网络空间安全动态(202530期)
编者按:网安动向热讯,本期有十点值得关注:一是工信部等七部门联合发布《关于推动脑机接口产业创新发展的实施意见》;二是工信部发布2025年行政执法事项清单,涉及网络安全和数据安全;三是国务院国资委发布首批央企人工智能战略性高价值场景;四是《中国人工智能安全全景报告(2025)》发布;五是第十三届互联网安全大会在北京开幕;六是美参议员要求调查DeepSeek数据安全风险;七是美提出《国家量子网络安全迁移战略法案》;八是美参议员重提VET AI法案,推动建立人工智能第三方验证机制;九是英NCSC发布CAF v4.0,提升关键基础设施防御能力与网络风险管理标准;十是俄罗斯联邦数字发展、通信和大众传媒部拟禁用外国云服务。
数据前沿快讯,本期有三点值得关注:一是水利部发布《水利重要数据安全保护要求》等4项水利行业标准;二是全国数标委发布数据基础设施、可信数据空间共6项技术文件意见稿,并向社会公开征求意见;三是汽车标委发布推荐性国家标准《智能网联汽车数据安全管理体系规范》和《汽车数字钥匙系统技术规范》的征求意见稿。
网安事件聚焦,本期有两方面内容建议关注:一是公共安全基础设施遭网络攻击,给相关机构和企业关键系统防护带来挑战。巴基斯坦石油公司遭勒索软件攻击致运营受阻;美联邦法院电子案件归档系统遭大规模攻击,法院线人身份等敏感信息疑遭泄露;黑客组织利用伪造法院传票对乌克兰国防部门发动网络间谍攻击;思科遭语音钓鱼攻击,用户资料被窃取。二是医疗、通信、航空等领域成为数据泄露高发领域。全球超120万个医疗设备系统数据暴露,中国亦受影响;法国第三大运营商遭网络攻击,640万客户数据被泄露;谷歌确认Salesforce CRM实例数据遭泄露;法航-荷航集团披露其客户服务平台遭网络攻击,导致客户数据泄露。
网安风险警示,本期有六点建议关注:一是工信部CSTIS平台发布关于防范BERT勒索软件的风险提示;二是ADOdb SQLite3驱动存在SQL注入漏洞;三是Adobe AEM Forms 修复3个高危漏洞;四是趋势科技Apex One存在高危命令注入漏洞;五是OpenAI的ChatGPT Connectors功能中存在“零点击”漏洞;六是美CISA将谷歌3个漏洞列入KEV目录。
一、网安动向热讯
(一)工信部等七部门联合发布《关于推动脑机接口产业创新发展的实施意见》
8月7日消息,工业和信息化部、国家发展改革委等七部门联合印发《关于推动脑机接口产业创新发展的实施意见》。《意见》提出,到2027年,我国脑机接口关键技术取得突破,初步建立先进的技术体系、产业体系和标准体系。脑机接口产品加快应用,产业规模不断壮大,打造2至3个产业发展集聚区,开拓一批新场景、新模式、新业态。到2030年,脑机接口产业创新能力显著提升,形成安全可靠的产业体系,构建具有国际竞争力的产业生态,综合实力迈入世界前列。《意见》部署加强基础软硬件攻关、打造高性能产品、推动技术成果应用、壮大创新主体、提升产业支撑能力5大重点任务和核心软硬件强基工程、整机精品工程、应用拓展工程3个重点工程,并细化为17项具体措施,推动脑机接口产业高质量发展。(信息来源:工信微报)
(二)工信部发布2025年行政执法事项清单,涉及网络安全和数据安全
8月8日,工业和信息化部发布《工业和信息化部行政执法事项清单(2025年版)》,对2022年清单进行了修订更新。在网络安全领域,聚焦网络安全、数据安全、个人信息保护、漏洞管理等核心板块,强化全链条监管,并针对车联网等新兴场景提出专项要求。清单将网络安全等级保护制度作为核心框架,开展两项重点行政检查。一是主体责任的合规性检查:核查网络安全等级保护定级备案、技术措施落实、日志留存、应急响应机制等义务的落实情况,违规可处五万元以上五十万元以下罚款。关键信息基础设施运营者需增设专门安全管理机构,定期开展安全评估,采购设备需通过安全审查。二是内容管理与新技术风险防控:深度合成/算法推荐服务需建立安全评估机制,公开算法原理;生成式AI服务提供者需履行备案义务,防止生成违法内容。对未停止传输非法信息、未保存相关记录的行为,最高可吊销业务许可证。清单以《数据安全法》为基础,强化工信领域数据处理者的全流程管理责任。重要数据需实施加密存储、访问控制等措施,定期开展风险评估并报送报告。数据出境需通过安全评估,违规向境外提供数据的,最高可处一千万元罚款,并吊销营业执照。(信息来源:工信部官网)
