网络安全研究人员披露了一个影响 Salesforce Agentforce 的严重漏洞。Agentforce 是一个用于构建人工智能（AI）代理的平台，该漏洞可能允许攻击者通过间接提示注入（indirect prompt injection）的方式，从其客户关系管理（CRM）工具中窃取敏感数据。 该漏洞被发现方 Noma Security 命名为 ForcedLeak，CVSS 评分 9.4。该团队于 2025 年 7 月 28 日发现并报告了该问题。漏洞影响所有启用了 Web-to-Lead 功能 的 Salesforce Agentforce 用户。...

近期一项调查显示，某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本，最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马（Remote Access Trojan，简称 RAT）。 网络安全公司 Huntress 发布的研究报告指出，攻击者的技术手段已从使用自定义脚本，逐步升级为利用功能复杂的商用工具。...

HackerNews 编译，转载请注明出处： 英国连锁零售商 Co-op（合作社集团）表示，今年 4 月遭遇的网络攻击不仅导致门店货架空置，还造成客户数据被盗，最终使其营收减少 2.06 亿英镑（约合 2.74 亿美元）。 此次攻击是今年春季影响英国企业的多起重大网络安全事件之一，零售巨头玛莎百货（Marks & Spencer，简称 M&S）也在受影响之列。7 月，警方逮捕了 4 名与 Co-op、玛莎百货及哈罗德百货（Harrods）黑客攻击事件相关的人员，其中包括 1 名未成年青少年。据悉，...

HackerNews 编译，转载请注明出处： 沃尔沃北美公司（Volvo North America）披露了一起数据泄露事件。该事件源于第三方供应商 Miljödata 遭遇勒索软件攻击，导致沃尔沃员工的个人数据被泄露。 此次勒索软件攻击发生于 8 月，至少影响了 25 家企业，其中包括斯堪的纳维亚航空公司（SAS）、博利登公司（Boliden），以及 200 个瑞典市政当局。受影响的系统主要供管理人员和人力资源部门使用，用于处理医疗证明、康复事宜，以及与工作相关的伤害报告和管理工作。...

消息来源：therecord.media；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文...

网络安全研究人员近日披露，万兴科技（Wondershare）RepairIt 软件中存在两个严重漏洞，不仅导致用户私密数据泄露，还可能让系统遭受 AI模型篡改与供应链攻击的威胁。 这些高危漏洞由 趋势科技（Trend Micro）发现并披露，具体如下： CVE-2025-10643（CVSS 评分：9.1） —— 一处身份验证绕过漏洞，源于对存储账户令牌赋予的过高权限。...

一个网络犯罪集团声称已成功攻击德国的包机运营商 FAI Aviation Group。攻击者表示，他们获取了大量敏感数据，从公司文件到医疗信息不等。 J Group 在其帖子中声称，此次数据泄露涉及多类敏感和个人信息。例如，黑客称他们获取了私密的患者数据，这可能与 FAI 的空中救护服务相关。数据集中据称包含患者的临床信息。 攻击者还表示，泄露的信息包括商业文件、项目资料、涉及员工投诉的公司内部文件，以及其他原本不应公开的内容。...

美国网络安全和基础设施安全局（CISA）披露，威胁行为者利用 GeoServer 中一个未修补的漏洞，攻破了一家美国联邦民用机构的网络。 攻击者利用的漏洞编号为 CVE-2024-36401（CVSS 评分 9.8），这是一个严重的远程代码执行（RCE）漏洞。该漏洞于 2024 年 6 月 30 日被公开，多名研究人员随后在网上发布了概念验证（PoC）利用代码。[1, 2] GeoServer 是一款开源服务器，允许用户共享和编辑地理空间数据。2024 年 7 月中旬，CISA 已将该漏洞列入其“已知被利用漏洞”（KEV）目录。...

思科发布了安全更新，以修复其 Cisco IOS 和 IOS XE 软件 中一个正在被利用的高危零日漏洞。 该漏洞编号为 CVE-2025-20352，源于受影响 IOS 和 IOS XE 软件中 简单网络管理协议（SNMP）子系统的栈缓冲区溢出缺陷，凡是启用 SNMP 的设备都可能受影响。 根据思科通报，经过身份验证的低权限远程攻击者可以利用此漏洞在未打补丁的设备上触发 拒绝服务（DoS）攻击。而高权限攻击者则可能通过在受影响的 Cisco IOS XE 系统上以 root 用户身份执行代码，从而获得对系统的完全控制。...

国际刑警组织周三宣布，今年夏季开展的最新一轮跨国打击网络诈骗行动，共追回价值4.39亿美元的资产。 根据国际刑警组织消息，4月至8月期间，来自40多个国家和地区的执法机构共冻结了约6.8万个银行账户和约400个加密货币钱包。 此次打击的诈骗类型包括“电话诈骗、网络交友诈骗、网络性勒索、投资诈骗、与非法网络赌博相关的洗钱、商业电邮诈骗以及电商欺诈”。...