网络空间安全动态(202516期)
编者按:网安动向热讯,本期有八点值得关注:一是七部门联合发布《终端设备直连卫星服务管理规定》;二是中央网信办部署开展“清朗·整治AI技术滥用”专项行动;三是中央网信办:关于15款App和16款SDK个人信息收集使用问题的通报;四是美OMB发布2026财年预算提案,拟削减网络安全预算4.91亿美元;五是美白宫科技政策办公室征求关于国家人工智能研发战略规划的意见;六是英政府发布智能电力系统网络安全路线图,拟于2028年前实施强制性安全标准;七是印度沿印巴边境部署高频干扰系统;八是北约在塔林举行2025年度“锁定盾牌”网络防御演习。
数据前沿快讯,本期有五点值得关注:一是《数据安全技术 数据安全风险评估方法》等6项网络安全国家标准获批发布;二是《可信数据空间 技术架构》技术文件正式发布;三是北约发布首份数据战略公开版本;四是美海军陆战队启动“数字化转型团队”加速人工智能实战部署;五是TikTok被指违规传输欧盟用户数据,遭43.66亿元天价罚款。
网安事件聚焦,本期有两方面内容建议关注:一是地缘冲突引发的网络攻击事件频发,给网络空间安全带来巨大挑战。本期介绍:印巴双方在网络安全领域攻防事件频发;法国外交部指控俄罗斯黑客组织APT28长期入侵该国核心机构;伊朗黑客对中东地区一家关键国家基础设施实施网络入侵;日本跨国集团日立子公司Hitachi Vantara遭勒索软件攻击;西班牙和葡萄牙大规模停电,事故原因仍在调查中;乌克兰云服务商De Novo数据中心停电致服务中断;俄紧急情况部:莫斯科为保障节日活动安全或限制网络访问。二是数据泄露事件频发,涉及人力资源及媒体等多个行业。本期介绍:美国福利与薪资解决方案提供商Kelly Benefits数据泄露事件影响逾40万人;欧洲知名招聘平台泄露110万求职者资料;媒体公司Urban One确认数据泄露。
网安风险警示,本期有四点建议关注:一是开源数据可视化和分析平台Elastic Kibana存在任意代码执行漏洞;二是美CISA将已遭利用高危漏洞列入KEV目录;三是攻击者利用Craft CMS严重漏洞发动攻击;四是苹果AirPlay协议中存在多个安全漏洞。
一、网安动向热讯
(一)七部门联合发布《终端设备直连卫星服务管理规定》
4月30日消息,国家互联网信息办公室、国家发展改革委、工信部等七部门联合发布《终端设备直连卫星服务管理规定》,自6月1日起施行。《规定》对终端设备直连卫星服务技术产业发展与促进、设备设施与服务管理、监督管理与法律责任等作出了规定,为终端设备直连卫星服务管理工作提供了具体指引。《规定》明确,向中华人民共和国境内提供终端设备直连卫星服务,在中华人民共和国境内使用终端设备直连卫星服务,以及生产、组装、提供和销售支持中华人民共和国境内直连卫星服务的终端设备的适用本规定。《规定》要求,向境内提供终端设备直连卫星服务,终端设备接入境内公用电信网和在境内使用无线电频率的,应当依照相关规定取得相应许可和核准。(信息来源:网信中国)
(二)中央网信办部署开展“清朗·整治AI技术滥用”专项行动
4月30日消息,中央网信办印发通知,在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。此次专项行动分两个阶段开展。第一阶段重点整治6类突出问题:违规AI产品;传授、售卖违规AI产品教程和商品;训练语料管理不严;安全管理措施薄弱;未落实内容标识要求;重点领域安全风险。第二阶段重点整治7类突出问题:利用AI制作发布谣言;利用AI制作发布不实信息;利用AI制作发布色情低俗内容;利用AI假冒他人实施侵权违法行为;利用AI从事网络水军活动; AI产品服务和应用程序违规;侵害未成年人权益。(信息来源:网信中国)
(三)中央网信办:关于15款App和16款SDK个人信息收集使用问题的通报
5月6日消息,根据中央网信办、工业和信息化部等联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据相关法律法规和有关规定,中央网信办组织对App、SDK收集使用个人信息行为进行检测,现对有关问题予以通报:一是墨迹天气tv版、医家等15款App存在未逐一列出收集使用个人信息的SDK,未准确列出SDK收集使用个人信息的目的、方式、范围等问题。二是CTP穿透采集、金仕达穿透采集等16款SDK收集使用个人信息,存在未提供个人信息收集使用规则,未说明自行或协助App响应用户个人信息权利请求的措施,未及时响应用户个人信息投诉举报等权利请求等问题。三是相关App和SDK运营者应当于本通报发布之日起的15个工作日内完成整改,并将整改情况上报。(信息来源:网信中国)
