1、WordPress防护插件漏洞致订阅用户可读服务器文件

https://www.wordfence.com/blog/2025/10/100000-wordpress-sites-affected-by-arbitrary-file-read-vulnerability-in-anti-malware-security-and-brute-force-firewall-wordpress-plugin/

研究人员发现，安装在逾10万家网站上的WordPress插件“Anti-Malware Security and Brute-Force Firewall”存在高危漏洞（CVE-2025-11705），允许低权限订阅用户读取服务器任意文件，包括含数据库凭证的wp-config.php，从而可能泄露密码哈希、邮箱及认证密钥等敏感信息。漏洞源于插件函数GOTMLS_ajax_scan()缺少权限校验，攻击者可利用有效nonce发起恶意请求。该漏洞影响4.23.81及更早版本。开发者已于10月15日发布修复版4.23.83，新增权限验证机制。目前约有5万站点已更新，但仍有大量网站处于风险中。尽管尚未发现被利用案例，安全专家警告，漏洞公开后极可能引发攻击，应立即升级插件以防数据泄露。

2、NFC中继恶意软件激增窃取欧洲信用卡信息

https://zimperium.com/blog/tap-and-steal-the-rise-of-nfc-relay-malware-on-mobile-devices

移动安全公司Zimperium警告称，滥用近场通信（NFC）技术的恶意软件在东欧地区急剧增长，近几个月内已发现超760个利用该技术窃取信用卡信息的Android应用。此类恶意程序通过滥用Android的主机卡仿真（HCE）功能，拦截并转发POS终端的APDU命令，从而在无需持卡人的情况下完成支付。攻击活动最早于2023年在波兰出现，随后扩散至捷克、俄罗斯、斯洛伐克等地。研究人员发现，这些应用伪装成Google Pay或各大银行官方应用，并通过Telegram频道及C2服务器传输被盗数据。专家提醒用户仅从官方渠道下载应用，避免启用不必要的NFC功能，并使用Play Protect定期扫描设备，以防财务数据被盗。

3、外包巨头Conduent数据泄露波及逾一千万人

http://maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/389e9d0d-8e23-497d-aaab-1c4c8a80707f.html

美国业务流程外包（BPO）巨头Conduent确认，其于2024年遭遇的网络入侵事件已导致超过1050万人个人信息泄露。泄露数据包括姓名、社会安全号码、出生日期、健康保险及医疗信息等。此次事件最严重的受影响方为俄勒冈州政府，单州受害者数即达1050万，其余德州、华盛顿及缅因州亦有报告。Conduent此前曾在2025年初遭遇由Safepay勒索团伙声称负责的攻击，后调查发现攻击者早在2024年10月即已入侵系统。尽管目前尚无被盗数据被滥用的证据，事件暴露出大型外包服务商在数据安全防护上的隐患。官方建议受影响用户监控信用记录并启用防欺诈警报，以防身份盗用风险。

4、澳大利亚警告思科设备可能被BadCandy反复感染

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/badcandy

澳大利亚信号局（ASD）发布最新警报：因迟迟未打补丁，境内约150台Cisco IOS XE路由器仍被植入BadCandy WebShell，且攻击者在检测到重启清除后立即重新利用CVE-2023-20198漏洞再次入侵。该漏洞允许无验证远程创建管理员账户并获root权限。ASD已向受害实体及ISP发出批量通知，要求立即安装官方补丁、关闭公网Web UI、核查高权账户与隧道配置，并参考思科加固指南强化边缘设备。

5、L3Harris公司前高管承认向俄罗斯出售零日漏洞

https://cyberscoop.com/peter-williams-guilty-selling-zero-day-exploits-russian-broker-operation-zero/

39岁前L3Harris子公司Trenchant高管彼得·威廉姆斯在华盛顿特区联邦法院承认两项窃取商业秘密罪：2022-2025年间，利用澳信号局背景与内部权限，将8个专为美国政府及盟友开发的零日漏洞经加密渠道卖给俄罗斯掮客“Operation Zero”，换取数百万美元加密货币并挥霍于奢侈品。美方评估此举致国防承包商损失3500万美元，并令俄政府等“非北约终端用户”获得可用于攻击全球目标的尖端漏洞。威廉姆斯将面临87-108个月监禁、30万美元罚款及130万美元赔偿。

6、Brash漏洞可令Chromium全系浏览器崩溃

https://github.com/jofpin/brash

研究员Jose Pino公开Blink引擎0day漏洞“Brash”：利用document.title无速率限制缺陷，通过单条恶意URL在15秒内注入2400万次DOM变更，令Chrome、Edge等所有Chromium浏览器主线程饱和崩溃。漏洞支持秒级/定时引爆，可潜伏于AI爬虫、手术导航、交易终端等关键场景，已验证影响桌面、Android及嵌入式环境超30亿用户。

7、CISA/NSA急发Exchange与WSUS防护令

https://www.cisa.gov/news-events/news/cisa-nsa-and-global-partners-unveil-security-blueprint-hardening-microsoft-exchange-servers

CISA与NSA联合澳、加机构发布紧急指南，要求各组织立即为本地Exchange与WSUS服务器打补丁、限管、启用MFA及TLS强化配置，并停用已停服的Exchange。此前24小时内，CVE-2025-59287（WSUS远程代码执行）遭野外利用，攻击者通过base64 PowerShell回传数据，已致至少50家教育、医疗、制造及科技企业受害。安全厂商提醒，当前仍处于侦察阶段，后续大规模攻击风险高，建议立即排查wsusservice.exe、w3wp.exe异常子进程并应用更新。

8、Eclipse基金会撤销泄露VSX令牌

https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025

Eclipse基金会公告Open VSX注册中心安全事件结案。月初，Wiz与Koi Security相继报露部分开发者将发布令牌误传至公开仓库，导致攻击者上传凭证窃取型恶意扩展，并虚刷3.5万下载量。团队已撤销所有受影令牌、下架恶意插件，并联合MSRC引入令牌前缀扫描、缩短默认有效期、上线发布时自动安全扫描及一键撤销功能。

9、WSUS漏洞遭利用植入Skuld木马

https://www.darktrace.com/blog/wsus-exploited-darktraces-analysis-of-post-exploitation-activities-related-to-cve-2025-59287

美国两家机构检测到CVE-2025-59287 WSUS漏洞利用情况。攻击者先通过workers.dev下发带漏洞的Velociraptor安装包，再投递UPX打包的Skuld窃密木马，窃取浏览器、钱包及系统数据。Darktrace凭行为异常模型秒级告警并触发自主阻断，显示漏洞可在补丁不完整后迅速遭武器化，建议立即加固WSUS并限制出站PowerShell与workers.dev通信。

10、CISA警告Linux内核漏洞遭勒索利用

https://cybersecuritynews.com/linux-kernel-use-after-free-vulnerability-exploited/

近日，CISA将Linux内核netfilter组件CVE-2024-1086纳入KEV目录，确认其已被用于部署LockBit等勒索软件。该漏洞为本地释放后使用缺陷，攻击者先凭钓鱼或弱口令取得立足点，再植入恶意nf_tables规则即可提权至root并植入加密载荷，受影响版本涵盖Ubuntu、RHEL、Debian等内核低于6.1.77的系统。CISA要求联邦机构三日内升级至6.1.77+或禁用nf_tables，并呼吁企业扫描修复、监控netfilter日志，若无法修补立即下线设备。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。