网络空间安全动态(202525期)
编者按:网安动向热讯,本期有十点值得关注:一是国办要求在确保安全前提下稳妥有序推进人工智能大模型等新技术在政务服务领域应用;二是工信部启动2025年护航新型工业化网络安全专项行动;三是3项网络安全国家标准获批发布;四是美国防部披露2026财年国防预算申请细节,其中151亿美元用于网络安全;五是美联邦民事机构2026财年网络安全预算约为117亿美元,同比减少约7%;六是美《大而美法案》为网络安全项目提供大量拨款;七是美联邦能源监管委员会批准北美电力可靠性公司关基保护标准CIP-015-1;八是日本设立国家网络安全办公室;九是越南发布《网络安全法(合并草案)》并公开征求意见;十是金砖国家元首签署“人工智能全球治理宣言”。
数据前沿快讯,本期有四点值得关注:一是国家数据局、市场监管总局联合印发数据流通交易合同示范文本;二是欧盟委员会发布《数据访问授权法案》;三是欧洲数据保护委员会发布简化GDPR合规流程的声明;四是越南《数据法》正式生效。
网安事件聚焦,本期有两方面内容建议关注:一是网络攻击聚焦关键领域,军工、金融、政府机构等行业成重点攻击目标。巴西央行供应商遭遇网络攻击,造成超13亿元人民币损失;APT36组织首次采用专门针对Linux环境的恶意软件,发起针对印度国防相关机构的网络间谍活动;俄军工企业NPO Mars公司遭黑客入侵,包括大量俄海军相关军事技术文件在内的250GB敏感数据疑似泄露。二是网络攻击手段花样翻新,对个人和企业数据安全构成严重威胁。伊朗黑客组织BladedFeline潜伏8年,利用专为隐蔽驻留设计的恶意软件套件,持续开展网络间谍活动;过去数月利用PDF发起的钓鱼攻击急剧增加,攻击手法包括电话导向攻击、二维码钓鱼攻击、利用PDF注释功能隐藏恶意链接、文档混淆等,更加隐蔽和难以识别;一款伪装成家长监控软件的安卓间谍软件Catwatchful利用SQL注入漏洞,造成超过6.2万用户信息泄露。
网安风险警示,本期有六点建议关注:一是KatzStealer信息窃取恶意软件风险通告;二是美CISA将4个漏洞纳入已知被利用漏洞目录;三是Google Chrome V8类型混淆漏洞安全风险通告;四是Linux sudo本地提权漏洞安全风险通告;五是Redis hyperloglog远程代码执行漏洞安全风险通告;六是Git远程代码执行漏洞安全风险通告。
一、网安动向热讯
(一)国办要求在确保安全前提下稳妥有序推进人工智能大模型等新技术在政务服务领域应用
7月8日消息,国务院办公厅印发《关于健全“高效办成一件事”重点事项常态化推进机制的意见》,其中提出,探索开展“人工智能+政务服务”。聚焦“高效办成一件事”应用场景,强化统筹规划,在确保安全的前提下稳妥有序推进人工智能大模型等新技术在政务服务领域应用,为企业和群众提供智能问答、智能引导、智能预填、智能帮办等服务,为工作人员提供智能辅助审批、智能分析等支撑。完善覆盖政策法规、办事指南、审查要点等专业内容的信息库并动态更新,提升“人工智能+政务服务”的权威性、精准性。加强保密管理和系统防护,强化算法合规监管和人工审核把关,确保人工智能应用安全可靠。(信息来源:证券时报)
(二)工信部启动2025年护航新型工业化网络安全专项行动
7月2日消息,工业和信息化部印发《2025年护航新型工业化网络安全专项行动方案》,以扎实推进2025年护航新型工业化网络安全专项行动,进一步推动提升新型工业化网络安全保障能力。《行动方案》以推动重点企业、重要系统、关键产品防护能力升级为核心,从突出重点管理、聚焦关键环节、创新赋能模式三个方面提出八项重点任务。一是突出重点管理,提高企业网络安全防护水平。推动分类分级扩面提质,梳理建立防护重点企业清单;聚焦重点企业防护提升,开展网络安全贯标达标试点;夯实优势产业安全基础,提升重要车联网平台安全防护能力。二是聚焦关键环节,增强工业控制系统产品安全能力。组织开展工业控制系统网络安全评估;推动重点工业控制产品网络安全检测认证。三是创新赋能模式,优化工业领域网络安全服务。服务重点产业链企业,统筹开展网络安全赋能工作;聚焦安全保障需求,强化网络安全“护企惠企”;全面提升安全认识,加强新型工业化网络安全宣贯。(信息来源:工信微报)
