FreeBuf早报 | GitLab漏洞可致攻击者窃取敏感数据;恶意MCP服务器可劫持Cursor内置浏览器
全球网安事件速递1. GitLab 曝多个安全漏洞,攻击者可注入恶意指令窃取敏感数据GitLab紧急发布安全补丁,修复多个高危漏洞,包括提示注入攻击导致敏感数据泄露、XSS和授权绕过等。建议立即升级至 2025-11-14 11:29:18 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

全球网安事件速递

1. GitLab 曝多个安全漏洞,攻击者可注入恶意指令窃取敏感数据

GitLab紧急发布安全补丁,修复多个高危漏洞,包括提示注入攻击导致敏感数据泄露、XSS和授权绕过等。建议立即升级至18.5.2等修复版本,自托管实例需优先处理。漏洞影响企业版17.9+,威胁数据安全。【外刊-阅读原文

2. 恶意MCP服务器可劫持Cursor内置浏览器

新型PoC攻击显示恶意MCP服务器可向Cursor浏览器注入JavaScript,窃取凭证甚至控制工作站。AI工具扩大攻击面,需严格审核扩展与服务器,禁用自动运行模式并人工核验代码。【外刊-阅读原文

3. 谷歌推出统一安全推荐计划,扩展安全生态系统

谷歌云推出"统一安全推荐"计划,整合CrowdStrike、Fortinet和Wiz等合作伙伴方案,解决安全工具碎片化问题,实现与谷歌安全产品的无缝互操作,并通过AI增强安全流程,简化企业安全部署。【外刊-阅读原文

4. 逾4.6万个虚假npm包以蠕虫式垃圾攻击淹没注册库

2024年初npm注册库遭大规模垃圾攻击,两年内发布超4.6万个虚假包,采用印尼食品命名蠕虫式传播,旨在淹没注册库而非窃取数据。攻击手动触发规避检测,消耗资源并污染供应链,或与加密货币挖矿活动关联。GitHub已移除违规包。【外刊-阅读原文

5. 当攻击快过补丁:为何2026年将成为机器速度安全元年

漏洞攻防战已进入机器速度时代,攻击者48小时内武器化漏洞,自动化流程远超人工防御速度。防御方必须转向策略驱动的自动化响应,消除手动延迟,以同等速度对抗威胁。未来网络安全属于即时自动化防御者。【外刊-阅读原文

6. 华硕 DSL 路由器曝高危漏洞(CVE-2025-59367,CVSS 9.3)可致未授权远程访问

华硕DSL路由器曝高危漏洞(CVE-2025-59367,CVSS 9.3),攻击者可绕过认证远程控制设备。受影响型号需立即升级固件,老旧设备建议禁用远程服务并强化密码。家庭及企业用户面临严重威胁。【外刊-阅读原文

7. GitHub Copilot 与 Visual Studio 漏洞可致攻击者绕过安全防护功能

微软披露GitHub Copilot和Visual Studio两个高危漏洞(CVE-2025-62449和CVE-2025-62453),攻击者可绕过安全机制访问敏感文件或注入恶意代码。漏洞需本地访问权限,CVSS评分6.8和5.0,开发者应立即更新补丁并严格审查AI生成代码。【外刊-阅读原文

8. 黑客利用思科与Citrix 0Day漏洞部署网页后门

高级黑客组织利用思科ISE和Citrix 0Day漏洞部署定制后门,通过内存驻留技术无痕渗透企业网络。攻击瞄准关键登录系统,利用补丁空窗期广泛传播。专家建议分层防御,监控异常流量并快速响应,警惕关键工具漏洞风险。【外刊-阅读原文

9. 攻击者利用已修复的Fortinet FortiWeb漏洞创建管理员账户

Fortinet FortiWeb WAF存在认证绕过漏洞,攻击者可接管管理员账户。漏洞已在8.0.2修复,但野外攻击正大规模利用。建议企业检查入侵迹象并立即安装补丁,未修复设备可能已被入侵。【外刊-阅读原文

10. NVIDIA NeMo框架高危漏洞可导致AI管道代码注入与权限提升

NVIDIA修复NeMo框架两个高危漏洞(CVE-2025-23361和CVE-2025-33178),可能导致任意代码执行、权限提升等风险,影响2.5.0之前所有版本,建议立即升级至2.5.0。【外刊-阅读原文

优质文章推荐

1. 记一次银狐木马应急响应处置及溯源分析

客户OA系统遭银狐木马攻击,攻击者通过小区群伪装物业文件诱导员工点击,利用进程注入技术控制终端并窃取明文存储的OA密码。暴露非办公场景防护盲区、终端检测短板及密码管理漏洞,需构建全场景闭环防护体系。【阅读原文

2. 深入探索Java反序列化:CC2利用链原理与POC实现

CC2链利用Apache Commons Collections 4.0,通过PriorityQueue反序列化触发TransformingComparator,结合InvokerTransformer反射调用TemplatesImpl加载恶意字节码执行任意代码。核心步骤:构造恶意类、反射设置TemplatesImpl参数、封装比较器链、触发反序列化执行。【阅读原文

3. 渗透测试 | Frp二级隧道代理

使用FRP工具实现二级隧道代理,突破内网隔离,绕过防火墙限制。通过配置一级和二级代理,将公网请求转发至内网服务器,实现远程访问和管理。实验成功验证了FRP反向代理技术在内网穿透中的应用。【阅读原文

漏洞情报精华

1. 天锐绿盾审批系统 login.jsp 任意文件上传漏洞

https://xvi.vulbox.com/detail/1989226741884915712

2. 金和OA ArchivesInfoSendAip.aspx SQL注入漏洞

https://xvi.vulbox.com/detail/1989177290663268352

3. 金和OA ArchivesInfoAskAip.aspx SQL注入漏洞

https://xvi.vulbox.com/detail/1989160668946894848

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/457310.html
如有侵权请联系:admin#unsafe.sh