(四)《网络安全标准实践指南—个人信息保护合规审计要求(征求意见稿)》公开征求意见
4月29日消息,全国网安标委就《网络安全标准实践指南—个人信息保护合规审计要求(征求意见稿)》面向社会公开征求意见,意见反馈截止日期为5月6日。意见稿提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的总体要求、内容方法和实施流程,适用于指导个人信息处理者开展个人信息保护合规审计工作,也可为专业机构开展个人信息保护合规审计提供参考。(信息来源:全国网安标委)
(五)美OMB发布2026财年预算提案,拟削减网络安全预算4.91亿美元
5月7日消息,美管理和预算办公室(OMB)向美国会提交特朗普总统2026财年最重要的自由裁量预算请求。该预算案将非国防可自由支配资金削减1630亿美元,比2025年制定的水平下降23%。国防开支将增加13%,国土安全部拨款将增加近65%。在网络安全方面,特朗普政府提议从美网络安全与基础设施局(CISA)30亿美元的预算中削减4.91亿美元,旨在使CISA重新关注其核心职责,聚焦联邦网络防御(如政府系统漏洞修补)和加强关键基础设施(电网、交通等)安全。同时限制该机构打击网络虚假信息职能,裁撤国际合作部门和虚假信息治理项目。(信息来源:天极智库)
(六)美白宫科技政策办公室征求关于国家人工智能研发战略规划的意见
5月7日消息,美白宫科技政策办公室发布关于《2025年国家人工智能研究与发展战略计划》修订版的征求意见。此次战略修订特别强调优先支持那些商业回报不确定、但对国家战略利益至关重要的研究方向,确保美国在全球人工智能竞争格局中的技术领导地位。征求信息主要围绕未来3至5年美国人工智能领域的关键研发方向,涵盖基础性研究(包括人工智能算法、体系结构及数学理论的原始创新,超越当前深度学习框架);下一代人工智能硬件与计算平台(探索新型芯片、架构与算力支撑体系,突破现有技术瓶颈);人工智能系统的安全性、标准与可靠性研究(制定适用于关键基础设施和高风险环境的人工智能标准);国家安全与基础设施保护领域的人工智能应用(开发适应动态环境的、具备推理与自适应能力的人工智能系统)等。意见征集将持续至5月29日。(信息来源:MeriTalk网)
(七)英政府发布智能电力系统网络安全路线图,拟于2028年前实施强制性安全标准
4月29日消息,英政府发布《智能安全电力系统计划》政策回应文件,提出分阶段实施智能电力设备网络安全强制性要求的路线图。根据规划,第一阶段能源智能家电法规将于2026年初立法,要求制造商遵循ETSIEN 303 645网络安全标准,并设置20个月过渡期,最迟于2027年底完成实施,确保2028年初全面生效。政策重点关注三大领域,分别为设备安全、许可制度和治理框架。(信息来源:启元洞见)
(八)印度沿印巴边境部署高频干扰系统
5月8日消息,印度在印巴实际控制线沿线部署多套高频电子战干扰系统,旨在全面压制巴基斯坦军队依赖的全球导航卫星系统(GNSS)信号,包括美国GPS、俄罗斯格洛纳斯及中国北斗。此举标志着印巴电子战对抗进入新阶段,双方军事与民用领域均面临连锁冲击。新部署的干扰系统集中于查谟和克什米尔边境,可显著削弱巴军导航精度、战场态势感知及精确制导武器效能,尤其是针对巴军导弹系统及无人机作战。此次高频干扰系统部署,不仅是印巴紧张关系的技术映射,更揭示现代战争中电子频谱权争夺的核心地位。(信息来源:电子小氙)
(九)北约在塔林举行2025年度“锁定盾牌”网络防御演习
5月8日消息,北约合作网络防御卓越中心在爱沙尼亚塔林启动2025年度“锁定盾牌”网络防御演习,旨在通过现实模拟来测试和提高各国网络安全团队保卫国家系统和关键基础设施的准备程度。此次演习场景涵盖了更多虚构国家和地区,反映了当前全球面临的最紧迫现实问题,包括地缘政治紧张局势、主权侵犯以及大规模网络攻击。演习汇集了41个国家的约4000名专家,相关人员被分成17支“蓝队”,负责在模拟的高压实战对抗中抵御针对虚拟系统的8000余次网络攻击。演习还规划了多项网络行动和突袭行动,以测试各团队的速度和适应能力。(信息来源:奇安网情局)
