全球网安事件速递

1. 市场监管总局印发《网络交易合规数据报送管理暂行办法》

《办法》规范网络交易合规数据报送行为，发挥数据在平台经济治理中的关键要素作用，引导平台企业合规经营，提升网络交易监管效能，促进平台经济健康发展。【阅读原文】

2. 有关部门严厉打击网上体育“饭圈”问题

近期，网信部门会同体育主管部门持续加大对网上体育饭圈问题治理力度，依法严惩拉踩引战和攻击谩骂等行为，清理违法违规信息160万余条，处置账号7.6万个，其中关闭账号3767个，切实维护清朗网络空间。【阅读原文】

3. 英国政府修订网络安全法，首次将数据中心列为关键基础设施

英国政府发布网络安全与弹性政策声明，拟于今年修订《网络安全与弹性法案》，对接欧盟NIS2指令加强关键基础设施安全，扩大关基行业覆盖范围和提高关基网络安全事件上报标准。【阅读原文】

4. 28.7 亿 Twitter 用户数据疑遭泄露，400GB 信息曝光

据报道，一场大规模的数据泄露事件可能成为有史以来最大的社交媒体数据泄露事件，此次事件曝光了约 28.7 亿个 Twitter （现称 X）用户账户的 400GB 数据。【阅读原文】

5. 甲骨文公司因涉数百万用户云数据泄露遭集体诉讼

美国德克萨斯州近日成为一场法律风暴的中心，针对甲骨文公司（Oracle Corporation）的大规模云数据泄露事件，当地法院已受理集体诉讼。【外刊-阅读原文】

6. 新技巧可绕过Windows 11的微软账户强制要求

上周六，X平台用户"Wither OrNot"分享了一种更为简便的绕过方法，经BleepingComputer确认该方法确实有效。【外刊-阅读原文】

7. 苹果警告三处正被活跃利用的零日漏洞

苹果公司发布紧急安全公告，披露编号为CVE-2025-24200、CVE-2025-24201和CVE-2025-24085的三处高危零日漏洞正被用于复杂网络攻击。【外刊-阅读原文】

8. 近2.4万个IP地址针对PAN-OS GlobalProtect发起协同登录扫描攻击

网络安全研究人员发出警告，针对Palo Alto Networks PAN-OS GlobalProtect网关的可疑登录扫描活动激增，近2.4万个独立IP地址试图访问这些门户网站。【外刊-阅读原文】

9. FIN7黑客组织通过入侵SharePoint站点传播Anubis后门

以经济利益为驱动的黑客组织FIN7近期被曝使用一款名为Anubis（注意与同名安卓银行木马区分）的Python后门程序，该恶意软件可使攻击者远程控制被入侵的Windows系统。【外刊-阅读原文】

10. 攻击者日益利用特权身份凭证贯穿攻击链

攻击者通过窃取各类身份凭证（包括传统登录凭据、会话令牌、API密钥和数字证书）实施勒索软件攻击等行为，这类攻击不仅更有效，也更难被检测。【外刊-阅读原文】

优质文章推荐

1. Burp+Python 深度联动：AES加密数据自动化处理实战指南

在渗透测试中，遇到 API 数据采用 AES 加密传输的场景时，需通过脚本实现自动化解密。【阅读原文】

2. 2025软件系统安全半决赛MISC+AI

本文分享2025软件系统安全半决赛的相关试题，最后西北赛区第三，DC两个一血。 【阅读原文】

3. 城堡的小门：v8类型混淆漏洞CVE-2024-4761分析

本次要讲述的漏洞CVE-2024-4761就是一个城堡的小门：随着v8中wasm模块的蓬勃发展，添加了许多新类型的对象，这些新类型对于旧有的代码提出了持续不断的挑战，导致旧有代码遗漏了某些检查。【阅读原文】

漏洞情报精华

1.万户 ezOFFICE govdocumentmanager_judge_receivenum SQL注入漏洞
https://xvi.vulbox.com/detail/1907347007522082816
2.九麒科技 BigAnt-Admin uploadMultipleFile 任意文件上传漏洞
https://xvi.vulbox.com/detail/1907338750598451200
3.MetaCRM客户关系管理系统 commonjspupload3 任意文件上传漏洞https://xvi.vulbox.com/detail/1907322947937374208

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读