全球网安事件速递

1. 紧急补丁：Notepad++ WinGUp漏洞可被利用劫持更新植入恶意软件

Notepad++旧版本存在漏洞，攻击者可劫持更新流量安装恶意软件。v8.8.9已修复，建议立即升级并扫描系统。此前版本易被篡改下载链接，新版强化了证书验证和下载源限制，确保安全更新。【外刊-阅读原文】

2. Gemini零点击漏洞可致攻击者窃取Gmail、日历及文档数据

Google Gemini Enterprise存在高危零点击漏洞"GeminiJack"，攻击者通过共享含隐藏提示的文档等，利用RAG架构窃取企业敏感数据，绕过传统防护措施。该漏洞可致多年数据泄露，Google已紧急修复。事件警示AI原生风险加剧，企业需重审AI信任边界。【外刊-阅读原文】

3. React2Shell漏洞遭大规模利用：攻击者投放加密货币挖矿程序与新型恶意软件

React2Shell漏洞正被大规模利用，攻击者通过React Server Components高危缺陷投放加密货币挖矿程序和新型恶意软件（PeerBlight、CowTunnel、ZinFoq），主要针对建筑和娱乐行业，已影响全球超16.5万IP。建议立即更新相关组件。【外刊-阅读原文】

4. Windows PowerShell 0Day漏洞可导致攻击者执行恶意代码

微软修复Windows PowerShell高危漏洞（CVE-2025-54100），攻击者可本地执行恶意代码，影响Win10/11及多版本服务器系统。补丁已发布，建议企业优先更新关键系统并重启。【外刊-阅读原文】

5. 英葡两国立法保护白帽黑客，推动漏洞负责任披露

英葡两国立法保护道德黑客，修订过时法律为合规漏洞研究提供法定抗辩。业界呼吁建立安全港机制，企业应支持负责任披露，政府需协同社会力量构建防御体系，将网络安全视为增长助推器。【外刊-阅读原文】

6. GitLab高危XSS漏洞（CVE-2025-12716）可通过恶意Wiki页面劫持用户会话

GitLab紧急修复高危XSS漏洞（CVE-2025-12716），攻击者可利用恶意Wiki页面劫持会话，影响18.4.6/18.5.4/18.6.2之前版本。同时修复HTML注入、信息泄露等漏洞，敦促管理员立即升级至最新版本。【外刊-阅读原文】

7. PCIe 6.0关键漏洞：IDE机制存在陈旧数据注入风险，危及安全数据完整性

PCIe 6.0标准曝出三个高危漏洞（CVE-2025-9612/9613/9614），攻击者可利用IDE机制缺陷注入陈旧或错误数据，威胁关键系统完整性。需物理访问才能利用，建议及时安装固件更新修复。【外刊-阅读原文】

8. 微软Outlook漏洞可致攻击者远程执行恶意代码

微软修复Outlook关键RCE漏洞（CVE-2025-62562），需用户交互触发，CVSS评分7.8。已发布多数版本补丁，Mac版暂未更新。建议立即安装更新，避免回复可疑邮件。漏洞由EXPMON发现，暂无利用迹象。【外刊-阅读原文】

9. 以太坊区块链遭EtherRAT恶意软件劫持，通过React2Shell漏洞实现隐蔽C2通信

安全团队发现新型恶意软件EtherRAT，利用以太坊区块链隐藏C2通信，具备高度持久性，可能与朝鲜黑客组织有关，标志着React2Shell漏洞利用升级为高级威胁。【外刊-阅读原文】

10. .NET HTTP代理隐蔽行为可能致 RCE 漏洞，微软拒绝修复

.NET HTTP客户端代理类存在非预期文件写入风险，可导致RCE攻击。微软不修复，开发者需防范。影响Barracuda、Ivanti等产品，攻击者可利用WSDL导入控制文件交互，上传Web Shell或执行恶意脚本。【外刊-阅读原文】

优质文章推荐

1. XXL-JOB常见漏洞汇总

XXL-JOB漏洞汇总：弱口令、未授权访问、后台命令执行、Hessian2反序列化、accessToken绕过等，提供POC和复现方法，含工具推荐，助力安全测试与防御。【阅读原文】

2. JAVA安全-Fastjson

Fastjson是阿里开发的Java高性能JSON库，支持JSON与Java对象互转。其反序列化漏洞源于自动调用目标类的setter/getter方法，攻击者可构造恶意JSON利用@type指定类触发危险操作。1.2.25版本引入黑白名单机制防御，但后续版本仍存在绕过风险，如1.2.47通过缓存机制绕过检测。典型利用链包括TemplatesImpl和JdbcRowSetImpl。【阅读原文】

3. 记一次大模型的“越狱”攻击实战

大模型“越狱”通过精心设计的提示词绕过安全机制生成违规内容，常见方法包括角色扮演、小语种转换、指令分割和多轮会话。测试显示直接攻击易被拦截，但多轮会话可成功诱导生成攻击代码。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。