网络空间安全动态(202549期)
编者按:网安动向热讯,本期有九点值得关注,一是国家网信办发布《国家电子政务发展报告(2014—2024年)》;二是国家网信办就《人工智能拟人化互动服务管理暂行办法(征求意见稿)》公开征求意见;三是国家市场监督管理总局、国家互联网信息办发布关于变更个人信息出境认证依据标准的公告;四是国家网信办发布关于报送未成年人个人信息保护合规审计情况的公告;五是美太空军新电子战中心支持混合运用全球部署的反卫电子战系统;六是美NIST将启动人工智能经济安全双中心计划;七是美国国会提议组建国家安全与国防人工智能研究院。八是欧盟网络安全局公开征集两份草案反馈,助力软件供应链安全建设;九是北约合作网络防御卓越中心发布北约国家网络部队演变报告。
数据前沿快讯,本期有四点建议关注:一是国家数据局印发《关于加强数据科技创新的实施意见》;二是国家数据局就《关于培育数据流通服务机构 加快推进数据要素市场化价值化的意见(征求意见稿)》公开征求意见;三是工信部、国家数据局等四部门联合印发《汽车行业数字化转型实施方案》;四是国家金融监督管理总局发布《银行业保险业数字金融高质量发展实施方案》。
网安事件聚焦,本期有两方面内容建议关注:一是勒索软件攻击数量持续攀升,赎金逐年增高,企业和组织成主要受害者。本期介绍:罗马尼亚最大燃煤电力生产商遭勒索软件攻击;攻击者利用Word和PDF文档攻击以色列多个组织机构;勒索软件组织入侵美汽车制造商系统并窃取1088GB数据;勒索软件组织Lynx攻击美税务咨询公司并窃取数据。二是因第三方供应商导致的数据泄露事件频发,给企业带来巨大损失。本期介绍:美保险巨头Aflac 2265万客户信息被泄露;美凤凰城大学约350万人信息因甲骨文软件漏洞被泄露;大韩航空配餐供应商KC&D遭黑客攻击致3万名员工信息泄露。
网安风险警示,本期有五点建议关注:一是CNCERT:关于NutsBot新型僵尸网络利用React2Shell漏洞传播的风险提示;二是美CISA警告:Digiever NVR漏洞正被活跃利用;三是LangChain Core存在严重的序列化注入漏洞;四是MongoDB zlib压缩协议泄露漏洞遭利用;五是多款蓝牙耳机被曝存在高危漏洞,黑客可借此劫持配对智能手机。
一、网安动向热讯
(一)国家网信办发布《国家电子政务发展报告(2014—2024年)》
12月26日消息,国家网信办发布《国家电子政务发展报告(2014—2024年)》。《报告》坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,系统总结2014年至2024年我国电子政务发展成效和经验,分析面临形势与挑战,提出下一步重点任务,为“十五五”时期推进国家电子政务高质量发展凝聚共识、提供指引。《报告》指出,面向“十五五”,国家电子政务发展面临新形势新要求,要深入贯彻习近平新时代中国特色社会主义思想,认真落实习近平总书记关于网络强国的重要思想,更加注重为民惠民、更加注重智慧协同、更加注重赋能增效、更加注重安全可靠,构建完善全国一体化发展格局,夯实智能集约支撑底座,深化政务数据资源开发利用,提升政务服务普惠化智能化水平,规范引导前沿技术创新应用,强化网络安全屏障,健全人才培养体系,拓展国际合作与交流,推动电子政务发展迈上新台阶。(信息来源:网信中国)
(二)国家网信办就《人工智能拟人化互动服务管理暂行办法(征求意见稿)》公开征求意见
12月27日消息,国家网信办就《人工智能拟人化互动服务管理暂行办法(征求意见稿)》向社会公开征求意见,意见反馈截止时间为2026年1月25日。该暂行办法适用于利用人工智能技术,向中华人民共和国境内公众提供模拟人类人格特征、思维模式和沟通风格,通过文字、图片、音频、视频等方式与人类进行情感互动的产品或者服务(以下称拟人化互动服务)。该暂行办法提出,提供者应当落实拟人化互动服务安全主体责任,建立健全算法机制机理审核、科技伦理审查、信息发布审核、网络安全、数据安全、个人信息保护、反电信网络诈骗、重大风险预案、应急处置等管理制度。提供者应当在拟人化互动服务全生命周期履行安全责任,明确设计、运行、升级、终止服务等各阶段安全要求,及时发现纠正系统偏差、处置安全问题,依法留存网络日志。提供者应当配合网信部门和有关主管部门依法实施的监督检查,并提供必要的支持和协助。(信息来源:国家互联网信息办公室)
