FreeBuf早报 | JS库React高危漏洞威胁数百万开发者;卢浮宫盗窃案背后Windows安全更新延误十年
全球网络安全事件频发:软件供应链攻击转向社会工程与注册表滥用;恶意软件滥用AI技术实现隐蔽通信;加密货币价格飙升引发PHP框架漏洞攻击激增;供应链攻击利用AI增强钓鱼攻击;ThinkPHP框架远程代码执行漏洞被用于协同加密劫持攻击;Microsoft Teams曝安全漏洞允许冒充同事篡改消息;间谍组织利用0Day漏洞实现邮件客户端一键RCE与账户劫持。 2025-11-5 09:46:20 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

全球网安事件速递

1. JavaScript 库 React 高危漏洞(CVE-2025-11953)威胁数百万开发者

Meta旗下React Native高危漏洞(CVE-2025-11953)曝光,CVSS评分9.8,影响200万周下载量的NPM包,可致远程代码执行。Windows系统风险最高,攻击者可运行任意命令。已发布补丁,建议开发者立即更新或绑定本地主机运行。【外刊-阅读原文

2. 卢浮宫盗窃案背后:Windows安全更新延误长达十年

卢浮宫盗窃案暴露严重IT安全隐患,十余年未更新过时系统,包括Windows 2000/XP和八款安防软件,密码设置简单,多次审计警告未落实,促使其紧急升级安全协议。【外刊-阅读原文

3. 谷歌AI工具Big Sleep发现苹果Safari浏览器WebKit组件5个新漏洞

谷歌AI工具Big Sleep发现Safari浏览器WebKit组件存在5个高危漏洞,可能导致崩溃或内存损坏。苹果已发布补丁修复,建议用户尽快更新系统至iOS 26.1等最新版本。【外刊-阅读原文

4. Bugcrowd收购Mayhem Security 推进AI驱动的人机协同安全测试

Bugcrowd收购Mayhem Security,整合AI自动化与黑客众包测试,打造自适应安全平台,帮助组织快速发现修复漏洞,降低攻击面。AI精准测试与人工洞察结合,重新定义安全防御模式,实现开发阶段主动防护与部署后对抗测试的闭环。【外刊-阅读原文

5. SesameOp 恶意软件滥用 OpenAI Assistants API 实现与 C2 服务器的隐蔽通信

新型后门SesameOp滥用OpenAI Assistants API进行隐蔽通信,通过合法云服务伪装C2流量,利用多层加密和动态加载技术规避检测,凸显新兴技术被武器化的安全风险。【外刊-阅读原文

6. 谷歌修复Android关键远程代码执行漏洞

谷歌2025年11月Android安全更新修复两处高危漏洞:CVE-2025-48593(远程代码执行,影响Android 13-16)和CVE-2025-48581(本地权限提升,仅影响Android 16)。目前未发现利用活动。【外刊-阅读原文

7. 现代软件供应链攻击的演变与现实影响

供应链攻击转向社会工程和注册表滥用,利用AI增强钓鱼攻击,通过入侵维护者账户而非系统漏洞扩大影响。攻击者创新载荷技术如蠕虫传播和隐写术,国家级组织也参与其中。防御需保护人员和生态系统,强化认证和CI/CD流程。【外刊-阅读原文

8. 黑客利用ThinkPHP与PHP远程代码执行漏洞发起协同加密劫持攻击以最大化挖矿收益

加密货币价格飙升引发PHP漏洞攻击激增,黑客利用ThinkPHP等框架漏洞协同部署挖矿程序,云服务成主要攻击源,自动化工具加速全球范围攻击,旧漏洞仍被广泛利用。【外刊-阅读原文

9. Microsoft Teams漏洞使攻击者可冒充同事并悄无声息篡改消息

Microsoft Teams曝安全漏洞,攻击者可冒充同事篡改消息且不留痕迹,部分漏洞已修复,但完全修复需至2025年10月,内外威胁并存风险高。【外刊-阅读原文

10. 全球间谍组织利用ZipperDown及Android 0Day漏洞实现邮件客户端一键RCE与账户劫持

奇安信披露东北亚APT组织多年0Day攻击,针对政府、企业及个人,利用Android邮件客户端漏洞实现一键触发攻击,窃取数据并劫持账户,技术高超且地缘政治背景复杂,警示移动端间谍活动升级。【外刊-阅读原文

优质文章推荐

1. 深入理解Agent内存马:原理与实现

Java Agent是一种JVM插件,能在运行时修改类字节码,实现无侵入增强代码功能。支持静态(premain)和动态(agentmain)加载,通过Javassist库动态注入代码,常用于监控、AOP、热修复等场景,是Java内存马实现的关键技术。【阅读原文

2. 应急响应 | Linux系统备份和恢复

Linux系统备份与恢复:快照复制文件系统信息,镜像进行bit级分区拷贝。使用backintime创建加密快照并恢复,dd命令生成分区镜像并验证完整性,确保数据安全恢复。【阅读原文

3. WebSocket 安全手册:从实验到防御实践

WebSocket实现实时通信但存在安全隐患,如跨站劫持、XSS注入和DoS攻击。防御措施包括强制WSS加密、验证来源、Token鉴权、消息过滤、心跳机制和限流控制,确保安全使用。【阅读原文

漏洞情报精华

1. 绿盟运维安全管理系统 getDBType SQL注入漏洞

https://xvi.vulbox.com/detail/1985911685348724736

2. 绿盟运维安全管理系统 chgplay 远程代码执行漏洞

https://xvi.vulbox.com/detail/1985902805122158592

3. (CVE-2025-5777)Citrix NetScaler管理接口输入验证不足导致内存读取越界漏洞

https://xvi.vulbox.com/detail/1934982768467513344

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/455767.html
如有侵权请联系:admin#unsafe.sh