全球网安事件速递

1. 原子级 macOS 信息窃取程序升级：新增后门实现持久化控制

AMOS恶意软件升级植入后门，可长期控制Mac设备，已渗透120多国。通过盗版软件和钓鱼攻击传播，模仿朝鲜黑客模式但更隐蔽。专家建议安装防护软件、警惕社交工程，全球安全团队正监控威胁。【外刊-阅读原文】

2. Git项目修复三大漏洞：远程代码执行、任意文件写入与缓冲区溢出

Git修复三个高危漏洞：克隆时可远程执行代码（CVE-2025-48384）、Bundle-URI注入任意文件写入（CVE-2025-48385）和Windows凭据缓冲区溢出（CVE-2025-48386）。建议立即升级至v2.50.1或长期支持版本。【外刊-阅读原文】

3. 西门子SINEC NMS曝高危漏洞：存在权限提升与远程代码执行风险

西门子SINEC NMS系统4.0前版本存在多个高危漏洞（最高CVSS 9.8分），攻击者可获取管理员权限、执行任意代码，威胁工业基础设施安全，建议立即升级至v4.0或加强访问控制。【外刊-阅读原文】

4. 170万用户遭恶意Chrome扩展侵害，谷歌认证徽章竟成帮凶

11款谷歌认证浏览器扩展暗藏恶意软件，感染170万用户。攻击者利用信任标识，通过自动更新植入监控代码，劫持浏览器活动。事件暴露应用商店安全机制失效，需立即卸载相关扩展并加强防护。【外刊-阅读原文】

5. VS Code ETHcode 扩展遭供应链攻击：两行恶意代码通过 GitHub PR 植入

ETHcode扩展遭供应链攻击，仅两行恶意代码通过GitHub拉取请求植入，伪装成合法更新。攻击利用精心命名的依赖项劫持，自动更新机制使风险扩大，影响近6000次安装。微软已下架受感染版本。【外刊-阅读原文】

6. 微软修复130个漏洞：SPNEGO与SQL Server高危漏洞引关注

微软2025年7月补丁修复130个漏洞，含10个严重级别，终结11个月零日漏洞修复记录。关键漏洞包括SQL Server信息泄露（CVE-2025-49719）和SPNEGO远程代码执行（CVE-2025-47981，CVSS 9.8），后者可能具备蠕虫传播特性。同时修复BitLocker安全绕过漏洞，SQL Server 2012终止支持。【外刊-阅读原文】

7. 微软SQL Server零日漏洞通过网络暴露敏感数据

微软SQL Server存在高危漏洞CVE-2025-49719，因输入验证不当导致敏感数据泄露，影响2016-2022版本，无需认证即可远程攻击。微软已发布补丁，建议立即更新。【外刊-阅读原文】

8. 微软远程桌面客户端漏洞可导致攻击者远程执行代码

微软远程桌面客户端存在高危漏洞CVE-2025-48817（CVSS 8.8），攻击者可通过恶意RDP服务器在客户端执行任意代码，影响Windows Server 2008至11 24H2所有版本。微软已发布补丁，建议立即更新。【外刊-阅读原文】

9. Zoom修复六大漏洞：全平台存在拒绝服务、信息泄露及跨站脚本风险

Zoom修复6个跨平台漏洞，涉及DoS、信息泄露和XSS风险，影响Windows、macOS、Linux、iOS和Android。严重漏洞包括Linux证书验证缺陷和Windows缓冲区溢出。建议立即升级至最新版本确保安全。【外刊-阅读原文】

10. Citrix 警告 Windows 虚拟交付代理存在权限提升漏洞（CVE-2025-6759）

Citrix披露Windows虚拟交付代理（VDA）高危本地权限提升漏洞CVE-2025-6759（CVSS 7.3），影响CVAD 2503之前版本及2402 LTSR CU2等，可提权至SYSTEM级别。建议立即升级至2503+或应用临时注册表修复。【外刊-阅读原文】

优质文章推荐

1. 破 WAF | 寻新迹象

帆软报表工具/view/ReportServer接口存在模板注入漏洞，可执行SQL写入Webshell。研究发现WAF拦截逻辑缺陷，通过${($a(任意))}绕过检测，利用SQL函数执行恶意代码。同时发现TOIMAGE函数存在SSRF漏洞，需结合SSTI利用。总结WAF绕过可从应用层或底层逻辑入手。【阅读原文】

2. WebSocket 安全测试入门实践

WebSocket协议实现高效实时通信，但存在XSS、未授权访问、信息泄露、CSRF劫持等安全风险。测试需关注握手过程、消息篡改、身份验证及资源耗尽问题，利用工具如Burp Suite检测漏洞。合法授权下进行测试，防范非法操作。【阅读原文】

3. cs与msf基础联动——会话转移和隧道搭建

CS与MSF联动弥补payload不足，需转移会话并搭建Socks隧道。通过CS监听器将会话转发至MSF，利用Socks代理使MSF访问内网目标，成功探测永恒之蓝漏洞。注意代理仅支持TCP/UDP流量，ICMP如ping无效。【阅读原文】

漏洞情报精华

1.ZKTime熵基智能考勤管理系统 ic1ock SQL注入漏洞

https://xvi.vulbox.com/detail/1942821711837794304

2.汉王e脸通综合管理平台 addVisitDeviceAppointmentInfoTest.do 反序列化漏洞

https://xvi.vulbox.com/detail/1942776719148716032

3.（CVE-2025-7217）Campcodes薪资管理系统1.0 /ajax.php?action=save_position页面ID参数SQL注入漏洞

https://xvi.vulbox.com/detail/1942837796779724800

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。