(三)国务院国资委发布首批央企人工智能战略性高价值场景
8月5日消息,2025年世界人工智能大会期间,国务院国资委在“AI焕新 产业共赢”企业人工智能产业发展论坛上正式发布首批40项央企人工智能战略性高价值场景,建设“国资央企人工智能战略性高价值场景库”,加快“应用领航”推动AI赋能千行百业。下一步,国资委将深化推进央企“AI+”专项行动,以“场景库”为基础,推动央企持续挖掘、积极开放行业核心场景,协同各方共建共享,深度融合人工智能科技创新与产业创新,打造人工智能+科学、生物医药、新材料研发、具身智能、新型工业化等应用标杆,助力传统产业提质升级,开辟战略性新兴产业和未来产业发展新赛道,推动“盆景式”试点落地到“雨林式”规模应用。(信息来源:国务院国资委官网)
(四)《中国人工智能安全全景报告(2025)》发布
8月7日消息,《中国人工智能安全全景报告(2025)》在WAIC 2025人工智能安全与治理论坛上正式发布。该报告是当前关于中国如何推进通用型人工智能安全与治理的最全面的年度综述之一,试图向国际社会清晰传递中国AI安全治理的声音。报告涵盖了从2024年5月至2025年6月的最新进展,共分为五个主要章节,分别是:国内治理(对国内AI政策和AI安全标准体系建设及其未来发展方向的系统性分析);国际治理(分析中国如何通过国际会议、多边组织和双边对话,在全球AI治理中发挥独特的作用);安全研究(对中国学者前沿AI安全技术研究的量化评估);专家观点(深入分析国家级或第三方独立机构专家通过会议或撰文对AI安全相关议题的讨论);产业治理(首次对中国主流模型开发者的模型技术报告中与AI安全相关的信息进行系统性分析)。(信息来源:安全内参)
(五)第十三届互联网安全大会在北京开幕
8月6日,由中国互联网协会、中国人工智能学会、中国软件行业协会、360互联网安全中心等联合主办的第十三届互联网安全大会在北京国家会议中心开幕。本届大会以“All In Agent”为主题,聚焦智能体时代的数字安全与人工智能前沿,通过技术突破与生态合力,正式开启智能体驱动的安全新纪元。(信息来源:中国信息安全)
(六)美参议员要求调查DeepSeek数据安全风险
8月7日消息,美国国会参议院7位共和党议员联名致信美国商务部,要求启动调查并评估中国开源AI模型DeepSeek可能带来的数据安全风险。参议员在信中要求美商务部说明,相关应用程式收集的数据是否被传回至中国服务器,以及这些AI模型是否可能将美国的个人或企业数据传送给中国军方及关联企业。议员们呼吁美商务部评估这些AI模型是否存在“后门”或其他漏洞,并向国会通报结果。同时建议强化出口管制、推动AI标准与创新中心的网络安全工作。(信息来源:路透社)
(七)美提出《国家量子网络安全迁移战略法案》
8月4日消息,美提出《国家量子网络安全迁移战略法案》,旨在应对量子计算机可能破解现有加密协议带来的网络安全威胁。该法案主要从战略领导、关键定义、试点项目、评估建议、国会监督、年度评估等方面强调量子网络安全迁移战略的重要性。法案将要求白宫科技政策办公室带头制定国家量子安全战略,推动联邦机构启动量子安全加密试点项目,将当前的联邦系统过渡到具有量子抗性保护的系统。此外,该法案还要求16个联邦关键基础设施部门在2027年初前,至少升级一个重要系统采用抗量子加密。(信息来源:网络空间国际治理前沿)
(八)美参议员重提VET AI法案,推动建立人工智能第三方验证机制