(三)2025年世界互联网大会数字丝路发展论坛新闻发布会在京召开
7月3日消息,世界互联网大会组织在京举行新闻发布会,介绍2025年世界互联网大会数字丝路发展论坛的相关情况。本次数字丝路发展论坛将于7月24日在福建泉州召开。论坛以“数智海丝 共迎未来——携手构建网络空间命运共同体”为主题,将围绕“‘一带一路’数字贸易开放合作”“人工智能赋能民营经济高质量发展”“国际运输数智化转型与可持续发展”三个议题展开交流讨论。本次论坛还将举办世界互联网大会人工智能发展与治理交流会,邀请相关政策制定者与会员高级别代表,围绕人工智能相关政策开展交流;开展世界互联网大会数字研修院数字经济创新发展高级研修班等配套活动;举行中国传统文化展演,通过数字技术与传统艺术的融合,展现数字技术赋能文化传承的创新实践。(信息来源:网信中国)
(四)3项网络安全国家标准获批发布
7月4日消息,国家市场监督管理总局、国家标准化管理委员会发布2025年第14号《中华人民共和国国家标准公告》,由全国网络安全标准化技术委员会归口的3项国家标准正式发布。一是GB/T 20988—2025《网络安全技术 信息系统灾难恢复规范》,确立了信息系统灾难恢复工作原则,给出了信息系统灾难恢复生命周期,规定了信息系统灾难恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法;二是GB/T 22080—2025《网络安全技术 信息安全管理体系要求》,规定了在组织环境下建立、实施、维护和持续改进信息安全管理体系的通用要求;三是GB/T 45909—2025《网络安全技术 数字水印技术实现指南》,提供了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面的建议。以上标准将于2026年1月1日起正式实施。(信息来源:全国网安标委)
(五)美国防部披露2026财年国防预算申请细节,其中151亿美元用于网络安全
6月26日消息,美国防部披露2026财年国防预算申请详细情况。该预算总额为1.01万亿美元,较2025财年增长13.4%,其中包括8483亿美元的可自由支配预算,1133亿美元的强制性拨款。陆军预算1974亿美元,海军2922亿美元,空军3011亿美元,太空军400亿美元。网络安全是重点投资方向之一,相关预算共151亿美元,用于维护美网络空间利益,保障美军“联合全域”作战。(信息来源:美国防部网站)
(六)美联邦民事机构2026财年网络安全预算约为117亿美元,同比减少约7%
7月2日消息,美管理与预算办公室(OMB)发布最新网络安全预算请求提案,称2026财年联邦民事机构网络安全预算约117亿美元,较2025财年估算的126亿美元减少约9亿美元,降幅约为7%,打破了美政府网络安全预算逐年上升的历史趋势。其中,国土安全部作为承担国家网络安全职责的主要机构,预算超31亿美元,远高于排名第二的能源部(12亿美元)和司法部(11亿美元)。排名前十的民事机构合计预算超过96亿美元,占比82%,这十个机构共承担了6.27亿美元的预算削减。能源部、交通部和社会保障局的网络安全预算有所增长,增幅分别为10%、11%和17%;退伍军人事务部、卫生与公共服务部和财政部的网络安全预算大幅下降,降幅分别为12%、12%和40%;国土安全部、司法部、国务院以及商务部的网络安全预算略有下降,降幅分别为5%、4%、1%和4%。(信息来源:安全内参)
(七)美《大而美法案》为网络安全项目提供大量拨款
7月8日消息,美总统特朗普签署的《大而美法案》为网络安全项目提供大量拨款:一是向网络司令部提供2.5亿美元用于人工智能在网络空间的作战应用;二是为国防高级研究计划局的国防网络安全项目拨款2000万美元;三是向国防部提供9000万美元,用于为小型非传统承包商提供网络安全支持、APEX加速器项目以及美国防部“导师-门徒计划”;四是向印太司令部拨款100万美元用于网络攻击行动;五是向海岸警卫队拨款23.7亿美元,其中22亿美元用于网络资产维护,1.7亿美元用于提升海上、港口、陆基设施和网络领域的态势感知能力。(信息来源:奇安网情局)
