网络安全动态 - 2025.07.03

关键词：Nessus    权限提升    安全更新

2025年07月02日报道。Tenable 发布安全公告，披露其漏洞扫描器 Nessus（10.8.4 及以下版本）存在多个高危漏洞，最严重为 CVE-2025-36630（CVSS 8.4），可被低权限本地攻击者利用，以 SYSTEM 权限覆盖任意系统文件，导致权限提升和潜在系统破坏。此外，Nessus 使用的第三方组件 libxml2（CVE-2025-6021，CVSS 6.5）和 libxslt（CVE-2025-24855，CVSS 7.8）也存在漏洞。Tenable 已发布 10.8.5/10.9.0 版本修复漏洞，建议组织尽快升级并完成安全加固，以防遭受本地或网络攻击。

Source:https://cybersecuritynews.com/nessus-windows-vulnerabilities/

关键词：IDE    恶意扩展

2025年07月01日报道。OX Security 披露 Visual Studio Code、Visual Studio、IntelliJ IDEA 等主流 IDE 存在扩展验证流程缺陷，攻击者可构造恶意扩展伪装成“已验证”，诱骗开发者安装执行恶意代码。该漏洞可绕过签名校验，实现本地命令执行，威胁源代码、凭证安全。微软回应称此行为“符合设计”，但漏洞在 6 月底仍可被利用。

Source:https://thehackernews.com/2025/07/new-flaw-in-ides-like-visual-studio.html

关键词：航空    第三方平台

2025年07月02日报道。Qantas 确认其常旅客数据因第三方呼叫中心平台被攻破而泄露，或影响多达600万客户，泄露信息包括姓名、联系方式、出生日期及会员号。此次事件疑与近期针对航空业的 Scattered Spider 黑客组织有关。

Source:https://www.bleepingcomputer.com/news/security/qantas-discloses-cyberattack-amid-scattered-spider-aviation-breaches/

关键词：网络钓鱼    冒充钓鱼

2025年07月02日报道。Cisco Talos 披露，一系列回拨型钓鱼（TOAD）活动利用带 PDF 附件的邮件冒充微软、DocuSign 等品牌，诱骗受害者拨打攻击者控制的电话。攻击者在电话中冒充客服，窃取敏感信息或引导受害者安装远控工具。

Source:https://thehackernews.com/2025/07/hackers-using-pdfs-to-impersonate.html