安全简讯（2025.11.21）

1. 新兴ShinySp1d3r勒索软件技术运营策略曝光11月19日，网络安全研究人员披露了名为"ShinySp1d3r"的新型勒索软件即服务（RaaS）平台开发细节。该平台由与ShinyHunter

【高危漏洞预警】Oracle Identity Manager 远程代码执行漏洞CVE-2025-61757

漏洞描述:该漏洞源于SесuritуFiltеr对请求URI处理不当攻击者可通过添加参数;.ԝаdl 绕过身份验证,然后利用Grооvу脚本在处理器编译时执行任意代码,从而获取服务器权限攻击场景:攻击

火绒小问答——「企业版」火绒中心/终端安装包如何获取

尊敬的企业版用户，您好！为确保软件来源的安全，所有企业版安装包均需通过官方授权渠道获取。以下为您详细介绍控制中心及终端安装包的获取路径，请根据您的需求进行操作。问题企业版火绒中心/终端安装包如何获取0

【火绒安全周报】罗技正式确认数据泄露/普林斯顿大学数据库遭入侵

普林斯顿大学数据库遭入侵近日，普林斯顿大学遭黑客入侵，校友及捐赠者信息被非法访问近24小时。攻击通过钓鱼电话窃取员工权限得逞，涉及姓名、联系方式与捐赠记录。校方已阻断攻击并确认未影响其他系统。近期常春

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

合规红线：40款APP违法违规收集使用个人信息，企业合规“自查”26项要收藏！

近日，40款移动应用违法违规收集使用个人信息被通报，暴露了相关企业存在权限配置不合规、用户权益保障机制缺失、信息收集使用环节违规等问题。究其根源，多因合规意识薄弱、管理流程缺陷，导致“合法、正当、必要

【已复现】Oracle Identity Manager 远程代码执行漏洞(CVE-2025-61757)安全风险通告

● 点击↑蓝字关注我们，获取更多安全风险通告漏洞概述漏洞名称Oracle Identity Manager 远程代码执行漏洞漏洞编号QVD-2025-40664，CVE-2025-61757公开时间2

招聘 | 安全服务工程师

岗位职责： 1、对指定系统进行漏洞挖掘和渗透测试工作；2、梳理公司互联网暴露面，排查未知资产（每月）；3、配合客户完成安全应急演练工作（每月）；4、如遇攻击成功事件，负责应急响应和溯源工作；5、编

哈利法塔消防安保公司遭黑客攻击，1TB 内部数据失窃

高危漏洞 紧急修复指南 RCE Patch 近日，全球最高建筑迪拜哈利法塔的消防系统服务商——NAFFCO公司遭遇网络攻击。知名勒索软件组织INC Ransom声称窃取了该公司高达1TB的内部数

Cloudflare将本周大规模服务中断事件归咎于数据库问题

本周，Cloudflare发生六年来最严重的服务中断事件。数据库访问控制权限变更触发其全球网络连锁故障，导致大量网站及在线平台近6小时无法访问。Cloudflare全球网络是一套分布式基础设施，服务器

ImunifyAV曝远程代码执行漏洞 数百万Linux托管网站面临风险

Linux服务器专用恶意软件扫描工具ImunifyAV存在远程代码执行漏洞，攻击者可利用该漏洞入侵主机环境。这款工具目前已被数千万个网站采用。该漏洞影响AI-bolit恶意软件扫描组件的32.7.4.

半导体供应链企业AES遭勒索，被Play勒索组织列入泄露名单

【导读】2025年11月20日，据暗网情报监测显示，Play勒索软件组织在其数据泄露站点新增了一名受害者——美国Applied Energy Systems (AES)。AES是半导体、制药及光伏行业

CVE-2025-50165：Windows 图形组件中的严重缺陷

威胁简报恶意软件漏洞攻击介绍2025年5月，Zscaler ThreatLabz 发现了 CVE-2025-50165，这是一个影响 Windows 图形组件的严重远程代码执行 (RCE) 漏洞，CV

利用 W3 Total Cache for WordPress 中的预身份验证远程代码执行漏洞 (CVE-2025-9501)

威胁简报恶意软件漏洞攻击我们最近注意到 WPScan 发布了一份关于 CVE-2025-9501 的简短漏洞公告，该漏洞被描述为 WordPress 知名插件 W3 Total Cache 中的一个“