8月8日消息,美参议员约翰·希肯卢珀与谢利·摩尔·卡皮托重新提出《可信人工智能验证与评估法案》(VET AI Act),要求美国家标准与技术研究院牵头制定第三方评估人工智能系统测试与开发的详细规范与指南。法案旨在建立独立、可信的外部验证机制,涵盖数据隐私、风险缓解、数据集质量及治理等方面,并设立咨询委员会制定评估机构的认证标准。该法案为非强制性,强调提升人工智能系统可信度与监管透明度。(信息来源:MeriTalk网)
(九)英NCSC发布CAF v4.0,提升关键基础设施防御能力与网络风险管理标准
8月7日消息,英国国家网络安全中心(NCSC)发布网络评估框架第四版(CAF v4.0),旨在帮助关键服务提供商增强网络风险管理和整体韧性。该框架采用结构化方法,支持内部或经认证的外部机构对关键职能部门的网络风险应对能力进行全面评估。CAF v4.0引入四项重要更新:新增章节深入分析攻击者方法与动机;强调软件安全开发与维护;强化安全监控与威胁搜寻能力;扩展人工智能相关网络风险的覆盖范围。(信息来源:IndustrialCyber网)
(十)俄罗斯联邦数字发展、通信和大众传媒部拟禁用外国云服务
8月8日消息,俄罗斯联邦数字发展、通信和大众传媒部提议自2027年9月1日起,禁止在信息系统中使用亚马逊AWS、微软Azure和谷歌云等外国云服务及软件,存储和处理个人数据。此禁令主要针对大型企业和政府机构,不影响中小企业和个人,旨在防范数据泄露风险,强化数据本地化保护。该措施将分阶段实施,相关法律草案预计2026年5月出台。目前,政府机构已于2024年9月起优先使用国内托管服务。根据俄国家“数据经济”项目,2030年前关键行业80%以上组织将采用国产软件。此举旨在推动俄罗斯云计算产业发展,减少对外依赖,应对地缘政治风险。(信息来源:SecurityLab网)
(十一)韩国发布《生成式人工智能开发与应用个人数据处理指南》
8月6日,韩国个人信息保护委员会发布《生成式人工智能开发与应用个人数据处理指南》,重点关注三个方面:一是将生成式人工智能开发与应用的生命周期划分为4个阶段,并提出各阶段需确认的最基本的安全措施。二是针对在生成式人工智能开发及应用过程中不确定性较高的问题,基于个人信息委员会的政策及执行案例提出具体解决方案。三是反映了与人工智能代理、知识蒸馏、机器学习等生成式人工智能开发及应用相关的最新技术动向和研究成果。该《指南》将根据未来技术的飞速发展及国内外个人信息保护政策的变化持续更新。(信息来源:赛博研究院)
(十二)2025年东盟人工智能峰会在马来西亚举行
8月12日至13日,马来西亚吉隆坡举办2025年东盟人工智能马来西亚峰会。此次峰会作为一个协调国家战略、调整数据治理标准、促进跨境创新机会的平台,讨论涉及人工智能主权、创新、监管协调、数字公共基础设施、人才发展等议题。峰会强调整个地区的经验,促进公私伙伴关系,加强东盟的集体人工智能能力。中国与东盟各国代表围绕人工智能技术应用、产业协同、生态共建等议题展开讨论。(信息来源:东盟官网)
(十三)APEC数字和人工智能部长级会议在韩国仁川举行
8月4日,亚太经合组织(APEC)数字和人工智能部长级会议在韩国仁川举行,与会各国负责电信、信息通信技术及数字政策的部长共同发布联合声明,概述了亚太经合组织经济体在推进负责任的数字化转型和可信人工智能发展方面的集体承诺,强调要以负责任态度抓住机遇,应对挑战,为区域可持续发展增添强劲动力。联合声明主要明确三大关键行动领域:一是促进数字与人工智能创新以应对社会经济挑战,二是全面提升全民数字连接,三是构建安全可信的数字与人工智能生态系统。(信息来源:赛博研究院)
二、数据前沿快讯
(十四)水利部发布《水利重要数据安全保护要求》等4项水利行业标准
8月6日消息,水利部发布《水利电子证照 第1部分:基本技术要求》《水利电子证照 第2部分:河道采砂许可证》《水利水电工程移民安置验收规程》《水利重要数据安全保护要求》4项水利行业标准,将于11月1日起实施。《水利重要数据安全保护要求》是新制订的水利行业标准,共9章。主要内容包括基本原则、重要数据识别和安全保护框架、数据安全管理、数据安全技术、数据安全运营等,适用于指导水利部、流域管理机构、地方水行政主管部门、水利工程管理单位等各级水利部门开展重要数据安全保护建设和监督管理;将为各级水利部门开展重要数据安全保护工作提供技术支撑,对维护水利数据安全、保障数字孪生水利建设具有重要作用。(信息来源:中国水利网)
