Mitel Networks近日发布了安全更新，以修补影响其MiVoice MX-ONE企业通信平台的关键严重性身份验证绕过漏洞。该严重安全漏洞是由于在 MiVoice MX-ONE Provisioning Manager 组件中发现的不当访问控制漏洞造成的，未经身份验证的攻击者可以在不需要用户交互即可获得对未修补系统上的管理员帐户的未经授权的访问的低复杂性攻击中利用它。此外，Mitel 还披露了其MiCollab协作平台中的一个高严重性SQL注入漏洞（CVE-2025-52914），该漏洞可被滥用在未打补丁的设备上执行任意SQL数据库命令。

据外媒近期报道，威胁行为者入侵了Steam上的一款游戏，向下载该游戏的毫无戒心的用户分发信息窃取恶意软件。威胁行为者先后在游戏里面加入了HijackLoader 恶意软件和Fickle Stealer。前者负责在受害者设备上建立持久性并下载 Vidar 信息窃取程序 ，后者则展开持续性信息窃取。目前已向游戏开发者发出警告邮件，暂时还未得到回复。

研究人员最近在广泛使用的JavaScript表单数据库中发现了一个严重的安全漏洞，可能会使数百万个应用程序遭受代码执行攻击。该漏洞被分配为 CVE-2025-7783（9.4），源于该库使用可预测的 Math.random（）函数为多部分表单编码数据生成边界值，从而允许攻击者纵 HTTP 请求并将恶意参数注入后端系统。修补程序已在表单数据库的所有受影响版本分支中发布。用户应立即升级到版本 4.0.4、3.0.4 或 2.5.4，以规避潜在的攻击面。

Mozilla昨日发布了Firefox 141来解决17个安全漏洞，其中包括几个可能允许任意代码执行的高影响缺陷。最严重的漏洞集中在Firefox的JavaScript引擎和内存管理系统上，另外几个漏洞涉及规避重要的Web安全机制。值得关注的是，Android版Firefox修复了CVE-2025-8041和CVE-2025-8042。专家强烈建议所有 Firefox 用户立即更新到版本 141，以防止这些漏洞。

CISA近日警告说，攻击者正在积极利用SysAid IT服务管理（ITSM）软件中的两个安全漏洞来劫持管理员帐户。虽然 CISA 没有分享有关这些正在进行的攻击的任何其他细节，但它确实将这两个漏洞添加到其已知被利用的漏洞目录中，这些类型的漏洞是恶意网络行为者的频繁攻击媒介，对联邦企业构成重大风险。联邦民事行政部门 （FCEB） 机构有三周的时间在8月12日之前修补其系统。

据外媒最新报道，未知的威胁行为者利用最近修补的Microsoft SharePoint零日漏洞链进行攻击，破坏了美国国家核安全局的网络。根据目前来看，极少数系统受到影响，并且所有受影响的系统都在恢复中。该机构内部的消息人士还指出，没有证据表明敏感或机密信息在此次泄露中受到损害。目前仍在调查当中。

安全人员近期发现，流行的 NPM 包“is”在一次供应链攻击中受到损害，该攻击注入了后门恶意软件，使攻击者能够完全访问受感染的设备。威胁行为者采用使用虚假域名来抢夺维护者凭据，然后发布流行软件包的laced版本。该恶意软件具有间接系统调用、加密命令和控制（C2）通信等规避机制。据分析，威胁行为者可能已经泄露了额外的维护者凭据，并准备在新软件包上试验更隐蔽的有效负载。专家建议应立即重置密码并轮换所有令牌，开发人员应仅使用已知安全的版本。

据外媒近日报道，Sophos 防火墙产品存在多个安全漏洞。CVE-2025-6704 代表安全PDF交换（SPX）功能中的任意文件写入缺陷，该功能支持预身份验证远程代码执行。CVE-2025-7624是传统透明 SMTP 代理中的一个SQL注入漏洞，可能导致远程代码执行。CVE-2025-7382还在WebAdmin中存在一个命令注入漏洞，使攻击者能够在HA辅助设备上实现预身份验证代码执行。CVE-2024-13974漏洞利用了Up2Date组件中的业务逻辑缺陷，使得攻击者能够控制防火墙DNS环境，实现远程代码执行。

ETQ Reliance 质量管理软件中的一个重大漏洞允许攻击者通过简单地在登录尝试中添加单个空格字符来获得完全的管理访问权限。该漏洞被跟踪为 CVE-2025-34143，是企业软件中发现的最不寻常的身份验证绕过漏洞之一，不需要复杂的技术，只需在用户名字段中输入“SYSTEM”以及任何密码即可授予完整的系统访问权限。研究发现通过利用ETQ Reliance的自定义Jython报告功能，可以将这种身份验证绕过升级为远程代码执行（RCE）。目前Hexagon ETQ 在 NXG 版本 2025.1.2 中发布了解决这些漏洞的补丁。

Apache Jena近期披露了两个影响5.4.0版本的重大安全漏洞，CVE-2025-49656（7.5）和 CVE-2025-50151（8.8），这些缺陷利用管理访问来破坏服务器文件系统的完整性。CVE-2025-49656 使管理用户能够通过 Fuseki 管理界面在指定的服务器目录空间之外创建数据库文件，允许具有合法管理员凭据的攻击者绕过文件系统限制。CVE-2025-50151 影响管理界面中的配置文件上传功能，允许管理员上传包含绕过预期安全边界的恶意路径引用的配置文件。建议尽快完成5.5.0版本升级。

