CISA警告:華碩更新工具存在被利用的漏洞2025.12.19資安漏洞解析美國 CISA 近期列入已知利用漏洞目錄的華碩 Live Update 嚴重漏洞。分析該供應鏈攻擊的技術手法、受影響規模及 CISA 對聯邦機構的強制要求,並針對台灣企業提供軟體生命週期管理與防禦建議。
思科警告稱,未修補的 AsyncOS 零日漏洞可能在攻擊中被利用2025.12.18資安漏洞本報告針對思科(Cisco)近期披露的 AsyncOS 最高嚴重性零日漏洞進行深度研究。分析中國背景組織 UAT-9686 如何利用垃圾郵件隔離功能漏洞植入 AquaShell 等惡意軟體,並提供詳細的緩解措施、恢復流程及企業級資安強化建議。
SonicWall 警告稱,SMA1000 存在新的零日漏洞,可能已被攻擊者利用2025.12.18資安漏洞深入剖析 SonicWall SMA1000 設備近期爆發的零日漏洞。分析駭客如何串聯本地權限提升漏洞 (CVE-2025-40602) 與反序列化漏洞 (CVE-2025-23006) 達成未經身份驗證的遠端程式碼執行,並提供企業級修復建議與防禦策略。
JumpCloud遠端協助漏洞使用戶能夠完全控制公司設備2025.12.17資安漏洞針對 JumpCloud Remote Assist for Windows 代理程式中發現的重大漏洞 CVE-2025-34352 進行深度分析。此漏洞允許普通用戶實現永久性的完整設備控制,對全球超過 18 萬個組織的 IT 基礎設施構成直接威脅。
駭客利用新近修復的Fortinet身份驗證繞過漏洞2025.12.17資安漏洞Fortinet 多項產品(FortiOS, FortiProxy, FortiWeb 等)中新發現的兩個嚴重 FortiCloud SSO 認證繞過漏洞 CVE-2025-59718 與 CVE-2025-59719 已被駭客積極利用
FreePBX 修復了關鍵的 SQL 注入、檔案上傳和 AUTHTYPE 繞過漏洞2025.12.16裝置漏洞解析 FreePBX 及其商業模組中發現的嚴重認證繞過漏洞 CVE-2025-45579。該漏洞允許未經授權的遠端攻擊者完全繞過管理員登入機制,進而獲取管理員權限並執行遠端代碼。報告強調該漏洞對企業 VoIP 通訊系統構成的極高風險,並提供緩解措施及補丁資訊。
2025年12月第二週 資訊安全威脅情資2025.12.15資安風險整理2025年12月第二週資安威脅情資:涵蓋VS Code擴充功能惡意程式、CastleLoader Python載入器繞過防護、ConsentFix攻擊Azure CLI帳戶劫持、Docker Hub大規模憑證洩漏,以及Shanya Packer隱藏EDR殺手。
Nozomi 發現 CLICK Plus PLC 中存在多個漏洞,影響無線協定和工作站軟體2025.12.15裝置漏洞Nozomi Networks Labs 近期揭露了 AutomationDirect CLICK Plus PLC 系列中的七個嚴重漏洞,涉及專有的 UDP 通訊協定、Wi-Fi/藍牙介面及程式設計工作站軟體。本深度研究報告旨在全面解析這些漏洞的技術細節、攻擊鏈潛力及其對關鍵工業運營的實質威脅,並整理了官方修補建議與業界資產防護策略,以協助資產所有者強化工業網路的縱深防禦。