(八)美联邦能源监管委员会批准北美电力可靠性公司关基保护标准CIP-015-1
7月8日消息,美联邦能源监管委员会(FERC)发布第907号命令,正式批准北美电力可靠性公司(NERC)的关基保护标准CIP-015-1。该标准要求既要对工业控制系统进行内部网络安全监控,又要保护网络边界设备,以实现网络威胁监测预警,使攻击者更难获得突破口及保持系统控制权。该标准年内还将覆盖到电子访问控制和物理访问控制系统。(信息来源:FederalRegister网)
(九)美政府取消对华EDA出口限制:三大芯片软件商恢复对华供货
7月3日消息,据彭博社报道,特朗普政府已取消部分对华芯片设计软件出口许可要求。另据《南华早报》援引西门子、新思科技和楷登电子公司发布的声明称,美政府已于本周四取消对中国部分芯片设计软件的出口管制措施。三家全球领先的电子设计自动化(EDA)软件开发商均表示,未来其相关产品出口至中国将无需获得特别批准。摩根士丹利5月发布的研究显示,三家公司去年共占据中国EDA软件市场约82%的份额。EDA工具是芯片制造商在智能手机、计算机、汽车等广泛应用领域中进行半导体设计的核心软件。(信息来源:财联社)
(十)德国提议与以色列深化网络安全合作
7月3日消息,德内政部长亚历山大·多布林特于近日访问以色列时提出“网络穹顶”计划,旨在应对当前地缘环境中日益加剧的网络安全威胁。该计划具体内容包括成立德以联合网络研究中心、加强德国联邦情报局与以色列摩萨德的网络安全协作、提升网络防御及反无人机能力、效仿以色列建设国家级应急警报与民众避难系统等。(信息来源:路透社)
(十一)日本设立国家网络安全办公室
7月1日,日本政府召开网络安全战略本部会议,首相石破茂及全体僚阁出席会议,确认年内制定“网络安全战略”的任务目标,并宣布改组内阁网络安全中心、成立国家网络安全办公室。该部门规模约240人,将作为指挥中心负责组织开展“主动网络防御”行动。(信息来源:NHK新闻网)
(十二)越南发布《网络安全法(合并草案)》并公开征求意见
7月3日消息,越南公安部公布《网络安全法(合并草案)》并向社会征求意见。现行的2015年版《网络信息安全法》偏重技术防护,2018年版《网络安全法》偏重国家安全与执法,两部法律条款交叉、执法主体并行,推高了企业合规成本。《草案》共8章58条,在整合上述两部法律的基础上有所调整创新:一是适用范围从传统科技公司扩展至互联网、金融、电商、物流等多个行业;二是数据存储和本地存在要求发生变化;三是对服务提供商增加要求收集、利用、分析或处理越南公民个人数据的企业必须遵守《个人数据保护法》,并帮助打击利用高科技实施网络犯罪的新义务;四是提出“数字资产”的法律定义;五是加强对网络安全产品和服务的管理。(信息来源:清华大学智能法治研究院)
(十三)金砖国家元首签署“人工智能全球治理宣言”
7月6日消息,第十七次金砖国家领导人会晤期间,通过了《金砖国家领导人关于人工智能全球治理的宣言》。具体内容:一是在治理原则方面,全球人工智能治理应致力于降低潜在风险,满足各国需求,尤其是发展中国家的需求;二是在多方协作方面,各国政府应在治理过程中发挥主导作用,同时与私营部门、民间组织、国际组织等利益相关方开展紧密合作;三是在市场与技术关系方面,公平竞争与市场监管是实现人工智能公平未来的关键;四是在公平和可持续发展方面,人工智能应当在医疗、教育、能源等多个领域发挥作用,助力发展中国家提升本土技术能力,缩小与发达国家之间的技术差距;五是在伦理和责任方面,人工智能必须具备包容性,要充分认识到数据集和人工智能模型中知识、遗产及文化价值代表性不足所带来的风险,重申伦理、透明且负责任框架的重要性。(信息来源:赛博研究院)
二、数据前沿快讯
(十四)国家数据局、市场监管总局联合印发数据流通交易合同示范文本
