駭客利用 Pandoc CVE-2025-51591 攻擊 AWS IMDS 並竊取 EC2 IAM 憑證2025.09.25資安漏洞雲端安全公司Wiz揭露,駭客正利用Linux工具Pandoc中的SSRF漏洞CVE-2025-51591,意圖滲透AWS IMDS服務竊取EC2執行個體的IAM臨時憑證。
Libraesva ESG 零時差漏洞遭攻擊者利用(CVE-2025-59689)2025.09.25資安漏洞義大利安全公司證實,疑似國家支持的攻擊者利用Libraesva電子郵件安全閘道(ESG)中的零日漏洞CVE-2025-59689(命令注入)發動攻擊。
25 個 MCP 漏洞揭示 AI 代理程式如何被利用2025.09.25人工智慧針對高效能Agentic AI的基礎——模型上下文協定(MCP),人工智慧專家公司Adversa發布了前25大漏洞的全面分析報告,揭示了從提示注入到指令注入等關鍵風險,為IT和資安部門提供防禦Agentic AI攻擊的路線圖。
CSA 推出 SaaS 安全控制框架以降低複雜性2025.09.26法規標準雲端安全聯盟發布新的SaaS安全控制框架(SSCF),旨在協助SaaS客戶自信地駕馭共享責任模式,標準化SaaS平台中面向客戶的安全控制,從而大大減輕配置負擔並降低風險。
微軟警告稱,新的 XCSSET macOS 惡意軟體變種將針對 Xcode 開發者2025.09.26資訊安全微軟威脅情報部門警告,已偵測到針對macOS開發人員的XCSSET惡意軟體新變種,該變種具有增強的瀏覽器攻擊目標、剪貼簿劫持和改進的持久性機制,對開發環境構成嚴重威脅。
中國根據國家網信辦新規要求網路安全事件通報時間提早一小時2025.09.26法規標準中國國家網路資訊辦公室(CAC)建立新的監管制度,要求企業在發生重大網路安全事件時,必須在2025年11月1日生效的法規下,於一小時內完成初步通報,旨在加強國家網路安全防禦並與國際規範接軌。
越南駭客利用虛假版權聲明傳播 Lone None 竊取軟體2025.09.26資訊安全網路安全研究公司Cofense Intelligence追蹤到越南駭客組織Lone None的詐騙活動,該組織利用冒充律師事務所的虛假版權通知,透過DLL側載技術部署「Lone None Stealer」惡意軟體,竊取用戶密碼、信用卡和加密貨幣。
非官方 Postmark MCP npm 悄悄竊取使用者電子郵件2025.09.26軟體工程一個複製GitHub上官方Postmark MCP專案的惡意npm套件,在更新至1.0.16版後,被植入單行程式碼,靜默竊取並轉發約1,500名使用者的所有電子郵件通訊,暴露了AI與MCP環境的高風險性。