Cloudflare CDN漏洞泄露用户位置数据，即使是通过安全聊天应用程序

• Cloudflare CDN 漏洞泄露用户位置数据，即使是通过安全聊天应用程序

一名安全研究人员在 Cloudflare 的内容交付网络 (CDN) 中发现了一个漏洞，只要在 Signal 和 Discord 等平台上向对方发送图像，就可能暴露对方的大致位置。

来源: BleepingComputer

• CVE-2025-23083：Node.js 漏洞暴露敏感数据和资源

Node.js 项目已发布更新，以解决多个安全漏洞，其中包括一个可允许攻击者绕过 Worker 权限的高严重性漏洞。该漏洞被追踪为 CVE-2025-23083，影响 Node.js 20、22 和 23 版本，可能会在未经授权的情况下访问敏感数据或资源。

来源: 安全客

• 黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件

Intezer Labs 最近发现了一次针对香港、台湾等组织的复杂网络攻击活动。攻击者使用一种名为 PNGPlug 的多阶段加载器来传播臭名昭著的 ValleyRAT 恶意软件。攻击始于一个网络钓鱼网页，诱骗受害者下载伪装成合法软件的恶意 Microsoft 安装程序 (MSI) 包。

来源: CN-SEC 中文网

• 思科警告：PoC 漏洞利用代码存在拒绝服务缺陷

思科发布了安全更新，以修补 ClamAV 的拒绝服务（DoS）漏洞，该漏洞有概念验证（PoC）利用代码。

来源: BleepingComputer

• PowerSchool 黑客声称他们窃取了 6200 万学生的数据

入侵教育科技巨头 PowerSchool 的黑客在勒索要求中声称，他们窃取了 6240 万名学生和 950 万名教师的个人数据。

来源: BleepingComputer

• CVE-2024-12857：AdForest 主题中的关键漏洞允许完全接管帐户，数千网站面临风险

在 AdForest WordPress 主题中发现了一个严重的安全漏洞 (CVE-2024-12857)，AdForest WordPress 在全球的销售量超过 8743 个。该漏洞被评为 CVSS 9.8，允许攻击者完全绕过身份验证机制，影响 AdForest 5.1.8 及 5.1.8 之前的所有版本。

来源: 安全客

• 7-Zip高危漏洞，攻击者可绕过安全机制远程执行代码

近日，流行文件压缩软件 7-Zip 被曝出一个新漏洞，编号为 CVE-2025-0411，CVSS 评分为 7.0，该漏洞允许远程攻击者绕过 Windows 的保护机制，在受影响的系统上执行任意代码。

来源: FreeBuf

• 微软开发博客中的 SQL 注入漏洞允许黑客注入恶意 SQL

一名安全研究人员在微软的 DevBlogs 网站（访问网址：https://devblogs.microsoft.com）上发现了一个严重的 SQL 注入漏洞。该漏洞可允许攻击者通过注入恶意 SQL 查询来操纵网站的底层数据库。

来源: GBHackers

• Lazarus组织发起Operation 99行动，通过虚假LinkedIn资料瞄准Web3开发者

近日，与朝鲜有关的黑客组织 Lazarus Group 被指发起了一项名为 Operation 99 的新型网络攻击行动，目标锁定在寻找 Web3 和加密货币自由职业工作的软件开发者。

来源: CN-SEC 中文网

原文始发于微信公众号（赛欧思安全研究实验室）：Cloudflare CDN漏洞泄露用户位置数据，即使是通过安全聊天应用程序