天融信参编！我国首个智能云服务国家标准落地在即

首个智能云服务国家标准近日，国家市场监督管理总局、国家标准化管理委员会正式发布GB/T 46350-2025《信息技术 云计算 智能云服务通用要求》。该标准将于2026年2月1日起实施，是我国首个智能

美国网络司令部寻求利用AI重塑参与网络冲突的方式

编者按：美媒曝光称，美国网络司令部2025年夏季已授予美国网络战初创公司Twenty一份价值高达1260万美元的合同，显示美军正在加大对人工智能的投入用以提升网络攻防作战能力。Twenty公司是一家总

2025 年每个初学者都能发现的 P4 漏洞

官网：http://securitytech.cc/当人们谈论漏洞赏金时，通常聚光灯会落在大而炫的漏洞上——远程代码执行（RCE）、SQL 注入、完全账号接管等。但事实是，大多数成功的赏金猎人靠 P4

抓得好

论文一直投不中？被退稿十几次之后，我终于找到发论文的捷径，半年连发3篇！

在经历过十几次退稿之后，我真心建议需要发表sci论文的老师和同学：不要死磕论文内容！去思考，去找捷径，去找套路！只要找对了方法，发sci论文一点都不难！很多人以为，我把论文写完了，最重要的工作就结束了

伊朗黑客如何发动网络物理战？

近日，亚马逊（Amazon）威胁情报团队发布的最新报告揭示了一种全新的网络战争形态：“网络赋能的动能打击”。报告指出，与伊朗有关的黑客组织不再局限于单纯的数据窃取或网络破坏，而是深度介入物理战场的“杀

TP-Link起诉Netgear：指控其利用“国家安全”打击对手

近日，网络设备厂商TP-Link向美国特拉华州地方法院提起诉讼，指控其主要竞争对手Netgear（网件）及其首席执行官实施了一场精心策划的“抹黑行动”。起诉书称，Netgear利用地缘政治紧张局势，通

PHP代码安全扫描器 -- sacnner

各类资料学习下载合集 链接：https://pan.quark.cn/s/7c8c391011eb===================================免责声明请勿利用文章内的相关技

每日安全动态推送(25/11/21)

• Redis 7.4.5 Lua引擎中发现严重漏洞，可实现远程代码执行与权限提升https://www.freebuf.com/articles/network/451795.html本文深入揭示

TimelineSec助力平安SRC深圳站白帽子安全沙龙，探索攻防新篇章！

当前大模型、智能体等新兴技术加速落地并深度融入企业业务场景，推动数字化转型步伐持续加快，但网络安全攻防态势也随之愈发复杂 —— 传统防护手段在应对隐蔽性新型威胁、突破测试效率瓶颈上逐渐乏力。AI凭借其

JWT 漏洞利用完全指南

在 JSON Web Tokens (JWTs) 成为当今应用开发的主流方案之前,Web 应用主要依赖服务器端会话管理,但这种方式在水平扩展方面存在明显瓶颈。JWT 的出现解决了这一问题——它将认证数

清华大学 | 不只是越狱：探索大模型应用能力边界风险

原文标题：Beyond Jailbreak: Unveiling Risks in LLM Applications Arising from Blurred Capability Boundarie

暗网现美国防承包商敏感文档，涉及激光武器与导弹防御技术

11月21日，星期五，您好！中科汇能与您分享信息安全快讯：01突破架构限制，Seraphic成为首个支持ChatGPT桌面版等Electron应用的浏览器安全平台企业浏览器安全领导者Seraphic宣

每周高级威胁情报解读(2025.11.14~11.20)

2025.11.14~11.20攻击团伙情报UNC1549 针对航空航天和国防生态系统发起攻击Dragon Breath 使用 RONINGLOADER 部署新的 gh0st RAT 变种APT42组

红队横向移动技巧：10 种绕过内网检测的横向渗透方法！

在红队实战中，横向移动是突破内网边界、扩大控制范围的核心环节。企业内网普遍部署的终端检测响应（EDR）、日志审计系统、网络入侵检测设备（NIDS）等安全机制，构成了横向渗透的主要障碍。真正高效的横向

一个终身免费的渗透测试资源库！

想跳槽面试，翻遍全网找大厂真题，要么是三四年前的旧题，要么零散得凑不成体系，连份能参考的面经都没有；护网演练到关键节点，急需某个漏洞的 POC/EXP，在各个群里 “求资源” 求到半夜，拿到的还是过期