网络安全动态 — Cyber Daily
2025.07.03
Nessus Windows 漏洞可被利用提升权限并覆盖本地系统文件
关键词:Nessus 权限提升 安全更新
2025年07月02日报道。Tenable 发布安全公告,披露其漏洞扫描器 Nessus(10.8.4 及以下版本)存在多个高危漏洞,最严重为 CVE-2025-36630(CVSS 8.4),可被低权限本地攻击者利用,以 SYSTEM 权限覆盖任意系统文件,导致权限提升和潜在系统破坏。此外,Nessus 使用的第三方组件 libxml2(CVE-2025-6021,CVSS 6.5)和 libxslt(CVE-2025-24855,CVSS 7.8)也存在漏洞。Tenable 已发布 10.8.5/10.9.0 版本修复漏洞,建议组织尽快升级并完成安全加固,以防遭受本地或网络攻击。
Source:https://cybersecuritynews.com/nessus-windows-vulnerabilities/
多款IDE验证机制缺陷致恶意扩展可伪装为官方认证
关键词:IDE 恶意扩展
2025年07月01日报道。OX Security 披露 Visual Studio Code、Visual Studio、IntelliJ IDEA 等主流 IDE 存在扩展验证流程缺陷,攻击者可构造恶意扩展伪装成“已验证”,诱骗开发者安装执行恶意代码。该漏洞可绕过签名校验,实现本地命令执行,威胁源代码、凭证安全。微软回应称此行为“符合设计”,但漏洞在 6 月底仍可被利用。
Source:https://thehackernews.com/2025/07/new-flaw-in-ides-like-visual-studio.html
Qantas遭遇重大数据泄露 涉及第三方供应商平台
关键词:航空 第三方平台
2025年07月02日报道。Qantas 确认其常旅客数据因第三方呼叫中心平台被攻破而泄露,或影响多达600万客户,泄露信息包括姓名、联系方式、出生日期及会员号。此次事件疑与近期针对航空业的 Scattered Spider 黑客组织有关。
Source:https://www.bleepingcomputer.com/news/security/qantas-discloses-cyberattack-amid-scattered-spider-aviation-breaches/
黑客利用PDF文件假冒微软等品牌开展回拨型钓鱼攻击
关键词:网络钓鱼 冒充钓鱼
2025年07月02日报道。Cisco Talos 披露,一系列回拨型钓鱼(TOAD)活动利用带 PDF 附件的邮件冒充微软、DocuSign 等品牌,诱骗受害者拨打攻击者控制的电话。攻击者在电话中冒充客服,窃取敏感信息或引导受害者安装远控工具。
Source:https://thehackernews.com/2025/07/hackers-using-pdfs-to-impersonate.html
扫码关注我们
Delta Insights
行业资讯 动态观察 前沿研究
免责声明:此通讯文稿仅供参考,任何使用本公众号内容所引发的行为或决策,完全由您个人自行承担责任。在作出决策时,您应当咨询合格的安全顾问。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...