1、国家漏洞库CNNVD:关于微软多个安全漏洞的通报
近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞63个,影响到微软产品的其他厂商漏洞7个。微软Microsoft Windows、Microsoft Windows Subsystem for Linux、Microsoft Dynamics 365、Microsoft Nuance PowerScribe、Microsoft Graphics Component等多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
https://www.secrss.com/articles/84990
2、OWASP Top 10安全风险迎来现代化更新,新增两大类别
全球知名的开放式 Web 应用安全项目(OWASP)于近日发布了《2025 年 Web 应用程序十大安全风险(候选版)》,在继承 2021 年版本的基础上,对风险分类进行了重大调整:新增两大类别,优化现有结构,并通过更广泛的数据收集与分析方法反映行业真实态势。这份版本目前开放公众意见征集至11月20日,最终版预计年底发布。
https://www.secrss.com/articles/84908
02.
关键基础设施
1、英国供水行业近两年至少遭受了5起网攻事件
英国版NIS2指令生效后,近两年英国饮用水供应行业近两年上报了5起网攻事件,首次揭示了该国关基设施面临的日益严重的网络威胁全景。
https://www.secrss.com/articles/84680
2、英国关基保护法案启动立法程序
英国政府日前公布了一项新立法,旨在强化全国关键基础设施的网络防御。该法案将根据企业营业额设定罚款,并赋予政府部长在重大网络事件期间采取紧急干预措施的权力。
这项法案名为《网络安全与弹性法案》,要求医疗、能源、水务、交通和数字服务等领域的机构必须遵守强制性安全标准,并在发生重大网络事件后24小时内上报。不遵守规定的企业可能每天面临最高13.2万美元(10万英镑)的罚款,或按年营业额比例处以罚金。
https://www.secrss.com/articles/85009
03.
安全事件
1、美国最大外卖平台DoorDash数据泄露:员工遭遇社工骗局致信息被盗
DoorDash因员工遭遇社交工程骗局导致数据泄露,用户联系信息被盗,引发安全争议。公司延迟通报并称未泄露敏感数据,但专家警告仍存诈骗风险。这是该平台2019年以来的第三次重大安全事件。
https://hackread.com/doordash-data-breach-employee-social-engineering-scam/
2、意大利工业气体巨头SIAD遭勒索攻击,159GB数据疑泄露
与俄罗斯有关联的知名勒索软件组织 Everest Group 近日声称,已从意大利主要工业气体生产商 SIAD 集团窃取159GB 数据,并开始为期8天的公开泄露倒计时。
SIAD 集团成立于1927年,是意大利领先的化工及工业气体企业,生产和分销的气体广泛应用于食品、医疗、汽车、冶金和化工制造等多个行业。其业务还包括液化石油气(LPG)和天然气供应。
https://cybernews.com/security/siad-group-ransomware-attack/
漏洞事件
1、IBM AIX 曝出高危漏洞(CVE-2025-36250,CVSS 10.0):NIM 私钥泄露与目录遍历风险并存IBM披露AIX和VIOS系统四大高危漏洞,包括远程命令执行(CVSS 10.0)、私钥泄露和目录遍历,攻击者可控制主机。受影响版本为AIX 7.2/7.3及VIOS 3.1/4.1,需尽快安装补丁。
https://securityonline.info/critical-ibm-aix-rce-cve-2025-36250-cvss-10-0-flaw-exposes-nim-private-keys-and-risks-directory-traversal/
2、GitLab 曝多个安全漏洞,攻击者可注入恶意指令窃取敏感数据
GitLab 已发布紧急安全补丁,修复影响社区版和企业版的多个漏洞。该公司推出 18.5.2、18.4.4 和 18.3.6 版本,解决可能让攻击者窃取敏感信息并绕过访问控制的
关键安全问题。
https://www.freebuf.com/articles/database/457070.html
