全球网安事件速递

1. 调查问卷竟成为窃密工具 起底"请君入瓮"的三个步骤

境外间谍情报机关趁机打着问卷调查、学习交流、组建兴趣小组的幌子，开展情报搜集和渗透，使参与者不觉间沦为窃密“工具”，值得警惕。 【阅读原文】

2. 国家版权局：抓好重点行业软件正版化工作，加大软件侵权打击力度

3 月 19 日，由国家版权局牵头的推进使用正版软件工作部际联席会议第十四次全体会议在京召开。 会议强调，要以健全齐抓共管、协同联动的工作机制为支撑，以开展源头治理、督促检查工作为抓手，着力提升信息化条件下软件正版化工作治理能力。 【阅读原文】

3. ChatGPT 生成诽谤性虚假谋杀信息，OpenAI 在欧洲遭隐私投诉

近日，人工智能公司 OpenAI 旗下的热门聊天机器人 ChatGPT 因生成虚假信息而面临又一起隐私投诉。此次事件发生在欧洲，由隐私权益倡导组织 Noyb 支持挪威一名个人发起，该个人发现 ChatGPT 生成了虚假信息，声称他因谋杀两名子女并企图杀害第三名子女而被定罪。【阅读原文】

4. 研究人员利用AI越狱技术大量窃取Chrome信息

研究人员利用“沉浸式世界”技术越狱顶级LLM，成功打造完全可用的Google Chrome信息窃取工具。这一“沉浸式世界”技术揭示了GenAI提供商所实施保护措施中的一个关键漏洞，因为它轻松绕过了旨在防止滥用的限制。 【外刊-阅读原文】

5. Linux内核越界写入漏洞导致权限提升

Linux内核存在近20年的严重漏洞（CVE-2025-0927），允许本地用户获取root权限，影响多版本系统。Ubuntu已发布修复程序，管理员需立即更新。【外刊-阅读原文】

6. 70%的泄露密钥两年后仍处于活跃状态，企业安全面临严峻挑战

报告揭示，70%泄露的密钥两年后仍活跃，企业安全面临严峻威胁。攻击者利用暴露的凭据轻松入侵，私有仓库和协作平台成重灾区。安全漏洞加速扩展，企业需全面管理密钥生命周期。 【外刊-阅读原文】

7. 严重的 Veeam 备份和复制漏洞允许恶意远程代码执行

Veeam Backup & Replication系统中的一个严重漏洞允许经过身份验证的域用户执行远程代码，从而可能危及企业备份基础设施。 该漏洞编号为 CVE-2025-23120，CVSS 严重评分为 9.9，表明其极有可能被利用并对组织造成影响。【外刊-阅读原文】

8. 谷歌 Play 商店托管的 300 个恶意 "Vapor" 应用下载量达 6000 万次

安全研究人员发现了一个广泛的广告欺诈计划，该计划依赖于 Google Play 上托管的数百个恶意 Android 应用程序，这些应用程序的下载量已超过 6000 万次。【外刊-阅读原文】

9. Paragon 间谍软件攻击利用 WhatsApp 零日漏洞

涉及 Paragon 的 Graphite 间谍软件的攻击涉及 WhatsApp 零日漏洞，无需任何用户交互即可利用。【外刊-阅读原文】

10. CISA 警告 NAKIVO 备份漏洞可能被利用进行攻击，PoC 发布

CISA 就NAKIVO 备份和复制解决方案中的一个严重漏洞发出了紧急警告。该漏洞被标记为 CVE-2024-48248，允许未经身份验证的攻击者从运行该软件易受攻击版本的系统中读取任意文件。 【外刊-阅读原文】

优质文章推荐

1. 不会有人2025了还不会反弹shell吧？让你的反弹shell从0到1！

从服务器开始讲，讲如何搭建服务器反弹shell，为什么要搭建服务器，下载反弹shell的命令，如何避免。 【阅读原文】

2. JS 逆向在渗透测试中的 1-4 级实战应用：从信息收集到算法破解

本文主要介绍1-4级的应用，第5级为自动化攻击链构建，在这里写的话就篇幅过长了，所以放在下一个文章中。 【阅读原文】

3. 从零讲解隐藏导入表

在 Windows 操作系统中，可执行文件（如.exe文件）和动态链接库（DLL，.dll文件）常常需要调用其他 DLL 中的函数来实现特定功能。程序的导入表（Import Table）就是用于记录这些外部依赖信息的一种数据结构 。 【阅读原文】

漏洞情报速览

1. 亿华人力资源管理系统 default 任意文件上传漏洞

https://vip.tophant.com/detail/1902628561693577216

2. JeeWMS iconController.do 任意文件上传漏洞

https://vip.tophant.com/detail/1902614114136625152

3. JEEWMS cgAutoListController.do SQL注入漏洞

https://vip.tophant.com/detail/1902558389741948928

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。