SUSE Rancher修复三大中高危漏洞，最严重漏洞可致集群沦陷

SUSE Rancher安全团队近日修复了影响Rancher Manager的三处漏洞，严重程度从中等到高危不等。这些漏洞可能导致拒绝服务、信息泄露或通过钓鱼攻击窃取令牌，威胁企业Kubernetes

阿基拉勒索软件利用SonicWall SonicOS漏洞实施闪电战式入侵

北极狼安全团队观察到，自2025年7月下旬以来，阿基拉（Akira）勒索软件活动显著增加，攻击者正积极针对SonicWall SSL VPN账户展开攻击。截至2025年9月20日，仍能发现与该攻击活动

XCSSET专攻苹果macOS用户，实现窃密+勒索

微软威胁情报研究人员发现了一个新版本的macOS恶意软件XCSSET，该变种已被用于有限范围的攻击活动中。趋势科技在2020年首次发现该恶意软件，当时它通过Xcode项目传播，并利用两个零日漏洞从目标

为你备好了免费工具包，以及一个7000+资源、永久更新的网安资源包

工具合集免费下载密码工具合集链接：https://pan.quark.cn/s/4b79a04a5e88 漏洞靶场合集链接：https://pan.quark.cn/s/41b4d6be07ed高效办

GitLab高危漏洞可致实例崩溃（CVE-2025-10858、CVE-2025-8014）

GitLab近期披露了多个高危拒绝服务（Denial-of-Service，DoS）漏洞，未经认证的攻击者可利用这些漏洞使自托管 GitLab 实例崩溃。这些漏洞影响 18.4.1、18.3.3 和

一周网安优质PDF资源推荐 | FreeBuf知识大陆

恭喜玲珑安全学员报喜赏金破百万，第七期招生开启！

前言自2024年开班至今，玲珑安全课程的学员捷报频出。据不完全统计，仅报喜的赏金总额突🔥破🔥百🔥万🔥无论是基础扎实的学员连续斩获高危严重漏洞，还是新手小白师傅实现从0到1的突破，帮助他们一步步攻克难题

FreeBuf周报 | Chrome高危类型混淆0-Day漏洞技术分析；微软以AI成功对抗AI

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🪟Chrome高危类型混淆0-Day漏洞（CVE-2025-105

首个恶意MCP服务器现身：通过AI代理窃取电子邮件数据

网络安全研究人员发现首例恶意Model-Context-Prompt（MCP，模型-上下文-提示）服务器在野利用案例。名为postmark-mcp的npm软件包被植入木马，秘密窃取用户电子邮件中的敏感

AI对抗AI：微软成功拦截利用LLM生成混淆代码的网络钓鱼攻击

微软威胁情报中心近日披露了一起凭证钓鱼攻击活动的细节，攻击者很可能利用AI生成的代码增强混淆技术，试图绕过传统防御系统。虽然该攻击最终被拦截，但这一案例表明网络犯罪分子正开始将大语言模型（LLMs）整

网安职业的五大残酷现实；暗网监控实战指南 | 2025网安行业优质播客精选集⑩

01 CISO 暗网监控实战指南从预警到防御行动本期节目：企业信息安全负责人可通过监控暗网实现主动防御，利用早期威胁信号进行预警与响应，结合技术工具与内部日志关联分析，提升整体安全防御能力。02 首席

思科两大0day漏洞同时曝光：ASA/FTD设备VPN缺陷可导致Root权限远程代码执行

思科公司近日发布两则公告及对应补丁，其Secure Firewall Adaptive Security Appliance（ASA）软件和Secure Firewall Threat Defense

NVIDIA修复Megatron-LM AI框架中的高危代码注入漏洞

NVIDIA近日发布重要安全更新，修复其开源项目Megatron-LM（一个广泛应用于AI研究和企业环境的大型语言模型框架）中存在的多个高危漏洞。Part01漏洞概况此次更新涉及四个高危漏洞（CVE编

怎么让挖的XSS更值钱？

平时挖漏洞的时候，XSS 经常被人觉得没啥用。但说实话，漏洞有没有价值，全看你怎么挖，跟漏洞类型关系真不大。 比如有人发现 POST 型 XSS 会被问 "这洞能干嘛"，但其实把它转成 GET 请求，

万兴易修曝出两大高危漏洞，可导致数据泄露以及AI模型被修改

网络安全研究人员在万兴易修中发现两个安全漏洞，可能导致用户隐私数据泄露，并使系统面临人工智能（AI）模型篡改和供应链攻击风险。Part01高危漏洞技术细节趋势科技发现的两个关键漏洞分别为：（CVE-2