7月2日,国家数据局、市场监管总局联合印发数据流通交易合同示范文本。本次发布的示范文本聚焦数据流通中最典型的4类场景,即数据提供、数据委托处理、数据融合开发和数据中介,供数据市场中的经营主体使用。4种类型合同均约定了数据产权安排、安全保密要求、违约责任、争议解决等通用条款,并围绕数据流通交易各方权利义务、数据情况、数据交付和验收标准等进行了针对性和差异化安排。国家数据局、市场监管总局有关负责同志表示,后续将及时跟踪实践发展,面向新情况、新变化,持续迭代更新示范文本。(信息来源:国家数据局)
(十五)欧盟委员会发布《数据访问授权法案》
7月2日,欧盟委员会发布《数字服务法》(DSA)下位法《数据访问授权法案》,旨在补充DSA中要求超大型在线平台(VLOPs)和搜索引擎(VLOSEs)向研究人员开放平台上公开数据的规定。该法案将使研究人员能够获取相关数据,以针对欧盟境内的系统性风险及缓解措施展开研究。该法案明确了数据访问的技术条件和协调程序,包括数据格式和数据文档等相关要求。同时,该法案还明确了VLOPs和VLOSEs必须公开的信息,以便通过审核的研究人员申请访问相关数据集。此外,欧盟委员会还将启动DSA数据访问门户,为研究人员提供获取信息及交流申请事宜的畅通渠道。该法案目前已进入欧洲议会和欧洲理事会为期3个月的审查期,将在审查期结束后正式生效。(信息来源:InfosecurityMagazine网)
(十六)欧洲数据保护委员会发布简化GDPR合规流程的声明
7月2日,欧洲数据保护委员会在为期两天的赫尔辛基高级别会议结束后发表声明,同意采取一系列新举措,以简化《通用数据保护条例》(GDPR)合规流程。具体包括:一是为数据保护机构(DPA)设计数据泄露通报模板,简化工作流程;二是发布各类清单、操作指南和常见问题解答等文件,帮助成员理解其关键义务;三是编制DPA典型案例集,帮助组织成员理解DPA对于GDPR应用和执法的具体立场;四是加强与其他监管机构的合作,邀请其参加相关EDPB会议,视情编制联合指南,促进不同法律框架的协调一致。(信息来源:EDPB网)
(十七)越南《数据法》正式生效
7月1日,越南《数据法》正式生效,《重要数据和核心数据清单》同步发布,以配合该法实施。该法的立法目的是保障安全、保护数据主体的权益并推动数字经济的发展,主要内容:一是将数据分为非个人数据、内部数据、开放数据、综合数据、关键数据、核心数据及重要数据等类型,针对数据分类、质量保障、加密和销毁制定了具体条款;二是设立国家数据中心和国家数据库;三是要求核心数据和重要数据的跨境传输需经总理和公安部批准,且需遵循安全性评估流程,评估内容涵盖合法性、用途、范围及风险等要素;四是鼓励组织和个人向国家机关提供数据,以服务数据管理工作,促进社会经济发展;五是加强数据保护,包括制定数据保护政策、严格管理数据处理活动、应用技术解决方案保护数据、加强人力资源培训以提高数据安全意识等。(信息来源:清华大学智能法治研究院)
三、网安事件聚焦
(十八)巴西央行供应商遭网络攻击,超13亿元准备金被盗
7月2日消息,巴西央行技术服务提供商C&M Software系统遭网络攻击。攻击者使用客户凭证实施欺诈性操作,6家金融机构的央行准备金账户遭到未授权访问,造成损失超10亿雷亚尔(约合人民币13.2亿元)。C&M Software主要为大约20家小型金融机构(多为线上支付机构)提供服务。该公司表示,已全面启用安全协议措施,其关键系统仍保持完好并正常运行。巴西央行目前已令该公司中止金融机构客户对相关基础设施的访问。(信息来源:路透社)
(十九)伊朗黑客潜伏8年,持续开展网络间谍活动
7月8日消息,网络安全研究人员披露与伊朗存在关联的黑客组织BladedFeline自2017年起持续针对伊拉克政府及库尔德地区政府实施网络间谍活动。该组织与伊朗国家级黑客组织OilRig存在强关联性,恶意软件功能设计与OilRig标志性后门RDAT高度相似,攻击目标存在重叠,均重视中东地缘政治情报收集。在最近的攻击活动中,BladedFeline部署了专为隐蔽驻留设计的恶意软件套件,其中Whisper后门可将操作命令隐藏于邮件附件,规避传统安全检测机制;恶意IIS模块“PrimeCache”可监控所有传入HTTP请求,并仅在检测到预设Cookie结构时激活攻击功能,其余时间完全隐匿于正常服务器进程。(信息来源:InfosecurityMagazine网)
