1、XSpeeder网络设备曝未修复0day漏洞

https://hackread.com/xspeeder-0day-flaw-devices-vendor-ignores-alert/

研究人员披露了XSpeeder网络设备中存在一个编号为CVE-2025-54322的严重零日漏洞，CVSS评分为满分10.0。该漏洞允许外部攻击者在无需密码的情况下，通过向特定参数注入恶意代码，获取设备的完全控制权。此漏洞由网络安全公司pwn.ai使用其专有的AI代理工具自主发现并验证其可远程利用，这被认为是首个公开的由AI代理发现的远程可利用零日漏洞。据估计，全球约有7万台工业和分支机构设备受到影响。尽管发现团队已尝试联系厂商超过七个月，但厂商XSpeeder至今未做出任何回应或发布修复补丁。

2、Apache Commons Text曝严重RCE漏洞

https://securityonline.info/cve-2025-46295-cvss-9-8-critical-apache-commons-text-flaw-risks-total-server-takeover/

Apache Commons Text库中被发现一个编号为CVE-2025-46295的严重远程代码执行漏洞，其CVSS评分高达9.8。该漏洞源于库的字符串插值功能存在缺陷，1.10.0之前的版本允许攻击者将不受信任的输入传递给文本替换API，从而可能触发命令执行或访问外部资源，实现完全控制受影响服务器的目的。其攻击机制与曾造成广泛影响的“Log4Shell”漏洞高度相似。受此漏洞影响，FileMaker Server 等依赖该库的软件也发布了紧急更新，通过将底层组件升级至Apache Commons Text 1.14.0版本予以修复。鉴于漏洞的严重性及潜在的大规模影响，所有使用受影响版本的系统管理员应立即应用补丁。

3、供应链攻击致大韩航空员工数据泄露

https://www.bleepingcomputer.com/news/security/korean-air-data-breach-exposes-data-of-thousands-of-employees/

大韩航空披露，其机上餐饮供应商及前子公司大韩航空餐饮免税公司（KC&D）的系统近期遭黑客入侵，导致员工个人信息泄露。泄露数据包含员工姓名及银行账号，据当地媒体报道涉及约三万条记录。该航空公司表示，尽管事件发生在独立运营的前子公司，但因涉及员工信息而高度重视，已建议员工警惕后续钓鱼攻击。Clop勒索软件团伙已在其暗网泄露站点上声称对此次攻击负责，并将窃取数据列为可下载条目。

4、前Coinbase客服协助黑客被捕

https://www.bleepingcomputer.com/news/security/former-coinbase-support-agent-arrested-for-helping-hackers/

加密货币交易所Coinbase证实，其一名前客服人员于今年早些时候在印度海得拉巴被捕，该人员被指控协助黑客入侵公司数据库窃取客户信息。此次事件源于2025年5月，Coinbase披露有内部客服人员向黑客提供了访问权限，黑客曾以此勒索2000万美元赎金。调查确认，此次泄露影响了约69,500名客户，泄露数据包括姓名、出生日期、社会保障号码后四位、地址、电话及邮箱，部分客户与“了解你的客户”流程相关的扫描文件也一并外泄。Coinbase后续说明，事件是通过其位于印度的客户支持外包商TaskUs发生的，系员工被黑客贿赂所致。

5、MongoDB漏洞遭全球范围活跃利用

https://thehackernews.com/2025/12/mongodb-vulnerability-cve-2025-14847.html

MongoDB高危漏洞MongoBleed（CVE-2025-14847）正被全球利用，CVSS 8.7分，攻击者可远程窃取内存敏感数据。全球超87,000实例受影响，42%云环境存风险。建议升级至安全版本或禁用zlib压缩。

6、OpenAI强化ChatGPT Atlas防御提示注入攻击

https://cybersecuritynews.com/openai-hardened-chatgpt-atlas/

OpenAI升级ChatGPT Atlas防御系统，新增强化学习红队机制抵御提示注入攻击，可预判复杂攻击链并自动更新模型。建议用户限制权限、审核操作指令，以应对通过网页内容植入恶意指令的新型威胁。

7、育碧彩六服务器遭入侵事件与MongoBleed漏洞关联

https://cybersecuritynews.com/ubisoft-rainbow-six-siege-servers-breached/

黑客组织高调入侵《彩虹六号：围攻》，操控游戏货币、封禁系统并获取高级权限，育碧紧急维护。事件暴露多方威胁，包括源代码失窃和MongoBleed漏洞，玩家数据或面临回滚。

8、索尼等主流无线耳机芯片曝高危漏洞可接管用户手机

https://securityonline.info/headphone-jacking-critical-flaws-in-popular-earbuds-let-hackers-hijack-your-phone/

主流蓝牙耳机芯片存三大漏洞，攻击者可窃听甚至劫持配对手机。索尼、JBL等品牌受影响，漏洞组合可渗透至手机操控。专家建议立即更新固件，高风险用户改用有线耳机。

9、27个恶意npm软件包被用作钓鱼基础设施窃取登录凭证

https://thehackernews.com/2025/12/27-malicious-npm-packages-used-as.html

网络安全研究人员发现持续5个月的钓鱼攻击，攻击者通过27个恶意npm软件包窃取关键行业销售人员的凭证，利用CDN托管钓鱼页面并规避检测，针对美欧等25家机构。建议加强依赖验证和MFA防护。

10、高度仿真的"Jackson"冒牌库入侵Maven中央仓库

https://securityonline.info/prefix-swap-panic-sophisticated-jackson-imposter-infiltrates-maven-central/

Java生态遭遇新型供应链攻击，恶意组件伪装成Jackson库，通过"前缀替换"手法欺骗开发者。攻击利用反向域名命名惯例缺陷，采用多阶段载荷和隐蔽C2基础设施，威胁罕见且复杂。专家呼吁Maven仓库立即部署前缀检测机制，防范模仿攻击泛滥。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。