Apache Tika 存在嚴重 XXE 漏洞,需要緊急修復2025.12.08資安漏洞Apache Tika中發現一個極為嚴重的XML外部實體(XXE)注入漏洞(CVE-2025-66516),CVSS評分高達10.0。此漏洞影響tika-core、tika-pdf-module和tika-parsers等多個模組,允許攻擊者透過惡意構造的PDF檔案執行攻擊。本文詳述漏洞範圍、與先前CVE-2025-54988的關係,並敦促使用者立即升級至修復版本。
Fortinet警告FortiCloud SSO登入認證繞過有嚴重漏洞2025.12.10資安漏洞解析 Fortinet 產品線(FortiOS、FortiWeb、FortiProxy、FortiSwitchManager)中發現的兩個嚴重漏洞 CVE-2025-59718 和 CVE-2025-59719。這些漏洞允許攻擊者透過惡意構建的 SAML 訊息,利用加密簽章驗證弱點,繞過 FortiCloud SSO 身份驗證,從而未經授權存取管理介面。
Ivanti 警告稱,Endpoint Manager 存在嚴重程式碼執行缺陷2025.12.10資安漏洞解析 IT 軟體公司 Ivanti 針對其 Endpoint Manager (EPM) 解決方案中發現的嚴重漏洞 CVE-2025-10573 發布的警告。該漏洞允許未經身份驗證的遠端攻擊者,透過低複雜度的跨站腳本 (XSS) 攻擊,在管理員介面上執行任意 JavaScript 程式碼。
Adobe 修復了近 140 個漏洞2025.12.10資安漏洞Adobe 在最新安全更新中修復了近 140 個漏洞,涵蓋 ColdFusion 和 Experience Manager (AEM) 等核心產品。報告聚焦 ColdFusion 中多個可導致任意程式碼執行的嚴重漏洞(CVSS 達 9.1),包括危險檔案上傳和反序列化缺陷。
700 多個自託管的 Git 倉庫遭受零時差攻擊,短期內無法修復2025.12.11資安漏洞探討一款廣泛使用的自架 Git 服務 Gogs 正面臨的嚴峻安全危機——一個追蹤編號為 CVE-2025-8110 的零日漏洞正被攻擊者主動大規模利用。該漏洞允許未經授權的用戶透過巧妙繞過先前修復的安全措施,在伺服器上實現遠端程式碼執行 (RCE)。
.NET SOAPwn 漏洞為過惡意WSDL檔案寫入和遠端程式碼執行開啟了方便之門2025.12.11資安漏洞分析 .NET Framework 中的 SOAPwn(無效型別轉換)漏洞,揭示攻擊者如何濫用 SOAP 代理和惡意 WSDL 檔案,在 Barracuda RMM 和 Ivanti EPM 等企業應用中實現遠端程式碼執行 (RCE) 和任意文件寫入,對企業安全構成極高威脅。
警告:WinRAR漏洞CVE-2025-6218正遭受多個威脅組織的攻擊2025.12.11資安漏洞解析 WinRAR 的 CVE-2025-6218 漏洞如何被 GOFFEE、Bitter 和 Gamaredon 等駭客集團主動利用,透過惡意檔案實現遠端程式碼執行與系統持久化。
Fortinet、Ivanti 和 SAP 發布緊急補丁,修復身份驗證和程式碼執行漏洞2025.12.11資安漏洞分析 Fortinet、Ivanti 和 SAP 三大企業級軟體供應商在 12 月發布的緊急安全更新。這些更新旨在修復多個嚴重缺陷,包括 Fortinet 產品中的加密簽章驗證不當漏洞(CVSS 9.8)、Ivanti Endpoint Manager (EPM) 中的儲存型 XSS 漏洞(CVSS 9.6),以及 SAP Solution Manager 中的程式碼注入漏洞(CVSS 9.9)。這些漏洞如果被利用,可能導致未經身份驗證的攻擊者繞過安全機制或在管理員會話中執行任意程式碼,對企業網路和核心業務系統構成致命威脅。