(三)工信部公布2026年工信系统10项重点工作
12月27日消息,工信部公布2026年工信系统10项重点工作。一是全力巩固工业经济稳中向好态势。二是持续提升产业链韧性和安全水平。三是加快提升产业科技创新能力。四是优化提升传统产业。五是培育壮大新兴产业和未来产业。六是推动信息化和工业化深度融合,包括启动工业数据筑基行动;加快制造业数字化转型;推动“人工智能+制造”专项行动;深入实施工业互联网创新发展工程以及推进软件产业高质量发展。七是推动工业绿色低碳发展。八是推动信息通信业高质量发展,包括适度超前布局建设新型信息基础设施;加强信息通信行业治理;提升网络与数据安全治理能力以及加大无线电管理力度。九是加强优质企业培育。十是提高行业治理效能。(信息来源:工信微报)
(四)国家市场监督管理总局、国家互联网信息办发布关于变更个人信息出境认证依据标准的公告
12月25日消息,国家市场监督管理总局、国家互联网信息办公室发布关于变更个人信息出境认证依据标准的公告称,GB/T 46068《数据安全技术 个人信息跨境处理活动安全认证要求》国家标准已发布。为贯彻落实《个人信息出境认证办法》,确保个人信息出境认证工作有序实施,现将有关要求明确如下:自本公告发布之日起,《关于实施个人信息保护认证的公告》附件《个人信息保护认证实施规则》中,涉及跨境处理活动的个人信息保护认证依据标准变更为GB/T 35273、GB/T 46068。(信息来源:国家互联网信息办公室)
(五)国家网信办发布关于报送未成年人个人信息保护合规审计情况的公告
12月29日,国家互联网信息办公室发布关于报送未成年人个人信息保护合规审计情况的公告,内容如下:(一)报送要求。根据《未成年人网络保护条例》第三十七条规定,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并向所在地设区的市级网信部门报送合规审计情况。(二)报送时间。处理未成年人个人信息的个人信息处理者,应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。(三)报送方式。未成年人个人信息保护合规审计情况报送工作采用线上方式。(四)法律责任。未按照《中华人民共和国个人信息保护法》《未成年人网络保护条例》《个人信息保护合规审计管理办法》等法律法规规章的规定开展未成年人个人信息保护合规审计并报送合规审计情况的,依照有关法律法规规章的规定处理。(信息来源:网信中国)
(六)工信部发布《关于加快推进国家新型互联网交换中心创新发展的指导意见》
12月30日,工业和信息化部印发《关于加快推进国家新型互联网交换中心创新发展的指导意见》(以下简称《指导意见》)。国家新型互联网交换中心作为重要的新型信息基础设施,通过构建中立、公平、开放的流量集中交换平台,实现不同网络间数据高效流通,对于推动国家互联网架构优化演进、促进区域数字经济高质量发展具有重要意义。《指导意见》以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大和二十届历次全会精神,完整、准确、全面贯彻新发展理念,以构建现代化信息基础设施为主线,以支撑网云算数智深度融合互联为牵引,以优化网络营商环境为重点,统筹优化交换中心建设布局,激发业务创新活力,增强安全保障能力,为发展新质生产力、建设网络强国和数字中国、促进经济社会高质量发展提供坚实支撑。《指导意见》就构建交换中心网络体系、深化交换中心应用创新、健全交换中心监管制度和加强组织实施作出部署。(信息来源:工信部网站)
(七)国家网络身份认证公共服务6项公共安全行业标准获批发布