据外媒最新报道称，威胁行为者正在一个著名的黑客论坛上提供针对Apple macOS作系统的零日本地权限升级（LPE）漏洞。这一发展对macOS用户来说是一个重大的安全问题。该所谓的零日漏洞专门针对13.0至15.5的macOS版本，兼容性扩展到macOS 26 Beta版本。该漏洞为逻辑LPE漏洞，使任何非特权用户帐户能够将权限直接升级到root访问权限。运行受影响的 macOS 版本的组织面临潜在风险，安全专业人员建议实施深度防御策略。

网络安全和基础设施安全局（CISA）与多家机构近期已发布紧急联合咨询警告，称Interlock 勒索软件组织发起的攻击不断升级，该组织自去年以来一直以企业和关键基础设施部门为目标。与许多网络犯罪团伙不同，Interlock 行为者通过从受感染的合法网站进行偷渡式下载来获得初始访问权限，使检测更具挑战性。Interlock 策略的核心是使用双重勒索策略，攻击者既加密受害者数据又泄露敏感信息。CISA 建议组织实施强大的端点检测和响应 （EDR） 功能，特别是对于虚拟机环境。

网络安全研究人员最近发现一种针对Web3开发人员的复杂网络钓鱼活动已经出现，利用人们对人工智能平台日益增长的兴趣来提供凭据窃取恶意软件。攻击从向Web3开发人员发送看似合法的工作机会或投资组合审查请求开始，将他们引导至欺诈性的AI Company应用程序。这些通信利用鱼叉式网络钓鱼链接引诱受害者使用唯一的邀请码和电子邮件地址访问恶意平台。一旦受害者与虚假平台互动，他们就会遇到一条欺骗性的错误消息，然后错误的下载窃取信息的恶意软件。

网络安全研究人员近期发现了一个复杂的攻击活动，通过SSH暴力攻击针对管理不善的Linux服务器，以部署SVF僵尸网络，这是一种基于Python的分布式拒绝服务恶意软件。该恶意软件使用嵌入式机器人令牌向Discord服务器进行身份验证，并立即通过Webhook报告成功感染，从而为后续的DDoS活动提供实时僵尸网络管理和协调。该攻击活动表明，Linux 基础设施安全不足的系统将面临持续威胁。

Google最近发布了其Chrome浏览器的紧急安全更新，解决了三个关键漏洞，这些漏洞可能使攻击者能够在用户系统上执行任意代码。最令人担忧的问题是 Chrome V8 JavaScript 引擎中的两个严重性高类型混淆漏洞，被跟踪为CVE-2025-8010和CVE-2025-8011，对浏览器安全构成了重大威胁。当软件使用不正确的数据类型访问资源时，就会出现类型混淆漏洞，从而导致意外行为和潜在的安全漏洞。成功利用这些漏洞后，可导致堆损坏、内存损坏，并最终导致任意代码执行。目前已有安全更新解决该漏洞。

研究人员最近发现Laravel的Livewire框架中发现了一个严重的安全漏洞，该漏洞可能会使数百万个Web应用程序遭受远程代码执行（RCE）攻击。该漏洞被指定为CVE-2025-54068，影响从3.0.0-beta.1 到3.6.3的Livewire v3版本，机密性、完整性和可用性指标的严重性很高，成功利用可能会导致系统中断或拒绝服务情况。该漏洞源于在水合过程中对组件属性更新的不当处理，不需要身份验证或用户交互即可利用。Livewire发布了3.6.4版本来解决此严重漏洞，强烈建议所有用户立即升级。

研究人员最近在Lighthouse Studio 中发现了一个严重的远程代码执行漏洞，该漏洞（编号为 CVE-2025-34300）会影响支持基于Web的调查的Perl CGI脚本，可能会使托管服务器暴露在攻击者的完全入侵中。该漏洞的影响远远超出了单个安装，因为这些CGI脚本经常在组织内的多个调查中被复制。一家公司可能在其Web基础设施中运行数十易受攻击的脚本实例，且没有自动更新机制。这种扩散显著放大了潜在的攻击面，并使补救工作复杂化。Sawtooth Software目前发布了9.16.14版，解决了这一关键安全漏洞。

研究人员最近在Microsoft的AppLocker阻止列表策略中发现了一个关键配置缺陷，揭示了攻击者如何通过细微的版本控制错误来绕过安全限制。该问题集中在不正确的 MaximumFileVersion 值上，该值在 Microsoft 的应用程序控制框架中造成了可利用的差距。使用 AppLocker 的组织应考虑将其 MaximumFileVersion 设置更新为适当的值，并确保全面的应用程序控制策略已到位，以防止潜在的绕过。

据外媒近日报道，Dell Technologies已确认World Leaks勒索组织对其客户解决方案中心平台的安全漏洞，这标志着新更名的威胁行为者又一次备受瞩目的攻击。威胁行为者成功渗透了其Customer Solution Center基础设施。调查结果表明，被盗信息主要包括合成（虚假）数据、仅用于产品演示目的的公开数据集或戴尔脚本、系统数据、非敏感信息和测试输出。目前戴尔的安全团队继续调查违规途径，同时确保客户数据和作系统不受此事件的影响。

研究机构最近发现了一种名为NailaoLocker的复杂勒索软件，它与传统加密恶意软件有很大不同。这种针对Windows的威胁首次引入了中国SM2加密标准在勒索软件作中的使用记录，采用多组件交付系统，由三个精心编排的文件组成：用于DLL侧载的合法可执行文件、恶意加载程序和混淆有效负载。这种复杂的部署机制允许勒索软件以最少的检测执行，同时在成功执行后通过删除加载程序组件立即清理取证痕迹，该软件的演变提醒组织需提高警惕。