1、Notepad++严重漏洞可致攻击者获取系统完全控制权

https://cybersecuritynews.com/notepad-vulnerability/

Notepad++ 8.8.1存在严重权限提升漏洞（CVE-2025-49144），攻击者可利用二进制植入获取SYSTEM权限，全球数百万用户面临系统被控风险。官方已发布8.8.2修复版本，建议立即更新。

2、新型"回音室"越狱技术可诱使OpenAI等大模型生成有害内容

https://thehackernews.com/2025/06/echo-chamber-jailbreak-tricks-llms-like.html

研究人员发现新型"回音室"越狱技术，通过间接引导和多步推理操控大语言模型内部状态，成功诱导其生成不当内容，攻击成功率超90%，暴露LLM安全防护盲区。

3、XDigo恶意软件利用Windows LNK漏洞攻击东欧政府机构

https://thehackernews.com/2025/06/xdigo-malware-exploits-windows-lnk-flaw.html

网络安全研究人员发现XDigo恶意软件利用Windows LNK漏洞攻击东欧政府机构，与XDSpy组织手法一致，通过特制LNK文件隐藏恶意命令，窃取数据并执行远程指令，目标包括白俄罗斯和俄罗斯关键部门。

4、pbkdf2关键密钥派生漏洞影响数百万JavaScript项目

https://securityonline.info/critical-key-derivation-flaws-in-pbkdf2-affect-millions-of-javascript-projects-poc-available/

研究人员发现npm生态中广泛使用的pbkdf2密钥派生函数存在严重漏洞，影响数百万JavaScript项目，PoC已公开，威胁整个Web应用安全。

5、WinRAR高危漏洞允许通过恶意文件执行任意代码

https://cybersecuritynews.com/winrar-vulnerability/

WinRAR高危漏洞CVE-2025-6218允许攻击者通过恶意压缩文件执行任意代码，需用户交互触发。CVSS评分7.8，影响6月19日前所有版本。厂商已发布7.11版补丁，建议立即升级。

6、美国众议院禁止政府设备使用 WhatsApp

https://securityonline.info/us-house-bans-whatsapp-on-government-devices-over-security-transparency-concerns/

美国众议院禁止政府设备使用WhatsApp，指其数据保护不足且存在安全风险，推荐使用Teams等更安全应用。Meta反驳称WhatsApp采用端到端加密，安全标准更高。此举是美国加强数据安全、限制风险应用趋势的一部分。

7、WordPress热门汽车主题中的权限提升漏洞遭大规模利用

https://www.bleepingcomputer.com/news/security/wordpress-motors-theme-flaw-mass-exploited-to-hijack-admin-accounts/

近期，安全公司Wordfence警告称，黑客正在大规模利用WordPress热门汽车主题“Motors”中的严重权限提升漏洞（CVE-2025-4322），非法篡改管理员密码，从而完全接管网站后台。该漏洞影响Motors 5.6.67及以前版本，其问题出在“Login Register”小组件的身份校验逻辑，可被攻击者通过精心构造的POST请求绕过验证，强制修改管理员密码。虽然开发者StylemixThemes已于5月14日发布修复版5.6.68，但由于部分站点尚未及时更新，漏洞细节公开次日即出现攻击行为。到6月7日，Wordfence已拦截超过23100次攻击尝试，表明漏洞正被广泛武器化。攻击常见设置的新密码如“Testtest123!@#”、“Kurd@Kurd12123”等，一旦成功入侵，还会添加新的管理员账户维持持久访问。目前，Wordfence已公布多个与攻击有关的IP地址供站长封禁，并提醒所有使用Motors主题的站点管理员尽快升级主题版本，排查是否存在陌生管理员账户或管理员被锁现象，以防数据泄露或网站遭进一步控制。

8、Aflac保险公司遭黑客攻击客户导致敏感数据被窃取

https://techcrunch.com/2025/06/23/us-insurance-giant-aflac-says-customers-personal-data-stolen-during-cyberattack/

美国保险巨头Aflac近日在向美国证券交易委员会（SEC）提交的报告中披露，本月早些时候其网络遭到黑客入侵，导致客户社会安全号码、健康理赔信息等个人敏感数据被窃取。此次数据泄露事件还波及Aflac的受益人、员工与代理人，但公司尚未确认具体受影响人数。据Aflac介绍，该事件发生于6月12日，黑客通过社会工程手段渗透其内部系统，但未使用勒索软件。攻击者身份尚未完全确认，但Aflac称该团伙与近期专门针对美国保险行业的网络犯罪组织有关联。外界猜测，该事件可能与“Scattered Spider”有关——这是一个松散但活跃的网络攻击团伙，以社会工程与假冒员工身份操控内部支持系统为主要手段。目前，Aflac正联合第三方专家进行深入调查，并未透露黑客是否尝试对外出售数据或索要赎金。此事件凸显保险行业正面临日益严峻的网络安全挑战，尤其是在社会工程攻击愈发成熟的背景下。网络安全专家呼吁行业高度警惕此类攻击手法，并加强对员工身份验证流程的防护机制。

9、黑客绕过Gmail多因素认证发动定向攻击

https://www.malwarebytes.com/blog/news/2025/06/gmails-multi-factor-authentication-bypassed-by-hackers-to-pull-off-targeted-attacks

谷歌威胁情报小组（GTIG）近日披露，俄罗斯国家背景黑客通过社交工程手段绕过了Gmail的多因素认证（MFA），对特定目标实施了一系列精准攻击。攻击者假冒美国国务院官员，诱导受害者生成并分享“应用专用密码”，从而获取其Google账户的完全访问权限。所谓应用专用密码，是谷歌为不支持MFA验证的旧设备或程序提供的16位一次性登录密码，用于安全接入账户。但这些密码跳过了二次验证机制，因此一旦落入黑客手中，后果极其严重。攻击者最初以国务院代表身份向目标发送“协商邀请”，并在邮件中抄送多个虚构的@state.gov邮箱地址，营造可信氛围。随着交流深入，目标被要求注册所谓的“MS DoS Guest Tenant平台”，按照“官方说明”创建应用专用密码以实现“安全通信”。实际上，这正是黑客掌握账户控制权的关键一步。

10、McLaren医疗集团遭勒索软件攻击导致超74万人信息泄露

https://www.govinfosecurity.com/mclaren-health-says-743000-affected-by-2024-ransomware-hack-a-28785

美国密歇根州的McLaren医疗集团近日披露，该机构于2024年夏天遭遇国际勒索软件组织“Inc. Ransom”攻击，导致743000余人个人信息被窃取，这是McLaren两年内第二次遭遇重大勒索攻击。攻击发生于2024年7月17日至8月3日之间，受影响的不仅包括McLaren的医院系统，也涉及其旗下的Karmanos癌症中心。攻击者不仅入侵并加密了IT系统，还宣称成功窃取敏感数据。此次事件导致McLaren被迫停用电子健康记录系统三周，期间转为纸质记录和手动操作，还临时将部分救护车转移至其他医院。调查发现，泄露数据可能包含姓名、社会安全号、驾照号码、健康信息及保险资料。值得注意的是，McLaren在2023年10月刚通报另一起由AlphV（又名BlackCat）黑客团伙实施的攻击事件，影响210万人。AlphV当时声称仍在McLaren网络中保留后门，本次再度遭攻击，引发外界对其内部网络安全防护是否到位的质疑。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。