Grafana 發出最高等級管理員欺騙漏洞警告2025.11.24資安漏洞分析了Grafana Labs對其企業版產品中最高嚴重性漏洞(CVE-2025-41115)發布的警告,該漏洞允許攻擊者將新用戶偽造成管理員或進行權限提升,影響啟用SCIM的12.0.0至12.2.1版本。報告提供了官方修復版本與緩解措施。
美國網(CISA) 警告:Oracle Identity Manager 存在已被積極利用的嚴重零日漏洞2025.11.24資安漏洞美國CISA已將Oracle Identity Manager中一項CVSS評分高達9.8的嚴重漏洞(CVE-2025-61757)添加到已知利用漏洞(KEV)目錄
2025年11月第三週 資訊安全威脅情資2025.11.24資安風險本週資安情資揭示五大高風險情境:成熟型 2FA Phishing 平台讓 MFA 防護失效、Cloudflare 異常導致全球網站中斷、AI 瀏覽器隱藏 API 引發裝置全面掌控、EchoGram 技術穿透 LLM Guardrails、防護失效,以及 D-Link EoL 路由器 RCE 漏洞造成邊界防線崩潰。提供風險評估與應對策略,協助企業強化資安韌性。
微軟強調新推出的智能體人工智慧功能所帶來的安全風險2025.11.25人工智慧微軟在 Windows 11 引入實驗性的「代理工作區」AI 功能以自動化任務,但同時警告其潛在的資安威脅,包括跨提示注入(XPIA)和資料外洩。
Shai Hulud npm 蠕蟲病毒影響供應鏈攻擊中超過 26,000 個程式碼庫2025.11.25資訊安全Shai Hulud npm 蠕蟲病毒於 2025 年 11 月再次大規模爆發,攻擊強度激增百倍,旨在竊取開發者憑證並自我複製。
VSCode Marketplace 上的 Fake Prettier 擴充功能下架了 Anivia Stealer2025.11.25資訊安全網路安全公司 Checkmarx Zero 發現並移除 Visual Studio Code (VSCode) Marketplace 上名為「prettier-vscode-plus」的惡意擴充功能,該程式利用品牌劫持手法散播 Anivia Stealer,專門竊取 Windows 用戶的憑證與敏感資料,並採用高階的記憶體執行和沙箱迴避技術。
ClickFix攻擊利用偽造的Windows更新畫面推送惡意軟體2025.11.25資訊安全ClickFix 是一種高階社交工程攻擊,利用逼真的 Windows 更新畫面欺騙用戶執行剪貼簿指令,並使用隱寫術將 Rhadamanthys 惡意軟體隱藏在 PNG 圖像中。本報告分析其攻擊鏈、規避偵測技術與關鍵防禦策略。