(十五)全国数标委发布数据基础设施、可信数据空间共6项技术文件意见稿,并向社会公开征求意见
8月11日,全国数据标准化技术委员会发布数据基础设施3项技术文件(《数据基础设施 区域:行业功能节点技术要求(征求意见稿)》《数据基础设施 接入管理(征求意见稿)》《数据基础设施 安全能力通用要求(征求意见稿)》)、可信数据空间3项技术文件(《可信数据空间 数字合约技术要求(征求意见稿)》《可信数据空间 使用控制技术要求(征求意见稿)》《可信数据空间 技术能力评价规范(征求意见稿)),并公开征求意见。其中,数据基础设施算力安全性应满足以下要求:一是提供计算资源的安全隔离机制,支持通用算力、智能算力、超级算力等多元异构算力的安全协同。二是在实现跨平台、跨层级、跨区域的算力资源统一调度时,应确保调度指令和过程的安全,防止算力资源被劫持或滥用,以保障算力资源的科学布局与东西部算力的安全协同。三是对计算任务采取严格身份认证、访问控制和数据加密,确保计算任务的安全性和隐私性。意见反馈截止日期为8月24日前。(信息来源:全国数标委)
(十六)汽车标委发布推荐性国家标准《智能网联汽车数据安全管理体系规范》和《汽车数字钥匙系统技术规范》的征求意见稿
8月11日消息,全国汽车标准化技术委员会发布《智能网联汽车数据安全管理体系规范》和《汽车数字钥匙系统技术规范》的征求意见稿。《智能网联汽车数据安全管理体系规范》规定了组织的汽车数据安全管理、相关方汽车数据安全活动管理、汽车数据全生命周期管理、汽车数据安全监测与处置、汽车数据安全工程、汽车数据安全风险评估等要求,描述了相应的检验方法等;同时要求建立数据安全档案,证明其功能组件符合安全目标。《汽车数字钥匙系统技术规范》规定了汽车数字钥匙系统(含物理载体、应用程序、车载模块、服务器)的技术要求及试验方法。(信息来源:科技与竞争法律评论)
三、网安事件聚焦
(十七)巴基斯坦石油公司遭勒索软件攻击致运营受阻
8月11日消息,巴基斯坦石油公司(PPL)遭勒索软件攻击,导致IT系统瘫痪、财务运营暂停,并出现大规模数据外泄。PPL是巴基斯坦能源领域的龙头企业,供应全国逾20%的天然气,并生产原油、液化天然气和液化石油气。暗网论坛BF账号“yyy32111”发帖称已入侵PPL并泄露约1TB内部数据,内容包括Petrel Studio勘探数据、Sui与Adhi油气田生产与运营计划、合同文件、财务资料及官方报告。首批公布的样本文件包括7个Excel表格和1张图片,经核实确系PPL内部文件。PPL官网发布消息,称内部检测到勒索软件入侵,已立即启动内部网络安全协议,并暂停部分非关键IT服务以防扩散。截至目前,巴基斯坦国家网络安全监管机构尚未对该事件做出公开回应。(信息来源:安全内参)
(十八)美联邦法院电子案件归档系统遭大规模攻击,法院线人身份等敏感信息疑遭泄露
8月6日消息,美联邦法院电子案件归档系统遭大规模网络攻击,可能导致多个州刑事案件机密线人身份、密封起诉书、逮捕令等敏感信息泄露,影响到司法系统的核心案件管理系统,包括案件管理/电子案件档案系统及公众法院电子记录访问系统,但未波及最高等级保护系统。此次事件正在调查中,攻击者尚不明确。(信息来源:Politico网)
(十九)黑客组织利用伪造法院传票对乌克兰国防部门发动网络间谍攻击
8月6日消息,乌克兰计算机应急响应小组(CERT-UA)追踪编号为UAC-0099的黑客组织对该国政府、军事和国防部门进行新一轮网络间谍活动。黑客组织发送伪装成乌克兰法院的虚假传票邮件,诱导目标用户下载包含恶意软件的文件,并部署Matchwok后门实现远程命令执行,通过Dragstare窃取浏览器密码、Cookie和桌面文件。CERT-UA尚未公布具体受影响系统数量及数据泄露规模,但称此次攻击的策略和目标模式类似于俄罗斯黑客之前的行动攻击。(信息来源:TheRecord网)
