Fortinet、Ivanti 和 SAP 發布緊急補丁,修復身份驗證和程式碼執行漏洞2025.12.11資安漏洞分析 Fortinet、Ivanti 和 SAP 三大企業級軟體供應商在 12 月發布的緊急安全更新。這些更新旨在修復多個嚴重缺陷,包括 Fortinet 產品中的加密簽章驗證不當漏洞(CVSS 9.8)、Ivanti Endpoint Manager (EPM) 中的儲存型 XSS 漏洞(CVSS 9.6),以及 SAP Solution Manager 中的程式碼注入漏洞(CVSS 9.9)。這些漏洞如果被利用,可能導致未經身份驗證的攻擊者繞過安全機制或在管理員會話中執行任意程式碼,對企業網路和核心業務系統構成致命威脅。
新型Mirai殭屍網路型號Broadside透過TBK DVR設備瞄準海上物流2025.12.10裝置漏洞分析 Cydome 網路安全團隊發現的新型 Mirai 殭屍網路變種「Broadside」。該變種鎖定海運物流產業,利用 TBK DVR 設備的已知漏洞 (CVE-2024-3721) 進行大規模感染。報告強調 Broadside 的複合式威脅,其不僅執行高速率 DDoS 攻擊,更採用定制 C2 協議與獨特模組,旨在竊取系統憑證、進行橫向移動,將受感染設備從單純的殭屍網路轉變為戰略立足點。內容涵蓋該威脅的技術特徵、潛在危害,並提供一套針對海事 IoT 環境的緩解與防禦建議。
Fortinet警告FortiCloud SSO登入認證繞過有嚴重漏洞2025.12.10資安漏洞解析 Fortinet 產品線(FortiOS、FortiWeb、FortiProxy、FortiSwitchManager)中發現的兩個嚴重漏洞 CVE-2025-59718 和 CVE-2025-59719。這些漏洞允許攻擊者透過惡意構建的 SAML 訊息,利用加密簽章驗證弱點,繞過 FortiCloud SSO 身份驗證,從而未經授權存取管理介面。
Ivanti 警告稱,Endpoint Manager 存在嚴重程式碼執行缺陷2025.12.10資安漏洞解析 IT 軟體公司 Ivanti 針對其 Endpoint Manager (EPM) 解決方案中發現的嚴重漏洞 CVE-2025-10573 發布的警告。該漏洞允許未經身份驗證的遠端攻擊者,透過低複雜度的跨站腳本 (XSS) 攻擊,在管理員介面上執行任意 JavaScript 程式碼。
Adobe 修復了近 140 個漏洞2025.12.10資安漏洞Adobe 在最新安全更新中修復了近 140 個漏洞,涵蓋 ColdFusion 和 Experience Manager (AEM) 等核心產品。報告聚焦 ColdFusion 中多個可導致任意程式碼執行的嚴重漏洞(CVSS 達 9.1),包括危險檔案上傳和反序列化缺陷。
2025年12月第一週 資訊安全威脅情資2025.12.08資安風險本報告彙整 2025 年 11 月至 12 月間重大資安事件,包含假冒 Calendly 會議邀請劫持 Google Workspace、瀏覽器擴充功能供應鏈滲透、GitLab 公開程式碼庫洩漏超過 17,000 個金鑰,以及攻擊者欺騙 AI 系統的新手法。提供企業風險評估與防護措施參考,協助強化雲端、瀏覽器與 AI 安全。
Apache Tika 存在嚴重 XXE 漏洞,需要緊急修復2025.12.08資安漏洞Apache Tika中發現一個極為嚴重的XML外部實體(XXE)注入漏洞(CVE-2025-66516),CVSS評分高達10.0。此漏洞影響tika-core、tika-pdf-module和tika-parsers等多個模組,允許攻擊者透過惡意構造的PDF檔案執行攻擊。本文詳述漏洞範圍、與先前CVE-2025-54988的關係,並敦促使用者立即升級至修復版本。
WebXR漏洞影響40億Chromium用戶,立即更新瀏覽器2025.12.05資安漏洞由於WebXR功能存在一個影響全球七成以上瀏覽器市場份額的嚴重漏洞(CVE-2025-12443),本文呼籲所有Chromium核心瀏覽器用戶立即更新至安全版本,以保護敏感資料。