12月22日,国家网络身份认证公共服务6项公共安全行业标准获批发布,将于2026年5月1日起正式实施。其中,《国家网络身份认证公共服务 通用术语》界定了国家网络身份认证公共服务相关的基础术语、管理术语、业务术语和设备术语。《国家网络身份认证公共服务 认证服务 第1部分:认证因子》界定了国家网络身份认证公共服务中涉及的认证因子类别,给出了认证因子应用。《国家网络身份认证公共服务 认证服务 第2部分:真实身份认证服务接口要求》确立了国家网络身份认证公共服务平台的真实身份认证服务的交互方式和认证模式,规定了真实身份认证服务的接口要求。《国家网络身份认证公共服务 人脸活体图像采集控件技术要求》给出了使用国家网络身份认证公共服务时的人脸活体图像采集控件的构成与连接方式,规定了人脸活体图像采集控件的通用要求、功能要求、性能要求和人脸活体图像数据安全要求。《国家网络身份认证公共服务 安全接入设备技术规范》规定了接入国家网络身份认证公共服务平台使用的安全接入设备的技术要求,以及相应的检测方法。《国家网络身份认证公共服务 个人身份信息处理要求》规定了国家网络身份认证公共服务平台与接入机构应用系统交互过程中个人身份信息处理的总体要求、技术要求和管理要求。(信息来源:公安部网安局)
(八)美太空军新电子战中心支持混合运用全球部署的反卫电子战系统
12月26日消息,美太空军第3任务德尔塔部队称,太空军新设立的太空电子战战术作战中心将提供可大规模发射的远程电子战火力,支持作战部队司令部混合运用在本土和全球战区部署的电子战系统。该中心于2025年9月设立,集成了“赏金猎人”系统和远程模块化终端等电子战系统,支持系统前沿部署、后方远程操控的混合作战模式,支持大规模、高精度、弹性电子战作战,旨在对敌方进行电子战威胁监视,同时确保己方电子战效果高效运用。该司令部在9月还设立了卫星通信作战中心,并计划在2025年底纳入商业和国际伙伴卫星通信能力。两个中心均配备实时情报团队和网络防御系统,以快速应对对手干扰,保持联合任务的互操作性。(信息来源:国防科技要闻)
(九)美NIST将启动人工智能经济安全双中心计划
12月24日消息,美国家标准与技术研究院(NIST)将启动人工智能经济安全双中心计划,投资2000万美元建立两个新的人工智能研究中心:美制造业生产力人工智能经济安全中心和美关键基础设施网络安全人工智能经济安全中心,旨在通过技术评估与解决方案研发,强化人工智能技术在制造业和关键基础设施领域的应用安全性。该计划聚焦于技术安全评估与解决方案交付,通过双中心协同,针对人工智能在制造业中的生产力提升与供应链韧性、以及关键基础设施的网络安全防护等开展风险评估、标准制定和原型验证工作,以应对技术滥用、系统漏洞等挑战,保障国家经济安全。(信息来源:美NIST网站)
(十)美国会提议组建国家安全与国防人工智能研究院
12月29日消息,为加速人工智能技术在全军范围内的应用,美国会正在推动国家安全与国防人工智能研究院的组建。依据美国国会参议员约翰·科宁与泰德·克鲁兹联合提出的《国防人工智能高等院校发展法案》,美战争部将牵头并主导组建国家安全与国防人工智能研究院,整合美军顶级军事学院的人才力量,聚焦国防科技创新、人工智能技术实战化应用及人才培养三大方向,打造军用人工智能研究核心阵地。除组建研究院外,美海军也在同步推进人才培养工作,计划于2026年7月前开设人工智能硕士专业,提升未来军事指挥官的人工智能专业素养。(信息来源:防务快讯)
(十一)欧盟网络安全局公开征集两份草案反馈,助力软件供应链安全建设
12月17日,欧盟网络安全局(ENISA)发布公告,就《软件物料清单全景分析:实施指南草案》与《ENISA软件包管理器安全使用技术咨询草案》两份文件,面向行业利益相关者及相关方发起公开反馈征集,旨在与产品安全和开发领域的专业人士合作,为推动整个生态系统的网络安全提供有意义的指导和支持。其中,《软件物料清单全景分析:实施指南草案》聚焦软件物料清单的落地实施,该草案为不同规模、不同能力水平的组织提供了全面且具实操性的实施指引。《ENISA软件包管理器安全使用技术咨询草案》围绕第三方软件包的常见风险、安全选择与集成规范、依赖漏洞应对等关键内容,为开发人员在全生命周期中安全使用软件包管理器提供指导。两份草案的反馈截止时间均为2026年1月23日23:59(中欧时间)。ENISA表示,两份草案的最终版本预计于2026年第二季度在其官网正式发布。(信息来源:ENISA官网)
(十二)北约合作网络防御卓越中心发布北约国家网络部队演变报告