二、数据前沿快讯
(十)《数据安全技术 数据安全风险评估方法》等6项网络安全国家标准获批发布
4月30日消息,国家市场监督管理总局、国家标准化管理委员会发布2025年第10号《中华人民共和国国家标准公告》,由全国网络安全标准化技术委员会归口的6项国家标准正式发布。本次发布的标准聚焦数据安全、生成式人工智能安全等关键领域,进一步丰富了大网络安全工作格局下的网络安全标准体系建设,为国家数据安全和人工智能安全的管理工作及产业发展提供标准支撑。标准具体包括:GB/T 45574—2025《数据安全技术 敏感个人信息处理安全要求》;GB/T 45576—2025《网络安全技术 网络安全保险应用指南》;GB/T 45577—2025《数据安全技术 数据安全风险评估方法》;GB/T 45652—2025《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》;GB/T 45654—2025《网络安全技术 生成式人工智能服务安全基本要求》;GB/T 45674—2025《网络安全技术 生成式人工智能数据标注安全规范》。以上标准将于11月1日起正式实施。(信息来源:全国网安标委)
(十一)《可信数据空间 技术架构》技术文件正式发布
4月30日消息,《可信数据空间 技术架构》技术文件正式发布。本技术文件规范了可信数据空间技术架构,明确了可信数据空间在国家数据基础设施中的定位,描述了可信数据空间作为一种数据流通利用基础设施的核心技术特征、最小功能集合以及关键业务流程,适用于指导地方、行业、领域、企业开展可信数据空间的规划、建设、运营和管理。(信息来源:全国数据标准化技术委员会)
(十二)可信数据空间发展联盟成立
4月29日,在福州举办的第八届数字中国建设峰会“可信数据空间分论坛”上,可信数据空间发展联盟正式宣告成立。可信数据空间发展联盟是由国家数据局指导,中国信息通信研究院、国家数据发展研究院联合中电科、国家管网、南方电网、长江三峡、国家能源、数联物流、通用技术等19家央企、20家研究院所和龙头企业发起成立的跨行业、开放性、公益性组织。联盟致力于搭建产学研用协同创新平台,聚焦行业痛点和实际需求,以实效价值为导向推动可信数据空间应用标杆打造和产业培育,构建协同创新的发展生态。(信息来源:中国新闻网)
(十三)《全国数据资源调查报告(2024年)》正式发布
4月29日,《全国数据资源调查报告(2024年)》正式发布。报告显示,我国数据资源规模优势持续扩大,数据资源开发利用活跃度稳步提升,各类主体加快人工智能布局投入,数据要素市场化、价值化进程进一步提速。具体包括:一是数据资源规模加速增长,2024年,全国数据生产量达41.06泽字节(ZB),同比增长25%。二是数据存储结构持续优化,全国数据存储总量为2.09泽字节(ZB),存储空间利用率为61%。三是算力基础设施建设加快布局,全国算力总规模达280EFLOPS(每秒百亿亿次浮点运算),八大国家枢纽节点算力总规模达175EFLOPS。四是公共数据资源开发利用步伐加快,政务数据共享持续深化。五是企业数据资源开发利用提速,活跃数据总量同比提升22.73%,活跃数据总量占存储数据总量的比重为62.04%。六是数据促进人工智能加速发展,开发或应用人工智能的企业数量同比增长36%,高质量数据集数量同比增长27.4%,有力支撑人工智能训练和应用。(信息来源:国家数据局)
(十四)北约发布首份数据战略公开版本
5月7日消息,北约发布其首份数据战略公开版本。该战略于2025年2月经北约盟国批准,旨在加速北约利用数据的能力,帮助实现所有作战领域的互操作性和一体化。该战略概述了如何根据通用标准在北约范围内更好地收集、存储和分发信息。该战略要求创建一个安全且有效的数据共享生态系统,使北约、产业界和学术界能够安全地访问和协作,包括在人工智能和机器学习模型方面,同时确保盟国对其数据的控制权。(信息来源:全球技术地图)
(十五)美海军陆战队启动“数字化转型团队”加速人工智能实战部署
