊-阅读原文】

7. OWASP发布生成式AI安全治理清单

OWASP发布《LLM AI网络安全与治理清单》，帮助企业应对生成式AI的对抗性风险、威胁建模、资产清点等关键挑战，强调治理框架、法律合规及持续测试，确保安全部署大语言模型。【外刊-阅读原文】

8. 攻击者正利用OttoKit WordPress插件新披露漏洞实施攻击

WordPress插件OttoKit（原SureTriggers）存在高危漏洞CVE-2025-3102（CVSS 8.1），攻击者可在未配置API密钥时创建管理员账户，完全控制网站。全球超10万站点受影响，漏洞披露数小时后即遭活跃利用。建议用户立即更新至1.0.79版本并检查入侵痕迹。【外刊-阅读原文】

9. AI幻觉代码依赖成为新型软件供应链威胁

生成式AI编程工具易虚构不存在软件包，催生"垃圾包抢注"供应链攻击。攻击者注册AI常虚构的包名，20%代码样本推荐虚假依赖。58%幻觉包名可重复出现，形成可预测攻击面。防范需人工验证包名、降低AI随机性，并在隔离环境测试AI生成代码。【外刊-阅读原文】

10. 黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限

Fortinet发现攻击者利用三个漏洞（CVE-2022-42475、CVE-2023-27997、CVE-2024-21762）入侵FortiGate设备，通过符号链接技术绕过修复维持访问。建议立即升级至修复版本，检查配置并禁用SSL-VPN。威胁无地域限制，凸显及时更新的重要性。【外刊-阅读原文】

优质文章推荐

1. CBC字节翻转攻击原理深入剖析与实践

CBC字节翻转攻击利用Padding Oracle漏洞控制解密结果，可篡改明文内容。攻击者无需密钥即可构造任意数据，威胁系统安全。建议改用AES-GCM或添加HMAC校验。ZeroPadding和NoPadding通常无此风险，但实现不当仍可能受影响。【阅读原文】

2. SQL注入绕waf姿势：sleep被过滤了怎么办？

文章讲解无回显SQL注入的绕过技术，重点介绍时间注入、笛卡尔积和锁机制。通过sleep()、BENCHMARK()等函数构造延迟，利用注释混淆绕过WAF，并演示笛卡尔积和锁的实战应用，提供真实可用的payload，帮助读者掌握绕WAF技巧。【阅读原文】

3. 探秘 Web 认证机制：从基础到 JWT攻防实战

Web认证机制暗藏风险，本文剖析JWT原理及攻击手段（敏感信息泄漏、None算法漏洞等），提出防范策略，并简述HTTP Basic Auth和OAuth2的安全隐患，强调密钥管理、算法验证等防护措施。【阅读原文】

漏洞情报精华

1.家装ERP管理系统 budToColor SQL注入漏洞

https://xvi.vulbox.com/detail/1911604179382702080

2.JieLink+智能终端操作平台

https://xvi.vulbox.com/detail/1911612446427189248

3.畅捷通T+ Load SQL注入漏洞

https://xvi.vulbox.com/detail/1911661696523571200

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。