全球网安事件速递

1. 高危Markdown转PDF漏洞可通过Markdown前置元数据实现JS注入攻击（CVE-2025-65108，CVSS 10.0）

高危漏洞CVE-2025-65108影响md-to-pdf工具（CVSS 10分），恶意Markdown前置元数据可执行任意JS代码，导致系统入侵。5.2.5以下版本需立即升级。【外刊-阅读原文】

2. 代码注入漏洞威胁NVIDIA Isaac-GROOT机器人平台安全

NVIDIA修复Isaac-GROOT软件两个高危漏洞(CVE-2025-33183/33184)，评分7.8，可导致代码注入、权限提升等风险，影响N1.5版本，建议立即更新补丁保障机器人开发安全。【外刊-阅读原文】

3. 朝鲜黑客组织Kimsuky与Lazarus联手利用0Day漏洞攻击全球关键行业

朝鲜黑客组织Kimsuky和Lazarus联手发动协同攻击，结合钓鱼邮件与0Day漏洞窃取敏感情报和加密货币。攻击采用新型InvisibleFerret后门规避检测，已造成3200万美元损失，国防、金融等行业风险最高。【外刊-阅读原文】

4. vLLM高危漏洞可致远程代码执行（CVE-2025-62164）

vLLM 0.10.2+存在高危漏洞CVE-2025-62164（CVSS 8.8），恶意提示嵌入可致服务器崩溃或远程代码执行，源于PyTorch 2.8.0稀疏张量检查缺陷。建议立即升级并审计接口。【外刊-阅读原文】

5. 新一代威胁：Xillen Stealer v4 通过多态规避与 DevOps 窃取技术攻击 100 余款浏览器及 70 多种钱包

Xillen Stealer v4/v5是跨平台恶意软件，通过Telegram销售，可窃取100+浏览器、70+钱包及云凭证等，采用伪AI检测、多态引擎、隐写术和弹性C2架构，威胁个人和DevOps团队，成为2025年最危险的信息窃取平台之一。【外刊-阅读原文】

6. Wireshark漏洞允许攻击者通过注入畸形数据包导致程序崩溃

Wireshark发布4.6.1安全更新，修复BPv7和Kafka解析器漏洞，防止恶意数据注入导致崩溃。同时改进L2CAP、DNS HIP等组件稳定性，建议用户立即升级至4.6.1或4.4.11版本。【外刊-阅读原文】

7. CISA警告：Oracle身份管理器RCE漏洞正遭攻击者积极利用

CISA紧急警告Oracle身份治理套件12c存在严重前认证RCE漏洞（CVE-2025-61757），攻击者可绕过认证执行任意代码，完全控制系统。建议立即打补丁或隔离服务，防范勒索软件等攻击。【外刊-阅读原文】

8. 攻击者利用WSUS漏洞传播ShadowPad恶意软件获取系统完全控制权

攻击者利用微软WSUS漏洞(CVE-2025-59287)传播ShadowPad恶意软件，通过PowerCat获取系统权限，使用合法工具下载后门程序，实现远程代码执行和持久化攻击。【外刊-阅读原文】

9. PyPI 拼写错误劫持攻击：多层加密 Python 远控木马利用 XOR 加密绕过扫描器

PyPI仓库现恶意Python包spellcheckers，伪装成pyspellchecker库，含多层加密后门，可远程执行代码，已下载950次。攻击链分两阶段，采用XOR加密和自定义协议规避检测，与先前社交工程攻击关联。【外刊-阅读原文】

10. 腾达路由器曝两大命令注入漏洞（CVE-2025-13207、CVE-2024-24481）

腾达4G03 Pro和N300路由器存在未修复命令注入漏洞(CVE-2025-13207等)，攻击者可利用默认凭证以root权限完全控制设备。厂商暂无补丁，建议用户更换设备或限制网络访问，并关注固件更新。【外刊-阅读原文】

优质文章推荐

1. Linux 安全加固：操作系统加固、数据库防护与云端安全审计实践

本文详解Linux系统与MySQL数据库安全加固，涵盖账号管理、服务配置、日志审计、防火墙策略及内核优化，强调最小权限、最少软件等核心原则，提供等保合规检查与操作指南，确保系统安全稳定。【阅读原文】

2. 信任边界崩塌：详解Django ORM如何因内部控制参数暴露导致SQL注入（CVE-2025-64459）

Django ORM高危漏洞CVE-2025-64459允许攻击者通过注入_connector参数篡改SQL查询逻辑，导致数据泄露或权限绕过。官方已发布修复版本，建议升级并避免将用户输入直接展开至ORM调用，改用白名单验证机制。【阅读原文】

3. 越权漏洞实战挖掘与总结：10个案例成为越权高手

文章解析水平与垂直越权漏洞，水平越权需两账号测试避免影响他人数据，垂直越权可通过高低权限账号或接口提取测试。案例展示修改、删除、伪造身份等越权操作，强调技术研究勿非法使用。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。