Chromium内核浏览器存严重缺陷，攻击者可通过加载任意扩展程序入侵

包括Chrome、Edge和Brave在内的Chromium内核浏览器，通过存储在%AppData%\Google\User Data\Default\Preferences（域加入机器）或Secur

Linux内核ksmbd漏洞允许远程攻击者执行任意代码（CVE-2025-38561）

Part01漏洞概述Linux内核的ksmbd SMB服务器实现中被披露存在一个高危漏洞，可能允许经过身份验证的远程攻击者在受影响系统上执行任意代码。该漏洞编号为CVE-2025-38561，CVSS

一加手机OxygenOS存在权限绕过漏洞，攻击者可窃取短信并绕过MFA保护

Rapid7研究人员披露了一加OxygenOS（一加专为海外市场开发的Android系统）中存在的一个关键权限绕过漏洞，CVE编号CVE-2025-10184。该漏洞允许受影响设备上安装的任何应用程序

2025外滩大会YASA开源发布：打造多语言统一程序分析引擎

开放式统一多语言程序分析产品YASA（Yet Another Static Analyzer ）是一个开源的静态程序分析项目。其核心是定义了一种多语言通用的中间表达——统一抽象语法树（Unified

攻击者利用IMDS服务获取云环境初始访问权限

威胁行为者正在操纵实例元数据服务（Instance Metadata Service，IMDS）——这个旨在安全地为计算实例提供临时凭证的核心组件，以渗透和遍历云基础设施。通过诱导未设防的应用程序查询

Zloader木马再次升级：通过DNS隧道和WebSocket C2实现更隐蔽的攻击

沉寂近两年后，Zloader（又名Terdot、DELoader或Silent Night）携新版本卷土重来，其反分析、混淆及命令控制（C2）能力均显著增强。Zscaler ThreatLabz研究人

Chrome高危类型混淆0-Day漏洞，可导致远程代码执行

Part01漏洞概述Google Chrome浏览器的V8 JavaScript引擎曝出关键类型混淆0-Day漏洞（CVE-2025-10585），这是2025年发现的第六个已被活跃利用的Chrome

蚂蚁集团“切面融合智能”项目获评2025年浙江省网络安全优秀案例、入选2025年人工智能先锋案例

近期，蚂蚁集团“切面融合智能”相关项目接连获得行业认可，“切面融合智能在网络安全领域的应用”获评2025年浙江省网络安全优秀案例，“密态切面融合智能威胁检测系统“入选2025年人工智能先锋案例“AI+

22.2Tbps DDoS攻击再次刷新网络攻击世界纪录

Cloudflare近日宣布成功自动拦截了有史以来最大规模的分布式拒绝服务（DDoS）攻击。这次超大规模攻击峰值达到创纪录的22.2Tbps带宽和每秒106亿个数据包，为网络威胁规模树立了新的危险标杆

Steam游戏成为恶意软件载体，以补丁更新形式入侵玩家电脑

Part01游戏补丁暗藏恶意程序一款针对热门2D平台游戏《BlockBlasters》的看似无害的补丁更新，近期被证实为精心设计的恶意软件攻击活动，导致数百名Steam用户面临数据窃取和系统入侵风险。

Cake工具评测：资产收集能力远超OneForAll，附魔后更是强得无边

前言在红队行动中，资产收集是否全面、是否高效，常常会直接影响后续的工作成效。Cake正是在这方面表现突出的一款工具，帮助我们更好地完成资产收集。要怎么做？只需输入公司名或域名，一键完成自动化资产收集与

数据库成为突破口：勒索软件攻击暴露的Oracle服务器

网Yarix事件响应团队（YIR）发布了一份针对性入侵的深度分析报告，攻击者利用暴露的Oracle数据库调度程序功能获取了企业基础设施的访问权限。Part01攻击始于数据库暴力破解攻击最初表现为针对O

Unicode漏洞“BiDi Swap”十年未修复，仍被用于实施网址欺骗

Varonis威胁实验室团队发布了一份令人警醒的报告，揭露现代浏览器处理混合文本方向时存在的一个持续十年以上的漏洞。这种被称为BiDi Swap的缺陷，允许攻击者伪造看似合法实则暗中重定向受害者的欺诈

攻击者利用GitHub Pages向macOS用户大规模投放窃密木马

网络安全研究人员发现一起针对 macOS 用户的复杂网络攻击活动，攻击者利用 GitHub Pages 分发臭名昭著的 Atomic 窃密木马。该攻击团伙通过搜索引擎优化（SEO）技术，使恶意代码仓库

首款集成GPT-4的恶意软件MalTerminal，可动态生成勒索软件与反向Shell

网络安全研究人员近日发现迄今为止已知最早集成大语言模型（LLM）能力的恶意软件样本。SentinelOne旗下SentinelLABS研究团队将其命名为MalTerminal，相关发现已在LABSco