HackerNews 编译，转载请注明出处： 一款名为GoBruteforcer的高复杂度 Go 语言僵尸网络，正针对全球范围内的 Linux 服务器发起猛烈攻击，通过暴力破解手段尝试获取 FTP、MySQL、PostgreSQL 及 phpMyAdmin 等公网暴露服务的弱密码。 消息来源：cybersecuritynews；...

HackerNews 编译，转载请注明出处：
 网络威胁行为体正利用邮件路由配置漏洞及伪造防护措施的配置失误，仿冒企业内部域名发送邮件，以此实施钓鱼攻击。

微软威胁情报团队在周二发布的报告中指出：“威胁行为体借助该攻击路径，投递各类钓鱼邮件，这些邮件多与Tycoon 2FA等钓鱼即服务平台相关联。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；...

HackerNews 编译，转载请注明出处：
Veeam发布安全更新，修复其Backup & Replication软件存在的多个漏洞，其中包括一个可导致远程代码执行的 “严重” 级别漏洞。

该漏洞编号为CVE-2025-59470，通用漏洞评分系统（CVSS）评分为9.0。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；...

HackerNews 编译，转载请注明出处： 据西班牙国家航空——伊比利亚航空——证实，本周某网络安全公司曝光的泄露数据，实为去年 11 月已被确认的一起数据泄露事件中失窃的信息。
 本周一，网络安全公司Hudson Rock发布报告称，一个名为Zestix的威胁行为体，公开拍卖从约 50 家大型企业及律所的企业文件共享平台窃取的数据。 消息来源：therecord.media；...

Meta 已开始封堵 WhatsApp 中被用来“指纹识别”设备操作系统的元数据泄露点，但要把各类签名完全隐藏仍面临长期挑战。
攻击者若想把高级间谍软件投递给某名用户，往往会选择拥有 30 亿用户的 WhatsApp 做渠道。...

安全公司 VulnCheck 与 Shadowserver 基金会发现，攻击者正在利用一个编号为 CVE-2026-0625 的命令注入漏洞，对早已停保的 D-Link DSL 路由器发起攻击。该漏洞位于 dnscfg.cgi 接口，因 CGI 库输入过滤不当，...

开源工作流自动化平台 n8n 被披露存在一处关键安全漏洞，已登录攻击者可在服务器上执行任意系统命令。该漏洞编号 CVE-2025-68668，CVSS 评分 9.9，由 Cyera Research Labs 的 Vladimir Tokarev 与 Ofek Itach 发现并命名为 N8scap...

HackerNews 编译，转载请注明出处： 周二，英国政府罕见地公开承认，其多年来对政府系统网络安全的管理方式存在根本缺陷，并坦言“到2030年让所有政府机构免受已知网络漏洞与攻击手段影响”的原定目标已不可能实现。 这份由科学、创新与技术部（DSIT）提交给议会的《政府网络行动计划》被视为一次重大政策重置。文件直言，现行问责机制使英国政府“从中央到地方、再到供应链”普遍暴露在攻击风险之下，责任归属“各级都不清晰”。...

美国 CERT 协调中心（CERT/CC）披露了一个尚未修补的安全漏洞，影响 TOTOLINK EX200 无线中继器。该漏洞可让已远程通过身份验证的攻击者直接获得设备完整控制权。
漏洞编号 CVE-2025-65606（CVSS 评分暂缺），成因在于固件上传环节的错误处理逻辑缺陷：当触发特定错误时，...

网络安全研究人员发现，Chrome 网上应用店中存在两款新的恶意扩展程序，专门用于窃取用户与 OpenAI ChatGPT 及 DeepSeek 的聊天记录，并将浏览数据一并上传至攻击者控制的服务器。
这两款扩展程序的名称及其用户数量如下：

Chat GPT for Chrome with 鉴于 AI 工具中常见的 AI 输入与输出及元数据的性质，可能会无意中收集或处理某些敏感数据。然而，我们的处理目的并非为了识别您的身份。尽管我们无法保证所有个人数据都被移除，但我们会尽可能采取措施过滤或移除您输入至这些 AI 工具中的识别信息。...