5月6日消息,美海军陆战队启动三年期“数字化转型团队”试点项目,旨在通过推进流程数字化、构建可信数据管道、识别技术漏洞及加速人工智能实战应用等核心任务,提升作战效能并适配“联合全域指挥控制”战略需求,同时制定人工智能实施计划、开展基础设施评估及规划跨部门协作研发枢纽,以应对现代战场数字化挑战。首支数字化转型团队已于3月底成立,重点推进四项核心工作:包括流程数字化,优化业务与作战流程,减少人工操作冗余;可信数据管道建设,保障数据安全流通,为人工智能提供高质量数据源;漏洞识别,强化网络与系统安全性,防范新兴技术风险;人工智能实战应用加速,将机器学习、数据分析等技术转化为战场决策优势。(信息来源:防务快讯)
(十六)TikTok被指违规传输欧盟用户数据,遭43.66亿元天价罚款
5月2日,爱尔兰数据保护委员会(DPC)指控TikTok在保护用户信息方面存在问题,处以5.3亿欧元(约合43.66亿元人民币)的巨额罚款。DPC指出,TikTok无法证明其欧盟用户的个人数据得到欧盟法律所规定的高标准保护,部分欧盟用户个人数据可由中国员工远程访问。TikTok表示,该裁决并未充分考虑其在2023年首次推出的数据安全措施,这些措施可独立监控远程访问,并确保欧盟用户数据存储在欧洲和美国境内的专用数据中心。针对这一裁决,TikTok方面表示强烈反对,计划提出上诉。(信息来源:金融界)
(十七)美德州因隐私保护对TP-Link、阿里巴巴、剪映等中国公司发出正式警告
5月6日消息,美德克萨斯州总检察长称TP-Link、阿里巴巴和剪映等中国公司正在侵犯美德克萨斯州居民的隐私权。根据《德克萨斯州数据隐私和安全法》(TDPSA),总检察长给予相关公司三十天的时间遵守德克萨斯州加强的隐私保护措施。如上述公司未能遵守TDPSA,将采取进一步法律行动。TDPSA自2024年7月1日起生效,该法建立了适用于“在德克萨斯州开展业务或生产被德克萨斯州居民消费的产品或服务”并收集、使用、存储、销售、共享、分析或处理消费者个人数据的公司的隐私保护安全措施。(信息来源:数据信任与治理)
三、网安事件聚焦
(十八)印巴双方在网络安全领域攻防事件频发
5月7日,印度与巴基斯坦在网络安全领域的攻防事件频发,巴基斯坦支持的黑客组织在帕哈拉姆袭击事件后加大了对印度的网络攻击力度,入侵印度军事工程服务和马诺哈尔帕里卡尔国防研究与分析研究所,获取包括国防人员在内的个人信息和登录凭证;篡改了装甲车辆有限公司的官方网站,替换为巴基斯坦国旗和Al Khalid坦克的图片等。印度将此次攻击描述为表面层级的入侵,未对印度军事运作造成实质性影响,并及时采取防御反制,包括实时检测与阻断;网站下线与审计;加强防御和反击。(信息来源:环球网)
(十九)法国外交部指控俄罗斯黑客组织APT28长期入侵该国核心机构
4月30日消息,法国外交部指控与俄罗斯军事情报局相关的APT28黑客组织在过去四年内入侵或攻击了十多个法国机构。法国国家信息系统安全局(ANSSI)发布报告,称遭APT28黑客组织攻击的法国机构包括:部委级政府机构、地方政府及行政单位、国防工业基础相关组织、航空航天机构、研究机构及智库、经济与金融领域机构。ANSSI指出,自2021年以来,APT28多次利用Roundcube邮件服务器漏洞实施攻击,并频繁使用免费网络服务发起钓鱼攻击。2024年至今,该组织的攻击重点转向窃取法国、欧洲、乌克兰及北美政府、外交机构、研究组织和智库的“战略情报”。法国外交部强调,将与伙伴国合作,威慑并应对俄罗斯在网络空间的恶意行为。(信息来源:BleepingComputer网)
(二十)伊朗黑客对中东地区一家关键国家基础设施实施网络入侵
5月6日消息,研究人员发现伊朗黑客组织对中东地区一家关键国家基础设施实施网络入侵,攻击从2023年5月持续至2025年2月,涉及大规模间谍行动及疑似网络预置行为(一种用于维持长期访问以获取未来战略优势的战术),攻击的技术特征与已知伊朗国家级黑客组织Lemon Sandstorm存在重叠。该组织自2017年起活跃,攻击目标涵盖美国、中东、欧洲及澳大利亚的航空航天、石油天然气、水务和电力行业。研究人员称,黑客组织在整个入侵过程中展现出极高的战术素养,可能具有国家背景或掌握充足资源。(信息来源:HackerNews网)
