全球网安事件速递

1. 欧盟拟修订《通用数据保护条例》和《人工智能法案》以简化监管

欧盟拟简化AI法案和GDPR合规流程，推迟高风险AI规则生效时间，扩大企业豁免范围，优化cookie设置，开放数据访问权限，预计到2029年可为企业节省50亿欧元成本，推动创新和商业发展。【外刊-阅读原文】

2. 新一代勒索软件瞄准AWS S3：五种云原生变种利用配置错误实现不可逆数据销毁

勒索软件转向云原生环境，重点攻击Amazon S3，利用配置错误和凭证泄露实施五种变种攻击，导致数据不可逆丢失，云安全失误是主因。【外刊-阅读原文】

3. 点击一次渗透42天：Akira勒索软件利用CAPTCHA诱饵摧毁云备份致存储公司瘫痪

全球数据存储公司因员工点击伪装CAPTCHA的恶意链接，遭Akira勒索软件攻击。攻击者通过SectopRAT木马渗透42天，破坏云备份并窃取数据，最终瘫痪业务。企业虽有安全工具却未触发警报，防护形同虚设。【外刊-阅读原文】

4. 高危Apache Causeway RCE漏洞（CVE-2025-64408）可通过Java反序列化实现认证代码执行

Apache Causeway框架存在高危反序列化漏洞CVE-2025-64408，攻击者可利用该漏洞通过URL参数执行任意代码，影响2.0.0至3.4.0及4.0.0-M1版本，建议升级至3.5.0修复。【外刊-阅读原文】

5. 伊朗APT组织网络入侵活动为国家袭击提供支持

伊朗APT组织利用网络入侵（船舶追踪、监控系统）为袭击提供精准坐标，证实网络行动正直接支持实体攻击。亚马逊警告企业需扩展威胁建模，防范"网络辅助实体目标打击"的新型混合战争模式。【外刊-阅读原文】

6. 华芸NAS严重漏洞（CVE-2025-13051）可导致本地DLL劫持实现SYSTEM权限提升

华芸科技警告Windows版备份与同步客户端存在严重DLL劫持漏洞（CVE-2025-13051，CVSS 9.3），攻击者可提升至SYSTEM权限执行任意代码。受影响版本为ABP 2.0.7.9050及更早、AES 1.0.6.8290及更早，建议立即升级至修复版本。【外刊-阅读原文】

7. WrtHug行动利用6个华硕WRT漏洞劫持全球数万台报废路由器

全球数万台过时华硕路由器遭劫持，涉及台湾、美俄等地，利用6个已知漏洞控制设备，攻击者疑似中国关联组织，通过SSH部署持久后门，威胁网络安全。【外刊-阅读原文】

8. 风险与情报的交汇点：漏洞导向型威胁狩猎如何发现其他方法遗漏的威胁

将漏洞视为攻击线索而非待办清单，结合威胁情报与业务场景，能主动发现攻击路径、优化检测体系。漏洞数据转化为动态情报后，驱动针对性威胁狩猎，填补防护盲区，实现从被动修补到主动防御的转变。【外刊-阅读原文】

9. Cline AI Coding Agent 存在漏洞可导致提示注入、代码执行和数据泄露

Cline AI编程工具存在四个高危漏洞，可导致任意代码执行和数据泄露，攻击者通过恶意代码仓库即可利用。漏洞源于提示注入防护不足，厂商修复迟缓凸显AI工具安全响应滞后问题。【外刊-阅读原文】

10. 7-Zip远程代码执行漏洞（CVE-2025-11001）遭野外攻击利用

7-Zip软件漏洞CVE-2025-11001（CVSS 7.0）正被野外利用，攻击者可执行任意代码。漏洞源于ZIP符号链接处理缺陷，影响Windows系统。建议立即升级至25.00版本修复。【外刊-阅读原文】

优质文章推荐

1. FastJSON反序列化漏洞--手把手解析

Java RMI实现远程方法调用，通过序列化/反序列化传输对象，存在安全漏洞如反序列化攻击。JNDI结合RMI可突破限制，利用Reference加载远程恶意类。Fastjson反序列化漏洞通过@type动态加载类，结合JdbcRowSetImpl的setAutoCommit触发JNDI注入，实现RCE。【阅读原文】

2. 企业数据安全制度体系建设

企业数据安全制度体系建设需从组织架构、制度流程、技术工具和人员能力四维度协同推进，覆盖数据全生命周期，分阶段实施并持续优化，以应对合规要求和业务挑战，保障核心竞争力和可持续发展。【阅读原文】

3. JumpServer Connection Token 未授权访问漏洞（CVE-2025-62712） 深度安全研究报告

JumpServer存在严重授权漏洞CVE-2025-62712，低权限用户可获取所有连接令牌（包括管理员令牌），CVSS评分9.6。影响版本v3.x<3.10.20和v4.0.0-4.10.10，需立即升级至修复版本v3.10.20/v4.10.11。漏洞允许横向移动至核心资产，建议紧急修复并审计历史访问。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。