全球网安事件速递

1. 高度复杂的macOS DigitStealer采用多阶段攻击逃避检测

新型macOS恶意软件DigitStealer针对M2及以上芯片设备，通过伪装合法软件和多阶段攻击链窃取数据。采用高级硬件检测规避分析环境，利用Cloudflare托管有效载荷，极具隐蔽性。【外刊-阅读原文】

2. 研究人员发现严重AI漏洞影响Meta、Nvidia及微软推理框架

网络安全研究人员发现多个主流AI推理引擎存在远程代码执行漏洞，涉及Meta、Nvidia等厂商，根源是ZeroMQ和Python pickle反序列化的不安全使用。漏洞通过代码复用传播，攻击者可执行任意代码窃取数据或部署恶意负载。建议严格审查代码和扩展，仅使用可信来源。【外刊-阅读原文】

3. 谷歌推出统一安全推荐计划，扩展安全生态系统

谷歌云推出"统一安全推荐"计划，整合CrowdStrike、Fortinet和Wiz等合作伙伴方案，解决安全工具碎片化问题，实现与谷歌安全产品的无缝互操作，并通过AI增强安全流程，简化企业安全部署。【外刊-阅读原文】

4. 美国最大外卖平台DoorDash数据泄露：员工遭遇社工骗局致信息被盗

DoorDash因员工遭遇社交工程骗局导致数据泄露，用户联系信息被盗，引发安全争议。公司延迟通报并称未泄露敏感数据，但专家警告仍存诈骗风险。这是该平台2019年以来的第三次重大安全事件。【外刊-阅读原文】

5. FortiWeb WAF 关键漏洞遭野外利用，可导致管理员权限完全沦陷

Fortinet警告其FortiWeb WAF存在严重漏洞（CVE-2025-64446），允许未授权攻击者完全控制系统，CVSS评分9.1。影响多个版本，建议立即升级或临时禁用互联网接口访问。该漏洞已被野外利用，需优先修补关键基础设施。【外刊-阅读原文】

6. pgAdmin 曝出高危漏洞（CVE-2025-12762，CVSS 9.1）：通过 PostgreSQL 转储文件实现远程代码执行

pgAdmin 9.9及以下版本曝出四个高危漏洞，包括严重远程代码执行（CVSS 9.1）、Windows命令注入、LDAP注入和TLS证书验证绕过漏洞，可导致服务器被完全控制或数据泄露。建议立即升级至v9.10版本修复风险。【外刊-阅读原文】

7. IBM AIX 曝出高危漏洞（CVE-2025-36250，CVSS 10.0）：NIM 私钥泄露与目录遍历风险并存

IBM披露AIX和VIOS系统四大高危漏洞，包括远程命令执行（CVSS 10.0）、私钥泄露和目录遍历，攻击者可控制主机。受影响版本为AIX 7.2/7.3及VIOS 3.1/4.1，需尽快安装补丁。【外刊-阅读原文】

8. 专访国外爆火的AI渗透机器人XBOW：对抗性机器人与自主威胁猎手的较量

AI黑客威胁加剧，数字孪生技术可助力全天候主动防御。AI虽能提升安全效率，但攻击者滥用将放大风险。身份认证和机器人隐蔽性成新挑战，数字孪生结合AI可实现实时威胁建模与优先级判定，扭转攻防失衡。突破性思维是应对未来安全威胁的关键。【外刊-阅读原文】

9. SilentButDeadly：一款可阻断EDR/AV网络通信的新型工具

安全研究员Ryan Framiñán开发的开源工具SilentButDeadly利用Windows过滤平台切断EDR/AV网络通信，通过动态自清理过滤器隐蔽隔离威胁，适用于红队演练。工具仅用合法API，不终止进程，减少取证痕迹，推动EDR架构改进不过度依赖云连接。【外刊-阅读原文】

10. 华硕DSL路由器曝出关键认证绕过漏洞（CVE-2025-59367），黑客可远程控制设备

华硕多款DSL路由器曝高危认证绕过漏洞（CVE-2025-59367），攻击者可远程控制设备。受影响机型需立即升级至1.1.2.3_1010固件，淘汰机型应加强密码并禁用暴露服务。华硕路由器常被僵尸网络攻击，用户需警惕。【外刊-阅读原文】

优质文章推荐

1. CVE-2025-53002：LLaMA-Factory远程代码执行漏洞深度剖析

LLaMA-Factory因缺少weights_only=True参数导致严重RCE漏洞（CVE-2025-53002），攻击者可远程执行代码。修复方案：升级至v0.9.4+并添加该参数，推荐使用Safetensors格式替代Pickle。【阅读原文】

2. 记一次记代码审计通用漏洞突破内网管理员权限的过程

通过端口扫描发现漏洞，利用exec函数注入反弹shell，解密获取SSH密码，提权后获得root权限。【阅读原文】

3. Fastjson反序列化Groovy+Commons-io文件写入

发现fastjson 1.2.69-1.2.80版本漏洞，利用Groovy+Commons-io链实现文件写入，Windows可二进制写入+RCE，Linux仅文本写入。提供多版本POC，解决实战中预期类问题，需替换$.a为$.null。【阅读原文】

漏洞情报精华

1. 智跃人力资源管理系统 zyconfig.txt 信息泄露漏洞

https://xvi.vulbox.com/detail/1990251612739866624

2. Fortinet FortiWeb 未授权身份验证绕过漏洞（CVE-2025-64446）

https://xvi.vulbox.com/detail/1989401131691937792

3. AstrBot 远程代码执行漏洞(CVE-2025-55449)

https://xvi.vulbox.com/detail/1989982064350466048

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。