1、美国联网监控摄像头暴露数量居全球榜首

https://hackread.com/us-tops-list-unsecured-cameras-exposing-homes-offices/

据网络安全公司BitSight TRACE研究报告披露，全球已有超过40000台联网监控摄像头在未采取任何身份验证措施的情况下公开暴露，实时画面可被任何人随意访问。其中，美国暴露设备数量最多，约为14000台，其次为日本、奥地利、捷克和韩国。相关设备分布广泛，既包括家庭监控、婴儿摄像头，也涉及工厂、办公楼、医疗机构等高敏感环境。BitSight指出，未经身份验证的摄像头可通过普通浏览器或常见RTSP路径访问，其风险不仅局限于隐私泄露，还可能被恶意利用开展间谍活动或策划犯罪。研究还发现，暗网中已出现针对这类暴露设备的讨论与非法交易行为，显示出潜在威胁正持续演进。针对当前状况，BitSight建议用户应及时更新固件、更改默认密码、关闭远程访问功能，而企业则应通过防火墙、VPN与登录行为监测机制加强访问控制。基础设施安全专家Thomas Richards强调，物联网设备的固有安全性缺陷才是根本问题，厂商应承担主要责任，为消费者提供可操作的安全配置手段。

2、全球超过46000个Grafana实例存在客户端开放重定向漏洞

https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/

一项最新研究披露，全球超过46000个暴露于公网的Grafana实例仍未修补一个严重漏洞，可能被利用执行恶意插件并实现用户账户接管。该漏洞编号为CVE-2025-4123，由安全研究员Alvaro Balada发现，并已于今年5月21日通过官方补丁修复。Grafana是一款广泛用于基础设施与应用监控的开源可视化平台。然而，应用安全公司OX Security发现，截至目前，约36%的在线实例仍运行受影响版本，存在较高被攻击风险。研究人员指出，该漏洞结合客户端路径穿越与开放重定向机制，允许攻击者诱导用户点击恶意链接，在浏览器中执行任意JavaScript代码，进而劫持会话、篡改账户信息，甚至在特定插件存在下发起服务器端请求伪造（SSRF）攻击。尽管Grafana默认的内容安全策略（CSP）提供部分防护，但无法完全阻止客户端漏洞的利用。该攻击方式不依赖高权限或身份认证，且Grafana默认启用的插件功能进一步扩大了潜在攻击面。专家建议尽快升级至官方发布的安全版本，以防止该漏洞被武器化利用，保障监控系统的账户与数据安全。

3、Palo Alto Networks修复多个权限提升漏洞

https://securityaffairs.com/179000/security/palo-alto-networks-fixed-multiple-privilege-escalation-flaws.html

Palo Alto Networks近期发布安全更新，修复了七个特权提升漏洞，并集成了最新的Chrome安全补丁，以提升旗下产品的整体防御能力。其中最严重的漏洞为CVE-2025-4232（CVSS评分7.1），影响macOS平台上的GlobalProtect客户端。该漏洞源于日志收集功能对通配符处理不当，允许非管理员用户通过代码注入手段将权限提升至root级别。另一关键漏洞CVE-2025-4231（CVSS评分6.1）存在于PAN-OS的管理Web界面中。该漏洞允许已认证的管理员通过命令注入方式执行root权限操作。虽然此漏洞要求登录权限，但对具备Web界面访问权限的管理员账户构成较大风险。此外，CVE-2025-4230（CVSS评分5.7）则为CLI命令注入漏洞。攻击者需拥有CLI访问权限，便可绕过系统限制，执行任意命令。尽管CLI访问通常受限于特定管理员群体，但仍建议对CLI访问策略进行强化。官方声明，目前未发现这些漏洞在野外被利用的案例。Palo Alto建议用户尽快升级受影响产品，包括GlobalProtect、PAN-OS与Cortex XDR，以防范潜在攻击路径。

4、黑客涉嫌泄露10000名VirtualMacOSX用户数据

https://hackread.com/hackers-leak-virtualmacosx-customers-data-breach/

VirtualMacOSX被曝发生数据泄露事件，约1万名用户的敏感信息被公开发布在一个臭名昭著的网络论坛上。该论坛以数据库泄露和网络犯罪为主题，此次泄露的内容包括用户姓名、邮箱、密码、地址、电话号码及银行账户等财务信息，还有涉及用户交互内容的工单记录。泄露数据共包含3个文本文件，约17.6万行，由安全研究团队SafetyDetectives发现。VirtualMacOSX是一家提供基于云的苹果Mac系统服务的公司，客户遍布全球102个国家。虽然研究人员未对凭证进行验证以确认数据完整性，但初步评估表明数据高度真实。这一事件带来严重安全隐患，攻击者可借此进行账户接管、金融诈骗甚至定位用户物理位置。专家建议受影响用户尽快更改密码、启用多因素认证，并加强对银行账户与在线活动的监控。

5、恶意PyPI包伪装成Chimera模块窃取AWS、CI/CD及macOS数据

https://thehackernews.com/2025/06/malicious-pypi-package-masquerades-as.html

恶意PyPI包伪装成Chimera模块窃取AWS、CI/CD和macOS数据，多阶段攻击复杂；npm包隐藏恶意代码实施远程攻击；加密货币和区块链开发面临凭证窃取等威胁；AI编码催生新型供应链攻击风险。

6、Blink路由器曝CVSS 9.8级漏洞，未授权攻击可获取root权限

https://securityonline.info/critical-blink-router-flaws-cvss-9-8-allow-remote-root-code-execution-via-unauthenticated-attacks/

Blink路由器曝5个9.8分高危漏洞（CVE-2025-45984至45988），攻击者无需认证即可通过HTTP请求注入恶意命令，完全控制设备。影响多款消费级和企业级型号，建议立即更新固件并限制管理界面访问。

7、libxml2 漏洞曝光：内存破坏、远程代码执行与拒绝服务威胁

https://securityonline.info/libxml2-flaws-exposed-memory-corruption-rce-dos-threats-uncovered/

知名XML解析库libxml2曝高危漏洞，可致内存破坏、远程代码执行及服务崩溃，建议立即更新版本并严格验证XML输入，部署ASLR等防护措施。

8、虚拟绑架诈骗利用人性恐惧：AI技术助长新型犯罪浪潮

https://www.helpnetsecurity.com/2025/06/16/virtual-kidnapping-scams/

虚拟绑架诈骗利用AI伪造亲人声音和社交媒体信息制造恐慌，通过情感勒索索要赎金。深度伪造技术使骗局更逼真，社交媒体泄露的信息成为犯罪工具。专家建议保持冷静、验证信息、保护隐私并立即报警，强调公众需提高警惕应对这一隐蔽犯罪趋势。

9、IBM备份服务权限提升漏洞威胁IBM i系统安全

https://securityonline.info/privilege-escalation-flaw-in-ibm-backup-services-threatens-ibm-i-environments-cve-2025-33108/

IBM备份服务BRMS存在高危漏洞CVE-2025-33108，影响i系统7.5/7.4版本，攻击者可利用未限定库调用提升权限。CVSS评分8.5，需立即安装对应PTF补丁修复。

10、微软Defender for Identity 漏洞可致未授权权限提升

https://www.freebuf.com/articles/434889.html

NetSPI 研究人员详细披露了 Microsoft Defender for Identity（MDI）中的欺骗漏洞（CVE-2025-26685）。该漏洞虽无法单独利用，但与其他漏洞结合时可能使攻击者无需认证即可在 Active Directory 环境中实现权限提升。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。