(二十)思科遭语音钓鱼攻击,用户资料被窃取
8月5日消息,思科公司(Cisco)确认其一名员工遭语音钓鱼攻击,导致黑客未经授权访问第三方云端客户关系管理系统,并窃取Cisco.com注册用户的基本资料(用户姓名、组织名称、实际地址、Cisco分配的用户ID、电子邮件地址、电话号码及相关账户元数据)。此次事件未涉及密码、财务数据或公司机密,其他内部系统及产品服务未受影响。思科安全团队已终止攻击者访问权限,并展开全面调查。(信息来源:CyberSecurityNews网)
(二十一)全球超120万个医疗设备系统数据暴露,中国亦受影响
8月9日消息,欧洲网络安全公司Modat最新研究发现,全球超120万联网医疗设备和系统暴露在互联网上,患者数据面临泄露风险。受影响设备涵盖MRI、CT、X光、血液检测、医院管理系统等70多种类型,主要分布在美国(17.4万+)、南非(17.2万+)、澳大利亚(11.1万+)、巴西、德国等地。中国亦受影响,预计数量为1-2万个。Modat指出,暴露原因多为配置错误、不安全的管理设置、默认或弱密码以及未打补丁漏洞。部分医疗图像及患者个人信息可通过开放互联网被直接访问,严重侵犯隐私安全。(信息来源:安全内参)
(二十二)法国第三大运营商遭网络攻击,640万客户数据被泄露
8月7日消息,法国电信巨头布依格电信公司遭网络攻击, 640万个客户账户的个人数据被未授权访问。目前攻击方式尚未披露,但布依格表示已采取必要措施。事件已上报法国数据保护监管机构 CNIL,并向司法机关提交了正式投诉。布依格电信是法国第三大移动运营商,拥有超过1800万移动用户和420万光纤客户。(信息来源:TheRecord网)
(二十三)谷歌确认Salesforce CRM实例数据遭泄露
8月9日消息,谷歌确认其一个用于管理潜在广告客户沟通的企业Salesforce CRM实例数据遭泄露,包括公司名称、电话号码及销售代理联系备注在内的基本商业联系信息,但支付信息及其广告产品的数据未受影响。此次攻击由名为ShinyHunters的威胁组织实施。该组织长期针对Salesforce客户发动数据窃取攻击。通过社会工程诱骗员工,植入恶意OAuth应用,获取Salesforce环境控制权,随后下载数据库并勒索谷歌。谷歌安全团队和相关机构正在积极应对此事件。(消息来源:BleepingComputer网)
(二十四)法航-荷航集团披露其客户服务平台遭网络攻击,导致客户数据泄露
8月7日消息,欧洲航空巨头荷兰皇家航空(KLM)及其母公司法航-荷航集团使用的第三方客户服务平台遭网络攻击,导致数百万客户部分个人数据遭泄露,包括客户姓名、电子邮件地址、电话号码、常旅客奖励信息及最近交易记录,但财务信息和更敏感的个人数据未被影响。法航-荷航已切断攻击者对受感染系统的访问,强调内部网络系统未受攻击影响,并已向相关监管机构报告。此次事件疑与勒索软件组织ShinyHunters针对Salesforce云平台发起的系列数据泄露攻击有关。该组织通过语音钓鱼和社会工程手段侵入多个知名企业的系统,包括阿迪达斯、澳洲航空、路易威登、香奈儿等。(消息来源:BleepingComputer网)
四、网安风险警示
(二十五)工信部CSTIS平台发布关于防范BERT勒索软件的风险提示
8月11日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)发布紧急监测通告,具备跨平台攻击能力的BERT勒索软件持续活跃,医疗健康、科技及活动服务行业面临严峻威胁,业务中断风险剧增。该恶意软件通过钓鱼邮件或篡改软件包渗透系统。在Windows环境中,攻击者利用PowerShell加载器禁用Defender、防火墙及UAC等关键防护,通过仿冒网站、GitHub恶意仓库等渠道投放病毒载荷。一旦攻击成功,BERT将强行终止Web与数据库服务,使用AES算法加密文件,并留下勒索信。在Linux/ESXi平台,它更能启动50线程加速加密,并强制关闭ESXi虚拟机,彻底瘫痪业务恢复能力。建议相关单位及用户立即组织排查,及时更新防病毒软件。(信息来源: 网络安全威胁和漏洞信息共享平台)
