全球网安事件速递

1. 《工业和信息化部关于开展号码保护服务业务试点的通知（征求意见稿）》发布

为加强个人信息保护，同时规范中间号业务、强化码号资源管理、防范治理电信网络诈骗和非应邀商业电子信息，工信部发布了《工业和信息化部关于开展号码保护服务业务试点的通知（征求意见稿）》，公开征求意见。【阅读原文】

2. 英国皇家邮政144GB数据泄露，供应商Spectos成“背锅侠”？

皇家邮政集团遭黑客攻击，144GB敏感数据泄露，供应商Spectos疑似“罪魁祸首”。【阅读原文】

3. 虚假CAPTCHA投递Lumma Stealer窃密木马

该恶意软件的攻击者采用了精心设计的社会工程学策略和多层技术规避机制，其目标直指个人和企业用户的敏感数据。【阅读原文】

4. VanHelsing 勒索软件剑指 Windows、ARM 及 ESXi 系统

一种名为 VanHelsing 的新型多平台勒索软件即服务（RaaS）操作已经出现，其攻击目标涵盖 Windows、Linux、BSD、ARM 和 ESXi 系统。【阅读原文】

5. WinRAR "网络标记"绕过漏洞可导致攻击者执行任意代码

该漏洞编号为CVE-2025-31334，影响7.11之前的所有WinRAR版本，CVSS评分为6.8分，表明其可能造成高影响攻击。【外刊-阅读原文】

6. 新型Triada木马预装于安卓设备，初始设置即窃取数据

卡巴斯基实验室研究人员发现，新型Triada木马变种已预装在数千台安卓设备中，设备完成初始设置便会实施数据窃取。【外刊-阅读原文】

7. 谷歌修复Quick Share漏洞：攻击者可未经同意静默传输文件

网络安全研究人员近日披露了谷歌Windows版Quick Share数据传输工具存在的新漏洞细节，攻击者可利用该漏洞实施拒绝服务（DoS）攻击，或在未经目标用户同意的情况下向其设备发送任意文件。【外刊-阅读原文】

8. 攻击者利用Stripe旧版API验证窃取的支付卡信息

安全研究人员发现一起复杂的网络盗刷攻击活动，攻击者利用支付处理商Stripe的旧版应用程序接口（API）在数据外传前验证窃取的支付信息。【外刊-阅读原文】

9. Corgea推出BLAST平台：AI驱动代码安全检测新方案

网络安全公司Corgea近日发布其AI驱动的网络安全平台BLAST，专门应对隐藏代码漏洞、人为错误以及AI辅助编码工具引入的安全风险。【外刊-阅读原文】

10. 思科智能许可工具漏洞使攻击者可获取管理员权限

思科智能许可工具（Cisco Smart Licensing Utility）中两个高危漏洞正被积极利用，攻击者可能借此获取受影响系统的管理员权限。【外刊-阅读原文】

优质文章推荐

1. 受限上传漏洞绕过浏览器安全策略触发储存型 XSS 分析

提到文件上传漏洞，大家第一反应常是上传木马拿权限。其实，文件上传功能点还有“隐藏玩法”—— 存储型 XSS 跨站脚本攻击。【阅读原文】

2. SQL注入绕waf姿势：AND和OR被过滤了怎么办？

不会绕WAF？那还不进来学习！一文教会你绕WAF思维，以及绕WAF的payload构造原理！【阅读原文】

3. web安全 | 敏感信息泄露检测与防护技术详解

敏感信息泄露常见但难以追踪，本文结合OWASP场景深入分析，提供利用与防护建议。【阅读原文】

漏洞情报精华

1.宏景eHR searchCreatPlanList.do SQL注入漏洞
https://xvi.vulbox.com/detail/1907629678324224000

2.科拓全智能停车收费系统 T_SellFrom.aspx SQL注入漏洞
https://xvi.vulbox.com/detail/1907638329596317696

3.孚盟云 AjaxMethod.ashx SQL注入漏洞
https://xvi.vulbox.com/detail/1907700102978473984

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。