Sitecore 曝零日漏洞，可执行任意代码攻击

近日披露的 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作，影响Sitecore 体验管理

一周网安优质PDF资源推荐丨FreeBuf知识大陆

塔塔科技遭勒索攻击，1.4TB数据被泄露

塔塔科技（Tata Technologies）近期遭受了勒索软件组织“猎手国际”（Hunters International）的攻击。该组织声称已从这家工程公司窃取了高达 1.4TB 的数据，涉及超过

勒索团伙利用网络摄像头绕过EDR实施加密攻击

近期，Akira勒索团伙被曝光利用未受保护的网络摄像头对受害者的网络发起加密攻击，成功绕过了原本在Windows系统中拦截其加密器的端点检测与响应（EDR）系统。网络安全公司S-RM的团队在为客户处理

FreeBuf周报 | 谷歌收集用户数据且无需打开应用；近5万访问管理系统存严重漏洞

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！热点资讯1. 最新黑产技术曝光，只需19分钟即可劫持AI大模型最新

麒麟勒索软件团伙宣称入侵乌克兰外交部

麒麟（Qilin）勒索软件团伙近日宣称成功入侵乌克兰外交部，并窃取了敏感数据。这一事件标志着针对乌克兰的重大网络安全攻击。索团伙声称窃取敏感数据，部分已售出该俄语勒索软件团伙声称对乌克兰外交部的网络攻

2025阿里白帽大会：共筑网络安全新生态

3月1日，以“洞见风险，先知先行”为理念的2025阿里白帽大会在杭州成功举办。顶尖白帽、学术界代表与阿里技术团队齐聚一堂，共探网络安全前沿议题，以实战经验与创新思维直击安全本质。当前，网络安全环境正面

HW开始前会做哪些措施：AI在攻防中扮演了怎样的角色 | FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第250期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

全球近5W个访问管理系统存在严重安全漏洞

荷兰IT安全咨询公司Modat发现，全球范围内部署的约49,000个访问管理系统（AMS）存在严重的安全漏洞。这些系统本应通过密码、生物识别和多因素认证等身份验证方法控制建筑物访问，然而却因关键配置错

研究人员绕过 CrowdStrike Falcon 传感器执行恶意应用程序

SEC Consult 的安全研究人员在 CrowdStrike 的 Falcon Sensor 中发现了一个重大漏洞，允许攻击者绕过检测机制并执行恶意应用程序。这个被称为“睡美人”的漏洞最初于 20

二维码钓鱼攻击的兴起：诈骗者如何利用二维码及如何防范

二维码已成为日常生活中的一种便捷工具，只需简单扫描，用户便能快速访问网站、支付平台或数字菜单。然而，随着二维码的普及，网络犯罪分子对其的兴趣也与日俱增。一种被称为“二维码钓鱼”或“quishing”的

4月·上海 | FreeBuf金融与AI攻防实战论坛邀您参会

2025年，以DeepSeek为代表的国产人工智能（AI）凭借卓越的技术实力享誉全球，并陆续接入各企业的生产实践活动中。与之相伴的，AI与网络安全的博弈迅速加深，金融科技作为资本与数据的枢纽，俨然已成

当前最猖獗的12大勒索软件组织

勒索软件即服务（RaaS）模式、双倍勒索策略以及人工智能的广泛应用，共同构成了当前不断演变的勒索软件威胁格局。执法部门对LockBit等组织的打击，使得勒索软件市场更加碎片化，新玩家试图从中分一杯羹。

Bubba AI推出开源合规平台 Comp AI，助力10万家初创企业实现安全合规

随着安全合规对初创企业的重要性日益增长，越来越多的公司正寻求实现并维持与SOC 2、ISO 27001和GDPR等框架的合规性。Bubba AI, Inc. 正在为这些企业构建一个全面的解决方案，旨在

9所顶尖名校30份+DeepSeek硬核材料「内部汇总」流出

在 AI 大模型的激烈角逐中，DeepSeek 异军突起，吸引了无数目光，相关材料频出，最值得关注的是最近9 所顶尖名校陆续发布了30 份 +DeepSeek硬核材料，这些材料从科普、技术解读、技术原