(二十六)ADOdb SQLite3驱动存在SQL注入漏洞
8月5日消息,ADOdb SQLite3驱动存在SQL注入漏洞CVE-2025-54119(CVSS 评分10.0),影响5.22.10之前的版本。攻击者可通过未正确转义的表名参数,在metaColumns等方法中注入SQL语句,执行任意数据库操作。该漏洞利用门槛低且影响广泛,建议用户立即升级至修复版本,或临时严格过滤输入参数以降低风险。(信息来源:Delta Insights)
(二十七)Adobe AEM Forms 修复3个高危漏洞
8月6日消息,Adobe 针对 Java EE 上的 Adobe Experience Manager (AEM) Forms 发布带外安全更新,修复3个严重漏洞,其中CVE-2025-54253(CVSS评分8.6)源于 Struts2 开发模式错误配置,允许攻击者通过 OGNL 表达式在 HTTP 请求中注入命令,直接访问管理界面。CVE-2025-54254(CVSS评分10.0)利用 SOAP 身份验证组件缺乏XXE 防护的缺陷,可读取本地敏感文件。CVE-2025-49533(CVSS评分9.8)存在于 FormServer 模块,因反序列化未经验证的数据,攻击者可植入并执行恶意负载,实现系统完全接管。上述漏洞可在无需身份验证的情况下远程执行代码,影响政府、企业及金融机构。建议用户立即安装补丁,或将 AEM Forms 与外部网络隔离。(信息来源:SecurityLab网)
(二十八)趋势科技Apex One存在高危命令注入漏洞
8月8日消息,趋势科技发布紧急安全公告,披露其Windows版Apex One管理控制台中存在2个高危命令注入漏洞,CVSS评分均为9.4。CVE-2025-54948是趋势科技Apex One管理控制台漏洞,未经身份验证的远程攻击者可上传恶意代码并在受影响系统上执行命令;CVE-2025-54987漏洞本质相同,但针对不同的CPU架构。攻击者可利用上述漏洞完全控制系统,目前至少一个漏洞已遭在野利用。趋势科技已发布短期修复工具FixTool_Aug2025,建议用户立即更新。(信息来源:汇能云安全)
(二十九)OpenAI的ChatGPT Connectors功能中存在“零点击”漏洞
8月9日消息,Zenity网络安全研究团队披露,OpenAI的ChatGPT Connectors功能中存在严重“零点击”漏洞。攻击者无需额外操作,仅凭上传一个恶意文档,即可从受害者连接的Google Drive账户自动窃取敏感信息,并借助ChatGPT图像渲染功能,将窃取数据作为参数隐匿于图像URL,向攻击者控制的服务器发送请求,绕过OpenAI的安全检测。不仅限于Google Drive,任何集成的第三方应用(如GitHub、SharePoint、OneDrive等)均存在风险。OpenAI已采取缓解措施,建议企业加强AI连接器权限控制,并强化网络层面异常访问检测。(消息来源:CyberSecurityNews网)
(三十)美CISA将谷歌3个漏洞列入KEV目录
8月6日消息,谷歌发布安卓紧急安全更新,修复多项高危漏洞,包括高通组件中的3个严重漏洞:CVE-2025-21479(CVSS评分8.6)为图形模块授权机制缺陷,允许攻击者在GPU微码中执行未经授权的命令并破坏内存。CVE-2025-27038(CVSS评分7.5)为同一模块中的UAF漏洞,可通过Adreno GPU驱动在渲染时触发内存破坏。CVE-2025-21480存在类似高风险问题。其中前2个已被在野利用。上述漏洞已被美网络安全与基础设施安全局(CISA)列入已知利用漏洞(KEV)目录,要求联邦机构在6月24日前完成修补。(信息来源:SecurityLab网)