12月25日消息,北约合作网络防御卓越中心发布题为《北约国家网络部队的演变》的研究报告,阐述了北约网络倡议的历史背景,以及北约在网络部队协调方面的指挥控制,并对北约32个成员国的网络力量发展进行了全面分析,强调它们在各自军事和国防结构中建立、组织和整合网络单位的独特方法论。报告称,随着网络威胁的频率、复杂性和严重性不断增加,北约成员国正加快在其国家武装部队内部建立专门的网络部队,这既满足了国家安全需求,也显著增强了联盟的集体韧性;北约并不直接指挥或管理各成员国的网络部队,而是在协调和制定标准以确保互操作性和集体防御方面发挥着关键作用;在北约的支持下,各成员国网络部队能够共享专业知识、培训和框架,提升自身能力,从而构建统一的网络防御态势。(信息来源:奇安网情局)
二、数据前沿快讯
(十三)国家数据局印发《关于加强数据科技创新的实施意见》
12月27日消息,国家数据局印发《关于加强数据科技创新的实施意见》,《实施意见》提出,到2027年,建成一批具有引领性和支撑性的数据科技创新平台,形成以企业为主体、产学研用深度融合的高效创新机制,初步建立数据驱动的产业创新体系,数据供给、流通、利用、安全等关键技术和设备实现阶段性突破。到2030年,数据领域关键技术达到国际领先水平,数据科技创新和产业生态体系实现整体性跃升,对数据要素市场体系建设形成有力支撑,数据要素对经济社会高质量发展的赋能作用全面显现。《实施意见》就加强技术攻关与高水平应用,培育数据科技创新产业生态和夯实数据科技创新基础支撑等方面提出具体要求。(信息来源:国家数据局)
(十四)国家数据局就《关于培育数据流通服务机构 加快推进数据要素市场化价值化的意见(征求意见稿)》公开征求意见
12月26日消息,国家数据局就《关于培育数据流通服务机构 加快推进数据要素市场化价值化的意见(征求意见稿)》向社会公开征求意见,意见反馈时间为2025年12月26日至2026年1月4日。《意见稿》提出,到2029年底,数据流通服务机构能力显著提升,流通交易形态更加多元,数据产品和服务更加丰富,各类主体供数用数意愿持续增强,全社会数据流通利用水平明显提升。《意见稿》提出,一要明确功能定位。明确各类数据流通服务机构功能定位,推动各尽其能、互有侧重、协同发展,吸引带动更多主体参与数据流通利用。二要提升服务能力。支持数据流通服务机构加快提升服务能力和水平,探索创新数据流通交易模式,加大高质量数据产品和服务供给,促进数据安全合规高效流通交易。三要强化实施保障,包括加强组织领导、强化监督管理、强化数据安全保障等。(信息来源:国家数据局)
(十五)工信部、国家数据局等四部门联合印发《汽车行业数字化转型实施方案》
12月30日,工业和信息化部、教育部、市场监管总局、国家数据局等四部门联合印发《汽车行业数字化转型实施方案》,提出两阶段发展目标:到2027年,数智技术在企业研、产、供、销、服环节深度集成应用,带动企业智能制造成熟度、生产效率等明显提升,行业供给和公共服务体系逐步健全;到2030年,行业整体数智化发展达到较高水平。《实施方案》明确,将实施诊断评估与改进提升行动、汽车零部件中小企业数字化转型赋能行动、典型场景与人工智能应用示范行动、产业主体梯度培育与矩阵构建行动、标准体系完善与互联互通保障行动、关键技术攻关与基础能力强化行动等“六大行动”,涵盖15项重点任务。(信息来源:工信微报)
(十六)国家金融监督管理总局发布《银行业保险业数字金融高质量发展实施方案》
12月26日消息,国家金融监督管理总局发布《银行业保险业数字金融高质量发展实施方案》。方案分为总体要求、工作任务、组织保障和监督管理3个部分,分别从数字金融治理、数字金融服务、数字技术应用、数据要素开发、风险管理和监管数字化智能化转型等方面提出了33项工作任务。主要内容包括:建立健全数字金融治理机制;高质量推进数字金融服务;充分发挥人工智能等新技术创新引领作用;有效激发数据要素潜能;牢牢守住风险底线;高效推动监管数字化智能化转型等。(信息来源:国家金融监督管理总局)
三、网安事件聚焦
(十七)罗马尼亚最大燃煤电力生产商遭勒索软件攻击