(二十一)日本跨国集团日立子公司Hitachi Vantara遭勒索软件攻击
4月30日消息,日本跨国集团日立子公司Hitachi Vantara遭勒索软件Akira攻击,被迫关闭服务器以遏制攻击影响。该公司为政府实体、西班牙电信、T-Mobile、中国电信等全球知名品牌提供数据存储、基础设施系统、云管理和勒索软件恢复服务。因被迫关闭服务导致制造业务、远程和支持运营中断,政府实体拥有的多个项目也被波及。Akira勒索软件自2023年3月出现后迅速在全球范围内造成约300多个受害者。Hitachi Vantara公司称检测到可疑活动后立即启动事件响应协议,并已聘请第三方专家展开调查和补救。(信息来源:BleepingComputer网)
(二十二)西班牙和葡萄牙大规模停电,事故原因仍在调查中
4月28日中午,西班牙和葡萄牙大规模停电,波及伊比利亚半岛的大部分地区以及法国南部等周边地区。停电导致航空停飞、公共交通瘫痪、医院暂停常规诊疗,多地炼油厂、超市和银行系统关闭,受影响人口超5000万。当天,西班牙内政部宣布进入国家紧急状态,并在马德里、安达卢西亚、埃斯特雷马杜拉和穆尔西亚等地区启动了国家三级紧急响应机制。目前,网络上有多种关于停电原因的猜测,包括电网故障、网络攻击、可再生能源发电问题,以及与法国输电线路火灾的潜在关联等。西班牙首相桑切斯表示,事故原因仍在调查中,不排除任何可能性。欧盟委员会负责清洁能源转型的副主席特雷莎•里韦拉表示,“目前没有任何证据表明是蓄意破坏或网络攻击,将继续调查以确定导致此次事件的具体原因”。截至29日凌晨6点,西班牙全国所有变电站已恢复供电,电力供应恢复超99%。(信息来源:CybersecurityNews网)
(二十三)乌克兰云服务商De Novo数据中心停电致服务中断
4月30日消息,乌克兰云提供商De Novo发生停电事件,导致政府机构和大公司等客户运营中断。此次停电源于De Novo数据中心电源故障,影响范围广泛,包括乌克兰Diia政府应用程序、当地银行、邮政快递巨头Nova Post以及Apple Pay和Google Pay等非接触式支付系统均暂时下线。基辅居民反映,在交通中断期间无法使用移动支付乘坐地铁,部分餐厅电子支付系统也出现问题。De Novo耗时近六小时恢复客户服务,公司将停电归咎于自动电源切换系统意外故障,排除了网络攻击的可能性,并表示仍在调查故障原因。(信息来源:TheRecord网)
(二十四)俄紧急情况部:莫斯科为保障节日活动安全或限制网络访问
5月6日消息,俄罗斯紧急情况部发布短信消息,为保障莫斯科节日活动期间的安全,5月7日至5月9日网络访问可能会受到限制。俄罗斯OTP银行数字业务发展总监伊万•巴赫马特表示,移动通信运营商服务受限不会对银行基础设施运行造成影响,包括通过终端机付款的功能,移动网络断线也不会影响银行卡在商户终端的支付功能。如用户暂时无法通过移动运营商连接互联网,建议使用其他非移动网络服,如家庭Wi-Fi。(信息来源:塔斯社新闻专线)
(二十五)美国福利与薪资解决方案提供商Kelly Benefits数据泄露事件影响逾40万人
5月6日消息,美国福利与薪资解决方案提供商Kelly Benefits披露,其此前公布的数据泄露事件影响范围超出最初估计。2024年12月12日至17日期间,黑客入侵Kelly Benefits系统并窃取敏感个人数据,初次通报称事件影响近26.4万人,涉及CareFirst、Guardian、Beam Benefits等客户,遭泄露数据包括姓名、社保号码、医疗及财务信息等。目前,发现受影响人数已升至413032人,调查仍在进行中。Kelly Benefits公司为企业提供福利管理、薪资处理及劳动力管理解决方案,其尚未透露攻击技术细节。目前暂无勒索软件组织宣称对此次入侵负责。(信息来源:HackerNews网)
(二十六)欧洲知名招聘平台泄露110万求职者资料
5月6日消息,欧洲知名求职平台beWanted发生重大数据泄露事件,超110万份求职者简历及敏感信息通过未加密的Google云存储桶暴露于公网。泄露数据包含姓名、出生日期、国籍及出生地、身份证号码(涉及西班牙、阿根廷、危地马拉、洪都拉斯等多国公民)、工作经历及教育背景等。研究人员指出,数据至少已暴露6个月,攻击者可能已利用泄露数据发起身份盗用、精准钓鱼攻击、社交工程攻击等。beWanted通过SaaS模式连接求职者与雇主,在墨西哥、德国及英国设有分支机构。研究人员已联系beWanted,但截至发稿未获回复。(信息来源:HackerNews网)