(二十)PDF钓鱼攻击数量激增
7月7日消息,网络安全公司思科Talos分析发现,过去几个月,利用PDF发起的钓鱼攻击急剧增加。PDF结构简单、应用广泛、兼容性强、受信任程度高,当中可包含图像、链接和各种标识,使其成为网络攻击的绝佳载体。常见攻击手法包括:一是电话导向攻击,即在PDF中嵌入伪装成客服的电话号码,这些号码多为网络电话号码,溯源难度较高;二是二维码钓鱼攻击,即在PDF中嵌入恶意二维码;三是利用PDF注释功能隐藏恶意链接;四是文档混淆,即在文件中填充无关文本或嵌入多个链接以混淆检索引擎。(信息来源:CyberNews网)
(二十一)APT36疑似发起针对印度Linux系统的复杂网络间谍活动
7月8日消息,APT36组织疑似发起针对印度国防相关机构的网络间谍活动。攻击者采用专门针对Linux环境的恶意软件,集中攻击印度政府机构广泛使用的BOSS Linux系统。攻击者通过精心设计的网络钓鱼邮件传播恶意载荷,邮件附件为伪装成“Cyber-Security-Advisory.zip”的压缩文件,内含一个名为“.desktop”的Linux快捷方式文件。当用户打开该文件时,系统会同时执行两项操作:前台自动下载并展示一个看似正常的PowerPoint文件以分散注意力,后台则秘密运行名为“BOSS.elf”的ELF二进制恶意软件。该恶意程序使用Go语言编写,是攻击的核心载荷,旨在入侵主机并建立持久化访问。技术分析显示,BOSS.elf会尝试连接IP地址101.99.92.182的12520端口,并与域名sorlastore.com通信,该域名已被确认为APT36针对印度国防部门的恶意基础设施。(信息来源:启明星辰安全通讯)
(二十二)俄NPO Mars公司遭黑客入侵,海军技术文件疑遭泄露
7月3日消息,俄罗斯NPO Mars公司遭黑客入侵。攻击者声称从该公司窃取了250GB敏感数据,其中包括大量俄海军相关军事技术文件。攻击者宣称获取俄海军多个系统权限,包括SIGMA系统(负责机动控制、反潜防御与导弹武器管理、通信的作战信息与指挥系统)、TRASSA系统(为俄海军巡逻舰、导弹舰、护卫舰、大型登陆舰和核动力导弹巡洋舰开发的指挥控制系统)和DIEZ系统(扫雷舰自动化控制系统)。NPO Mars是一家俄罗斯军工企业,前身为莫斯科海洋研究所,负责为俄军提供自动化控制系统、舰艇作战信息与指挥系统等装备,俄乌冲突爆发后遭美国、欧盟、加拿大、日本等多国制裁。(信息来源:安全威胁纵横)
(二十三)安卓间谍软件Catwatchful致超过6.2万用户信息泄露
7月4日消息,一款伪装成家长监控软件的安卓间谍软件Catwatchful被曝存在漏洞,其Firebase数据库因SQL注入攻击暴露6.2万名用户明文登录信息及2.6万台设备数据。该软件伪装成“隐形”儿童监控应用,通过物理接触植入受害者手机,非法窃取照片、短信、实时位置及环境音频,并远程操控摄像头。尽管应用商店已禁止Catwatchful,其仍通过预配置APK传播,受害者多集中于墨西哥、哥伦比亚等拉丁美洲国家。(信息来源:启明星辰安全简讯)
四、网安风险警示
(二十四)KatzStealer信息窃取恶意软件风险通告
7月9日消息,工信部网络安全威胁和漏洞信息共享平台监测发现KatzStealer恶意软件持续活跃,可导致敏感信息窃取。KatzStealer是一款采用恶意软件即服务模式的恶意软件,主要通过钓鱼邮件或被篡改的合法软件包进行传播。攻击者通过投递包含混淆JavaScript代码的恶意GZIP压缩包以绕过安全检测,利用系统工具cmstp.exe(系统配置管理器)绕过用户账户控制获取管理员权限,创建计划任务实现持久化驻留,并借助进程镂空技术注入MSBuild.exe进程,伪装成可信应用程序运行。植入成功后,可窃取浏览器密码、会话令牌、CVV码、VPN/邮件凭证、Discord/Telegram令牌及多种加密货币钱包数据,甚至篡改Discord文件实现自动重感染,窃取的数据最终通过伪装成Chrome代理流量的隐蔽通道传输。建议用户立即排查,及时更新防病毒软件。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十五)美CISA将4个漏洞纳入已知被利用漏洞目录