12月26日,罗马尼亚最大燃煤电力生产商奥尔特尼亚能源公司确认遭勒索软件Gentlemen攻击,其大量文件被加密,企业资源规划系统、电子邮箱及官方网站等核心信息技术系统均受干扰,公司部分业务运转被波及,但全国能源供应未受影响。该公司在检测到攻击后第一时间对受影响系统进行隔离,并向罗马尼亚国家网络安全局、能源部等相关部门通报情况。目前,信息技术团队已通过备份数据恢复各项服务,事件影响范围以及是否存在数据泄露情况仍在调查中。(信息来源:HackerNews网)
(十八)攻击者利用Word和PDF文档攻击以色列多个组织机构
12月25日消息,安全研究人员发现一场代号为Operation IconCat的网络攻击活动,攻击者利用伪装成合法安全工具的恶意文档,针对以色列各类机构发起攻击。此次攻击活动始于11月份,目前已致以色列信息技术、人力资源服务及软件开发等多个行业的多家企业受影响。攻击者伪造酷似Check Point、SentinelOne等知名杀毒软件厂商的Word和PDF文档诱导用户打开文件,在用户不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。研究人员建议组织将此类攻击活动列为最高优先级威胁,并立即采取补救措施。(信息来源:CyberSecurityNews网)
(十九)勒索软件组织入侵美汽车制造商系统并窃取1088GB数据
12月25日消息,勒索软件组织Everest在暗网发帖,称已入侵美汽车制造商克莱斯勒的IT系统并窃取1088GB数据,并发布被盗屏幕截图,包含内部电子表格、客户互动日志详列、预约处理及车辆状态更新等。据悉,此次被窃数据为2021年至2025年与运营相关的完整数据集,其中包含超105GB的Salesforce信息,涉及客户、经销商及内部代理的海量个人与运营记录。此外,内部文件服务器目录涉及经销商网络、汽车品牌、召回计划、FTP路径及内部工具等。Everest声称倒计时结束后会公布完整数据集,并计划发布客户服务互动录音以施压。(信息来源:HackRead网)
(二十)勒索软件组织Lynx攻击美税务咨询公司并窃取数据
12月30日消息,勒索软件组织Lynx宣称,已窃取马萨诸塞州税务咨询公司CSA纳税申报数据和社保号码,目前正等待受害者支付赎金。被盗数据可能包含姓名、社会保障号码、实际居住地址、配偶医疗保险承保协议、个人所得税申报数据、美国税局电子申报签名授权表和企业内部通信记录等,若上述数据被证实真实有效,CSA的客户可能面临钓鱼攻击和身份盗用的风险。截至目前,CSA尚未就此次数据泄露事件做出回应。(信息来源:Cybernews网)
(二十一)美保险巨头Aflac 2265万客户信息被泄露
12月26日消息,美保险巨头Aflac披露一起数据泄露事件,其2265万客户信息遭黑客组织窃取,包括姓名、出生日期、家庭住址、身份证号码、社会保险号码,以及医疗和健康保险信息等。Aflac客户规模约为5000万,目前已通知受影响客户,表示其数据在此次网络攻击中被盗。Aflac是同期遭遇黑客攻击的多家保险公司之一,同期还包括Erie Insurance和Philadelphia Insurance Companies。网络安全专家表示,黑客组织的目标可能是整个保险行业。(信息来源:IT之家)
(二十二)美凤凰城大学约350万人信息因甲骨文软件漏洞被泄露
12月25日消息,美亚利桑那州凤凰城大学确认发生数据泄露事件,由于其使用的甲骨文电子商务套件财务应用程序遭攻击,导致约350万人的个人信息被泄露,其中包括9131名缅因州居民,包括姓名、出生日期、社保号码及银行账号等。据悉,此次攻击是Clop勒索软件组织发起的系列攻击的一部分,该组织利用甲骨文电子商务套件中的CVE-2025-61882零日漏洞实施攻击,目前已波及多个行业的超100家机构。凤凰城大学表示,将为受影响人员提供为期12个月的免费身份信息保护服务,以及一份保额达100万美元的欺诈赔偿保险。(信息来源:安全威胁纵横)
(二十三)大韩航空配餐供应商KC&D遭黑客攻击致3万名员工信息泄露
12月30日消息,大韩航空配餐免税服务公司KC&D遭黑客攻击,存储在该公司企业资源规划服务器中的约3万名大韩航空员工的个人信息(姓名、银行账号)被泄露,大韩航空因此陷入数据安全危机。大韩航空表示,此次事件源于已剥离的第三方合作商,但鉴于涉及员工数据,将对此高度重视,目前正集中全部力量,排查数据泄露的完整范围及具体受影响人员,并已向相关主管部门进行通报,但未指明发起此次攻击的具体黑客组织。(信息来源:安全威胁纵横)
