FreeBuf早报 | 微软远程桌面客户端漏洞可致攻击者远程执行代码;微软365 PDF导出功能可能泄露敏感数据
微软多次修复高危漏洞;Ruckus无线设备曝出9个严重缺陷;"负鼠攻击"威胁TLS加密;浏览器扩展程序感染超230万用户;Windows Update权限提升漏洞公开;麦当劳招聘系统密码泄露致6400万求职者数据外泄;GitLab修复XSS与授权绕过缺陷;WinRAR路径遍历可致远程代码执行;企业SRC支付与EDUSRC挖掘技巧分享等安全情报汇总。 2025-7-10 08:6:44 Author: www.freebuf.com(查看原文) 阅读量:25 收藏

全球网安事件速递

1. 微软远程桌面客户端漏洞可导致攻击者远程执行代码

微软远程桌面客户端存在高危漏洞CVE-2025-48817(CVSS 8.8),攻击者可通过恶意RDP服务器在客户端执行任意代码,影响Windows 7至11 24H2所有版本。微软已发布补丁,建议立即更新。【外刊-阅读原文

2. 微软365 PDF导出功能存在本地文件包含漏洞,可泄露敏感服务器数据

微软365的PDF导出功能存在LFI漏洞,攻击者可利用恶意HTML标签访问服务器敏感文件,包括配置和数据库凭证。漏洞由研究员发现并获3000美元赏金,微软已修复并加强安全措施。【外刊-阅读原文

3. Ruckus Wireless 无线设备曝出 9 个高危漏洞,Wi-Fi 管理系统门户洞开

Ruckus Wireless的vSZ和RND产品存在多个高危漏洞,包括硬编码凭证、认证绕过和远程代码执行,可导致系统完全被攻陷。目前尚无补丁,建议隔离使用并限制访问。【外刊-阅读原文

4. 负鼠攻击:新型漏洞威胁TLS加密连接,可实施中间人攻击与数据注入

研究人员发现"负鼠攻击"漏洞,利用隐式TLS与机会型TLS共存缺陷,可破坏加密连接完整性,甚至绕过先进TLS方案。攻击者能注入恶意请求,导致资源混淆等风险。建议彻底弃用机会型TLS协议以消除隐患。【外刊-阅读原文

5. 黄金旋律IAB组织利用暴露的ASP.NET机器密钥实施未授权访问

黄金旋律组织利用泄露的ASP.NET机器密钥发起攻击,通过ViewState反序列化技术获取未授权访问,最小化磁盘痕迹。该组织针对欧美多行业,部署内存驻留恶意载荷,增加检测难度。企业需修复密钥泄露问题,加强加密完整性防护。【外刊-阅读原文

6. 大规模浏览器劫持活动,已感染超230万用户

18款恶意扩展程序感染230万用户,利用认证标识和高评分潜伏Chrome和Edge,窃取数据并劫持浏览器。事件暴露扩展审核机制失效,需动态分析和实时监控应对。【外刊-阅读原文

7. 微软紧急修复高危蠕虫级RCE漏洞,威胁全网Windows系统

微软修复高危漏洞CVE-2025-47981,CVSS评分9.8,影响多版本Windows系统,可远程执行代码且无需用户交互。建议优先更新面向互联网的服务器和域控制器。【外刊-阅读原文

8. 麦当劳AI招聘系统密码设为"123456" 致6400万求职者数据泄露

麦当劳AI招聘系统因密码"123456"等漏洞致6400万求职者信息泄露,暴露自动化招聘流程中关键网络安全缺陷,缺乏多因素认证等基本防护措施。【外刊-阅读原文

9. GitLab发布安全更新:修复XSS漏洞与授权绕过缺陷

GitLab发布安全更新,修复高危XSS漏洞(CVE-2025-6948,CVSS 8.7)及多个授权绕过漏洞,影响17.11至18.1.2版本。建议用户立即升级至18.1.2、18.0.4或17.11.6版本。【外刊-阅读原文

10. Windows Update 漏洞:通过任意文件夹删除实现 SYSTEM 权限提升(PoC已公开)

Windows Update高危漏洞允许攻击者通过删除文件夹获取SYSTEM权限,利用符号链接缺陷突破权限隔离,威胁严重。PoC已公开。【外刊-阅读原文

优质文章推荐

1. JAVA安全——红队面试常问问题之Shrio漏洞详解

Apache Shiro 1.2.4以下版本存在反序列化漏洞,攻击者可利用默认AES密钥构造恶意Cookie触发代码执行,还能注入内存马。漏洞成因是rememberMe字段值被反序列化处理,而加密密钥硬编码在代码中。【阅读原文

2. WinRAR目录遍历可致远程命令执行漏洞(CVE-2025-6218)

WinRAR存在路径遍历漏洞(CVE-2025-6218),攻击者可利用批处理文件将恶意脚本解压至启动目录实现远程代码执行。影响版本低于7.12,建议立即升级至最新版本修复漏洞。【阅读原文

3. 企业SRC支付漏洞&EDUSRC&众测挖掘思路技巧操作分享

分享SRC漏洞挖掘技巧:支付漏洞利用两手机号重复使用优惠券,并发操作可重复领取;UEditor编辑器漏洞可getshell;搜索框SQL注入获取管理员账号;微信小程序sessionkey泄露可伪造用户登录。细节决定漏洞挖掘成败。【阅读原文

漏洞情报精华

1.汉王e脸通综合管理平台 queryAlarmEvent.do SQL注入漏洞

https://xvi.vulbox.com/detail/1943187361890439168

2.汉王e脸通综合管理平台 getGroupEmployee.do SQL注入漏洞

https://xvi.vulbox.com/detail/1943204249223696384

3.汉王e脸通综合管理平台 wxLogin.do 信息泄露漏洞

https://xvi.vulbox.com/detail/1943216004821815296

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/438638.html
如有侵权请联系:admin#unsafe.sh