VMware ESX曝3个0Day漏洞，已被黑客利用

Broadcom公司近日修复了VMware ESX产品中的三个0Day漏洞，这些漏洞已被恶意利用。Broadcom发布了安全更新，以修复VMware ESX产品中的三个0Day漏洞。这些漏洞分别被标识

最新黑产技术曝光，只需19分钟即可劫持AI大模型

最新研究表明，网络攻击者正在利用泄露的云凭证在几分钟内劫持企业AI系统。近期事件显示，攻击者能够在19分钟内攻破大型语言模型（LLM）的基础设施。这种被称为“LLMjacking”的攻击方法以非人类身

新型后门程序利用polyglot文件传播

Proofpoint报告指出，威胁行为者已将该手法用于针对阿联酋关键基础设施企业的攻击，并警告各地CISO需警惕其扩散。图片来源：enzozo / Shutterstock某威胁行为者正在使用poly

2025年新兴勒索软件组织的崛起与影响

2024年，全球勒索软件攻击事件达到5,414起，较2023年增长了11%。尽管年初增长较为缓慢，但在第二季度和第四季度，攻击事件激增，其中第四季度共发生1,827起事件，占全年总数的33%。执法机构

留言赠书 |《硬件设备安全攻防实战》免费送

近年来，国家出台了一系列政策、安全标准和规范来支持网络安全产业发展，强调加强网络安全体系保障与能力建设，要求企业加强硬件设备的安全防护措施，确保设备的安全性和可靠性。同时，数字化转型持续加速，国产化信

超3.5万个网站遭入侵：恶意脚本将用户重定向至赌博平台

2025年2月20日，一起大规模网络安全漏洞事件导致超过3.5万个网站遭到入侵，攻击者在这些网站中植入了恶意脚本，完全劫持用户的浏览器窗口，并将其重定向至赌博平台。此次攻击主要针对华语使用地区，最终落

美国当局追回与2021年Uranium Finance黑客事件相关的3100万美元

美国当局成功追回了2021年针对Uranium Finance的网络攻击中被盗的3100万美元加密货币。Uranium Finance是一个基于币安BNB链的去中心化金融（DeFi）协议，其运行模式类

限时开放：Java后台场景漏洞实战靶场

当0day攻击遇上凌晨3点，企业防线为何总在深夜失守？某金融集团防御日志显示，攻击者通过 JS 文件硬编码密钥绕过双因素认证，于凌晨 3:17 横向渗透至核心系统。此类 “静默式入侵” 依赖多漏洞链式

什么是零信任？分布式和风险时代的网络安全模型

什么是零信任？零信任是一种网络安全模型或策略，其核心理念是不认为任何人或计算实体天生值得信任，无论他们是在组织网络内部还是外部。这与传统网络安全理念截然不同，后者通常认为在某个定义边界内的一切（例如企

大语言模型训练集中发现超1.2万个API密钥和密码

用于训练大语言模型（LLMs）的数据集中被发现包含近1.2万个有效的密钥信息，这些密钥可以成功进行身份验证。这一发现再次凸显了硬编码凭证给用户和组织带来的严重安全风险，尤其是当大语言模型最终向用户建议

钓鱼PDF泛滥：260个域名传播Lumma窃取程序，伪装验证码成陷阱

网络安全研究人员近日发现，一场大规模的钓鱼活动正在通过Webflow内容分发网络（CDN）上的PDF文档传播Lumma窃取程序。这些PDF文档中包含虚假的验证码（CAPTCHA）图像，用于诱骗受害者下

谷歌官方应用SafetyCore暗中扫描用户手机中的照片

近期，大量用户报告揭示，自2024年10月以来，谷歌的Android系统服务SafetyCore已在运行Android 9及以上版本的设备上悄然安装。该服务旨在实现设备端内容扫描，但由于其安装过程隐蔽

一周网安优质PDF资源推荐丨FreeBuf知识大陆

2025年2月网络安全产品精选

过去一个月中，网络安全领域涌现了许多引人注目的新产品，涵盖了1Password、Armor、BigID、Dynatrace、Fortinet、Legit Security、Netwrix、Nymi、P

2025年第一季度五大活跃恶意软件攻击趋势

2025年第一季度，网络安全战场硝烟四起，网络犯罪分子继续发起新的攻击并优化其攻击手段。本文对五大值得关注的恶意软件进行了概述和简要分析。NetSupport RAT：利用ClickFix技术传播20