全球网安事件速递

1. npm史上最大供应链攻击：每周下载量超20亿的软件包遭大规模攻击劫持

npm生态遭史上最大供应链攻击，18个流行包被篡改，周下载超20亿次。攻击者钓鱼入侵维护者账户，植入恶意代码劫持加密货币交易，1小时内被识别。建议回滚版本并审计依赖。【外刊-阅读原文】

2. 苹果用户速更新！macOS存严重漏洞，用户隐私数据面临泄露风险

macOS曝高危漏洞CVE-2025-24204，CVSS评分9.8，攻击者可利用gcore工具绕过SIP保护读取进程内存，窃取钥匙串主密钥及TCC保护数据。苹果已在macOS 15.3修复，建议用户立即升级。【外刊-阅读原文】

3. Adobe紧急修复Magento历史上最严重的漏洞CVE-2025-54236

Adobe紧急修复Magento高危漏洞SessionReaper（CVE-2025-54236），该漏洞可能导致网店被自动化攻击，商家需立即打补丁或采取防护措施。开源用户未获预警引发不满。【外刊-阅读原文】

4. 研究人员通过JS注入与参数污染绕过Web应用防火墙

研究人员利用JS注入与HTTP参数污染技术绕过WAF，成功率高达70.6%，暴露WAF因孤立分析参数、缺乏框架解析模拟和依赖传统XSS特征导致的漏洞，强调需增强框架特定解析逻辑和上下文感知能力。【外刊-阅读原文】

5. Salesloft Drift网络攻击事件溯源：GitHub账户失陷与OAuth令牌窃取

Salesloft的GitHub账户遭入侵导致700余家企业数据泄露，攻击者窃取Drift的OAuth令牌访问客户系统。事件凸显SaaS供应链风险，Salesloft已采取应急措施并公布恶意IP和用户代理字符串。【外刊-阅读原文】

6. Windows Defender 更新机制漏洞：攻击者可利用符号链接劫持并禁用安全服务

Windows Defender更新机制存在高危漏洞，攻击者可利用管理员权限创建符号链接劫持服务，禁用防护或植入恶意代码，导致系统无保护状态。漏洞利用系统自带工具，凸显终端防护对抗风险。【外刊-阅读原文】

7. Spring Cloud Gateway WebFlux现cvss10分高危漏洞，可导致环境属性篡改

Spring Cloud Gateway WebFlux高危漏洞（CVE-2025-41243，CVSS 10.0）允许攻击者篡改环境属性，影响4.3.0-4.3.x等版本。建议升级至修复版本或移除gateway配置并保护Actuator端点。【外刊-阅读原文】

8. LunaLock勒索软件锁定艺术家群体实施数据窃取与加密攻击

LunaLock勒索软件针对独立插画师，通过钓鱼攻击入侵Artists & Clients平台，窃取并加密PSD/AI文件，要求门罗币赎金。采用动态API解析、内存加载技术规避检测，并禁用Windows Defender，威胁严重。【外刊-阅读原文】

9. CVE-2025-58450：pREST严重SQL注入漏洞威胁PostgreSQL数据库安全

pREST框架曝高危SQL注入漏洞(CVE-2025-58450)，影响v2.0.0-rc3前所有版本，CVSS 9.4。攻击者可读取敏感文件、窃取凭证及操纵数据库。修复版本已发布，建议改用参数化查询并严格验证输入。【外刊-阅读原文】

10. Salat Stealer：新型Go语言恶意软件即服务窃取浏览器与加密货币钱包数据

CYFIRMA报告揭露新型Go语言恶意软件Salat Stealer，采用MaaS模式攻击Windows系统，窃取浏览器数据、加密货币钱包等。具备高级规避技术，通过低价订阅扩大威胁范围，与俄语黑客组织关联，体现网络犯罪产业化趋势。【外刊-阅读原文】

优质文章推荐

1. XZ后门事件解构：隐蔽战术与攻击链分析

XZ后门事件揭示APT攻击新趋势：通过长期社工渗透开源社区，伪装可信开发者操控供应链，巧妙隐藏恶意代码于构建流程。警示防御需关注人力信任链，超越传统技术检测，防范"社交工程+技术投毒"的复合威胁。【阅读原文】

2. Java JDBC反序列化深度解析

JDBC是Java操作数据库的标准API，通过DriverManager注册驱动并获取Connection对象执行查询。存在反序列化漏洞，利用autoDeserialize等参数可触发恶意代码执行，影响多个MySQL驱动版本。【阅读原文】

3. 攻防 | 记一次完整外网打点到内网渗透再到提权获取root权限的过程

通过端口扫描发现目标主机开放服务，利用SQL注入获取管理员凭证，绕过文件上传限制上传恶意文件，最终通过反弹shell和SUID提权获取系统权限。【阅读原文】

漏洞情报精华

1. 昂捷CRM GetSignPictureByUserNo SQL注入漏洞

https://xvi.vulbox.com/detail/1965314923558998016

2. 昂捷CRM GetSignPicture SQL注入漏洞

https://xvi.vulbox.com/detail/1965301626814205952

3. 昂捷CRM GetSignList SQL注入漏洞

https://xvi.vulbox.com/detail/1965296406394703872

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。