四、网安风险警示
(二十四)CNCERT:关于NutsBot新型僵尸网络利用React2Shell漏洞传播的风险提示
12月30日消息,国家互联网应急中心(CNCERT)与绿盟科技伏影实验室联合监测到黑客利用React2Shell(CVE-2025-55182)漏洞传播僵尸网络NutsBot。该漏洞源于React服务器组件协议层的不安全反序列化缺陷,允许未经认证的攻击者通过构造恶意请求在受影响服务器上执行任意代码,进而实现完全控制、内网渗透或部署恶意软件。NutsBot是一款新型僵尸网络家族,具备传统DDoS攻击能力,并集成了信息窃取、远程命令执行等多重功能,具有较强的隐蔽性、抗干扰能力和持续演进特征。NutsBot近期利用CVE-2025-55182漏洞持续对国内外目标发起攻击,建议相关组织和用户尽快排查,加强防范。(信息来源:CNCERT)
(二十五)美CISA警告:Digiever NVR漏洞正被活跃利用
12月29日消息,美网络安全与基础设施安全局(CISA)已将影响Digiever DS-2105 Pro网络硬盘录像机的命令注入漏洞CVE-2023-52163(CVSS评分8.8)列入“已知被利用漏洞”目录。CISA公告称:“Digiever DS-2105 Pro存在缺失授权漏洞,攻击者可通过time_tzsetup.cgi注入命令,在认证后实现远程代码执行,目前已被用于投递Mirai、ShadowV2等僵尸网络。由于设备已进入终止状态,该漏洞未获得官方补丁,建议用户避免将设备暴露于互联网,并立即修改默认口令。CISA要求联邦机构在2026年1月12日前采取缓解措施或停用该产品,以防范安全风险。(信息来源:美CISA网站)
(二十六)LangChain Core存在严重的序列化注入漏洞
12月29日消息,研究人员发现LangChain Core中存在一个严重漏洞CVE-2025-68664(CVSS评分9.3分),攻击者可利用该漏洞窃取敏感机密信息,甚至通过提示词注入影响大语言模型(LLM)的响应。此外,该漏洞还允许攻击通过提示词注入,在metadata、additional_kwargs或response_metadata等用户可控字段中注入LangChain对象结构。LangChain Core是LangChain生态系统的核心Python包,为构建基于LLM的应用程序提供核心接口和与模型无关的抽象层。鉴于该漏洞的严重性,建议用户尽快升级至已修复版本以获得最佳防护。(信息来源:代码卫士)
(二十七)MongoDB zlib压缩协议泄露漏洞遭利用
12月29日消息,研究人员发现MongoDB Server中存在一个泄露漏洞CVE-2025-14847(CVSS评分8.7),攻击者可利用该漏洞在无需认证的情况下,通过发送特制的压缩数据包,诱使服务器解析时返回未初始化的堆内存,导致内存数据库凭据和用户敏感数据泄露,影响多个MongoDB版本。威胁情报公司Censys警告称,该漏洞正被大规模利用,全球超21万台服务器面临风险。MongoDB是一个开源的NoSQL数据库管理系统,适用于处理大规模数据和动态变化的应用场景。目前,官方已发布修复补丁,建议用户立即更新。(信息来源:IT之家)
(二十八)多款蓝牙耳机被曝存在高危漏洞,黑客可借此劫持配对智能手机
12月30日消息,安全研究人员披露一组影响多款主流蓝牙耳机及耳塞设备的高危漏洞CVE-2025-20700、CVE-2025-20701和CVE-2025-20702。黑客可利用上述漏洞窃听用户通话、盗取敏感数据,甚至直接劫持与之配对的智能手机,还可提取设备的传统蓝牙地址,对设备进行永久性篡改。上述漏洞主要影响搭载Airoha蓝牙系统级芯片的设备。Airoha是蓝牙系统级芯片领域的核心供应商,其产品广泛应用于真无线立体声耳塞设备,索尼、Bose、JBL、Marshall等多家主流音频设备厂商均采用该芯片。目前,部分厂商已发布固件更新,建议受影响用户立即更新。(信息来源:HackerNews网)