(二十七)媒体公司Urban One确认数据泄露
4月30日消息,总部位于马里兰州的媒体公司Urban One称,其2月13日遭复杂社会工程攻击,公司数据被窃取,包括员工及其他相关人员姓名、地址、社会保险号、直接存款信息及W-2税务信息等,但公司运营未受影响。Urban One是面向非裔社区的最大媒体公司,运营多个电视频道、数十家广播电台及新闻网站。Cactus勒索软件组织宣称对此次攻击负责,该组织于2023年出现,最初因通过在线广告分发恶意软件感染目标而被微软曝光。目前,该公司未回应置评请求,但表示会对受影响人员提供两年信用监控服务。(信息来源:TheRecord网)
四、网安风险警示
(二十八)开源数据可视化和分析平台Elastic Kibana存在任意代码执行漏洞
5月7日消息,奇安信CERT监测到官方修复Elastic Kibana原型污染致任意代码执行漏洞CVE-2025-25014(CVSS评分9.1)。该漏洞源于Kibana中机器学习和报告端点的原型污染问题,攻击者可通过精心构造的文件上传和特定的HTTP请求绕过验证机制,成功利用该漏洞可在受影响系统上执行任意代码,导致数据泄露、系统被完全控制等严重后果。Elastic Kibana是一个开源数据可视化和分析平台,专为与Elasticsearch配合使用而设计,允许用户通过图形界面直观地展示和探索数据,支持实时数据分析、日志监控和业务指标跟踪。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十九)美CISA将已遭利用高危漏洞列入KEV目录
4月30日消息,美CISA将两个高危漏洞列入其KEV目录。其中一个是博科光纤通道操作系统的代码注入漏洞CVE-2025-1976(CVSS评分8.6),允许拥有管理员权限的本地用户以root权限执行任意代码,影响博科光纤通道操作系统。另一个是Commvault Web服务器中的漏洞CVE-2025-3928(CVSS评分8.7),允许经过身份验证的远程攻击者创建并执行Web Shell,影响Commvault Web服务器,有证据表明上述漏洞已遭利用。美CISA建议联邦机构分别于5月17日和5月19日前完成补丁安装。(信息来源:TheHackerNews网)
(三十)攻击者利用Craft CMS严重漏洞发动攻击
5月7日消息,研究人员发现攻击者利用Craft CMS中两个新披露的零日漏洞发起攻击,成功破坏服务器并获取未经授权的访问权限。其中,CVE-2024-58136漏洞源于Craft CMS使用的Yii PHP框架中备用路径缺陷的不当保护;CVE-2025-32432为Craft CMS内置图像转换功能中的远程代码执行漏洞,允许未经身份验证的用户向负责图像转换的端点发送POST请求,进而导致恶意代码执行。Craft CMS是一个灵活而强大的内容管理系统,专为创意团队和开发人员设计,以提供高度可定制、直观且性能优越的网站和内容管理解决方案。截至4月28日,已有约13000个Craft CMS实例暴露于风险之中,其中近300个已被入侵。(信息来源:TheHackerNews网)
(三十一)苹果AirPlay协议中存在多个安全漏洞
5月6日消息,研究人员披露苹果AirPlay协议中存在一系列安全漏洞(统称为AirBorne),攻击者成功利用这些漏洞可控制支持该专有无线技术的设备,包括苹果设备和采用AirPlay SDK(软件开发工具包)的第三方设备。其中CVE-2025-24252与CVE-2025-24132等漏洞组合后,可形成无需用户交互的蠕虫化远程代码执行攻击链,使恶意软件能在受感染设备连接的任何本地网络中传播,从而实现零点击或单点击远程代码执行;绕过访问控制列表和用户交互验证;本地任意文件读取;信息泄露;中间人攻击和DoS攻击。研究人员建议企业立即将所有支持AirPlay的苹果设备及其他终端升级至最新版本。(信息来源:FreeBuf网)
