WebXR漏洞影響40億Chromium用戶,立即更新瀏覽器2025.12.05資安漏洞由於WebXR功能存在一個影響全球七成以上瀏覽器市場份額的嚴重漏洞(CVE-2025-12443),本文呼籲所有Chromium核心瀏覽器用戶立即更新至安全版本,以保護敏感資料。
OpenAI 編碼代理程式中的漏洞可能使開發者更容易遭受攻擊2025.12.05資安漏洞OpenAI的Codex CLI中一個關鍵漏洞(CVE-2025-61260)已被修復。該漏洞允許攻擊者透過在程式碼儲存庫中植入惡意配置檔案,在開發者工作流程中觸發命令執行,構成隱蔽的供應鏈威脅。
React 和 Node.js 中存在最高嚴重性漏洞,已修復,請盡快更新2025.12.05資安漏洞React開發團隊已修復React伺服器元件(RSC)中的一個最高嚴重性漏洞(CVE-2025-55182),該漏洞允許未經身份驗證的攻擊者執行遠端程式碼,並廣泛影響Next.js、Waku等依賴框架。
Apache Tika 存在嚴重 XXE 漏洞,需要緊急修復2025.12.08資安漏洞Apache Tika中發現一個極為嚴重的XML外部實體(XXE)注入漏洞(CVE-2025-66516),CVSS評分高達10.0。此漏洞影響tika-core、tika-pdf-module和tika-parsers等多個模組,允許攻擊者透過惡意構造的PDF檔案執行攻擊。本文詳述漏洞範圍、與先前CVE-2025-54988的關係,並敦促使用者立即升級至修復版本。
2025年12月第一週 資訊安全威脅情資2025.12.08資安風險本報告彙整 2025 年 11 月至 12 月間重大資安事件,包含假冒 Calendly 會議邀請劫持 Google Workspace、瀏覽器擴充功能供應鏈滲透、GitLab 公開程式碼庫洩漏超過 17,000 個金鑰,以及攻擊者欺騙 AI 系統的新手法。提供企業風險評估與防護措施參考,協助強化雲端、瀏覽器與 AI 安全。
新型Mirai殭屍網路型號Broadside透過TBK DVR設備瞄準海上物流2025.12.10裝置漏洞分析 Cydome 網路安全團隊發現的新型 Mirai 殭屍網路變種「Broadside」。該變種鎖定海運物流產業,利用 TBK DVR 設備的已知漏洞 (CVE-2024-3721) 進行大規模感染。報告強調 Broadside 的複合式威脅,其不僅執行高速率 DDoS 攻擊,更採用定制 C2 協議與獨特模組,旨在竊取系統憑證、進行橫向移動,將受感染設備從單純的殭屍網路轉變為戰略立足點。內容涵蓋該威脅的技術特徵、潛在危害,並提供一套針對海事 IoT 環境的緩解與防禦建議。
Fortinet警告FortiCloud SSO登入認證繞過有嚴重漏洞2025.12.10資安漏洞解析 Fortinet 產品線(FortiOS、FortiWeb、FortiProxy、FortiSwitchManager)中發現的兩個嚴重漏洞 CVE-2025-59718 和 CVE-2025-59719。這些漏洞允許攻擊者透過惡意構建的 SAML 訊息,利用加密簽章驗證弱點,繞過 FortiCloud SSO 身份驗證,從而未經授權存取管理介面。
Ivanti 警告稱,Endpoint Manager 存在嚴重程式碼執行缺陷2025.12.10資安漏洞解析 IT 軟體公司 Ivanti 針對其 Endpoint Manager (EPM) 解決方案中發現的嚴重漏洞 CVE-2025-10573 發布的警告。該漏洞允許未經身份驗證的遠端攻擊者,透過低複雜度的跨站腳本 (XSS) 攻擊,在管理員介面上執行任意 JavaScript 程式碼。