1、Fortinet 修复两个关键身份验证绕过漏洞

https://securityaffairs.com/123456/malware/fortinet-fixed-two-critical-authentication-bypass-vulnerabilities.html

2025年12月11日，网络安全厂商 Fortinet 发布紧急更新，修复其多款产品中存在的两个高危身份验证绕过漏洞，CVSS评分均超过9.0，建议用户立即升级

2、Gladinet 软件曝硬编码密钥漏洞，正遭活跃利用

https://thehackernews.com/2025/12/hard-coded-gladinet-keys-let-attackers.html

2025年12月11日，安全公司Huntress警告，企业文件同步软件Gladinet存在硬编码密钥漏洞，攻击者正利用该漏洞实现未授权访问和远程代码执行。

3、Chrome未披露的高危漏洞已遭利用

https://thehackernews.com/2025/12/chrome-targeted-by-active-in-wild.html

谷歌于周三发布了针对其 Chrome 浏览器的安全更新，以修复三个安全漏洞，其中包括一个其表示已在野外被积极利用的漏洞。该漏洞被评定为高严重性，正在 Chromium 问题跟踪器中以 ID "466192044" 进行跟踪。与其他披露不同的是，谷歌选择不公开有关 CVE 标识符、受影响组件以及漏洞性质的信息。

4、未修补的 Gogs 零日漏洞被利用

https://thehackernews.com/2025/12/unpatched-gogs-zero-day-exploited.html

根据 Wiz 的最新发现，Gogs 存在一个高危未修复的安全漏洞，目前正被积极利用，且有超过 700 个被入侵的实例可从互联网访问。

5、WinRAR漏洞CVE-2025-6218正在被多个黑客组织利用

https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html

美国网络安全与基础设施安全局（CISA）于周二将其已知被利用的漏洞（KEV）目录中新增了一个影响 WinRAR 文件归档器和压缩工具的安全缺陷，并指出已有证据表明该漏洞正在被多个威胁组织积极利用。

6、ValleyRAT利用签名驱动绕过Win11内核防护

https://cybersecuritynews.com/valleyrat-malware-uses-stealthy-driver-install/

安全研究人员发现，Winos后门程序ValleyRAT正对全球机构构成严重威胁，其最新攻击能有效绕过已完全更新的Windows 11系统防护。该恶意软件最核心的威胁在于其“驱动插件”模块中嵌入的内核模式Rootkit驱动程序。该驱动保有有效签名，可在Win11系统上正常加载，并利用此权限强制删除诸如360、腾讯等安全厂商的终端防护驱动，为攻击者创造可自由操作的“无安全软件”环境。此外，由于ValleyRAT的构建工具和开发框架已发生公开泄露，其已从一个与特定攻击团伙关联的威胁，转变为任何攻击者均可修改、编译和部署的公开恶意软件框架，预计未来相关攻击活动将显著增加。

7、印度多品牌摄像头被曝存在高危漏洞

https://cybersecuritynews.com/vulnerability-india-based-cctv-cameras/

美国网络安全和基础设施安全局发布警报，披露一个影响多个印度摄像头制造商的严重漏洞。该漏洞被追踪为CVE-2025-13607，其CVSS v4评分为9.3分，属于严重级别。漏洞根源在于“对关键功能缺少身份验证”，远程攻击者无需任何权限即可利用特定的URL端点，未经授权访问摄像头配置数据，直接窃取管理员账户凭证并查看实时视频流。已确认受影响的设备包括D-Link印度公司的DCS-F5614-L1型号（特定固件版本），同时Sparsh Securitech和Securus CCTV品牌的多个型号也存在相同风险。

8、攻击者利用ChatGPT传播AMOS信息窃取程序攻击Mac设备

https://www.freebuf.com/articles/endpoint/461618.html

最新发现的 AMOS 信息窃取程序攻击活动正利用用户对 ChatGPT 的信任，以提供简单故障排除帮助为幌子感染 Mac 设备。受害者搜索声音问题解决方案时，会点击赞助的 ChatGPT 结果，随后看到看似正常的聊天会话界面。

9、Windows Defender 防火墙服务漏洞可致泄露敏感数据

https://www.freebuf.com/articles/system/461596.html

Windows Defender 防火墙服务中存在一个严重的信息泄露漏洞（CVE-2025-62468），该漏洞可能允许已授权的攻击者访问受影响系统上的敏感堆内存。微软于2025年12月9日发布该漏洞，并将其评定为"重要"级别。

10、GitLab高危XSS漏洞可通过恶意Wiki页面劫持用户会话

https://www.freebuf.com/articles/web/461525.html

GitLab在本周关键安全更新中为其社区版（CE）和企业版（EE）发布了一系列重要补丁，修复了一个高危漏洞——攻击者可能通过恶意Wiki页面劫持用户会话。此次更新涵盖18.6.2、18.5.4和18.4.6版本，修复了从跨站脚本（XSS）到信息泄露等多个漏洞。GitLab敦促自托管实例的管理员"尽快升级至最新版本"以消除这些安全隐患。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。