7月1日消息,美网络安全与基础设施安全局(CISA)将4个漏洞纳入已知被利用漏洞(KEV)目录。一是多路由器监控系统缓冲区溢出漏洞CVE-2014-3931(CVSS评分9.8),该漏洞可使远程攻击者能够进行任意内存写入和内存损坏操作;二是PHPMailer命令注入漏洞CVE-2016-10033(CVSS评分9.8),该漏洞可导致攻击者在应用程序的运行环境中执行任意代码,或导致出现拒绝服务情况;三是Ruby on Rails路径遍历漏洞CVE-2019-5418(CVSS评分7.5),该漏洞可导致目标系统中任意文件的内容泄露;四是Zimbra协作套件中的服务器端请求伪造漏洞CVE-2019-9621(CVSS评分:7.5),该漏洞可导致未经授权访问内部资源以及远程代码执行。美CISA要求联邦机构最晚于7月28日完成修复。(信息来源:TheHackerNews网)
(二十六)Google Chrome V8类型混淆漏洞安全风险通告
7月2日消息,奇安信CERT监测到Google Chrome V8类型混淆漏洞CVE-2025-6554(CVSS评分8.8)存在在野利用,该漏洞源于V8引擎在执行JavaScript代码时,对某些数据类型的边界检查和类型转换处理不当,导致浏览器无法正确区分不同类型的内存数据。远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件。鉴于该漏洞已发现在野利用,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十七)Linux sudo本地提权漏洞安全风险通告
7月2日消息,奇安信CERT监测到Linux sudo修复两个相互关联的本地提权漏洞CVE-2025-32462(CVSS评分7.0)和CVE-2025-32463(CVSS评分7.8)。CVE-2025-32462源于sudo的–h(--host)选项错误应用远程主机规则到本地,攻击者可绕过权限提升至root并执行任意代码。CVE-2025-32463源于本地低权限用户通过特制的恶意chroot环境触发动态库加载,从而以root权限执行任意代码。Sudo是一款在类Unix系统中用于允许授权用户以其他用户(通常是超级用户)的安全权限执行命令的工具,广泛应用于系统管理和运维过程中。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十八)Redis hyperloglog远程代码执行漏洞安全风险通告
7月8日消息,奇安信CERT监测到官方修复Redis hyperloglog远程代码执行漏洞CVE-2025-32023(CVSS评分7.0),该漏洞产生的原因是Redis在处理hyperloglog操作时,未对输入字符串进行严格验证,导致经过身份验证的本地用户可以使用特制的字符串来触发hyperloglog操作中的堆栈/堆越界写入,从而可能导致远程代码执行。Redis是一个开源的、基于内存的数据库,它支持多种数据结构,如字符串、哈希表、列表、集合等。Redis具有高性能、低延迟的特点,广泛应用于缓存、消息队列、会话存储等场景。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十九)Git远程代码执行漏洞安全风险通告
7月9日消息,奇安信CERT监测到官方修复Git远程代码执行漏洞CVE-2025-48384(CVSS评分8.0),该漏洞源于Git的路径解析逻辑错误,攻击者通过在子模块路径中注入回车符篡改配置,导致用户递归克隆(git clone--recursive)时触发恶意钩子脚本,最终实现远程代码执行。Git是一个分布式版本控制系统,它广泛用于协作开发和管理软件项目,可跟踪文件的变化,记录每一次修改。目前该漏洞技术细节与POC已在互联网上公开,鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
