| iThome

Fortinet日前才修補的FortiSIEM重大漏洞CVE-2025-64155，已被資安業者確認出現實際濫用行為

上個週末相當不平靜，有多家廠商公布、修補資安風險達到滿分10分的資安漏洞，其中，又以SAP NetWeaver已被用於實際攻擊行動的CVE-2025-31324、老牌備份軟體Commvault的CVE-2025-34028最受到矚目

2025-04-28

電子商務平臺WooCommerce管理員收到漏洞通報要提高警覺！最近有駭客佯稱網站有資安漏洞的名義，向網站管理員寄送釣魚郵件，然而管理者若是照做，網站就有可能被植入後門管理員帳號而遭到控制

2025-04-28

官方Android原生UI工具包Jetpack Compose 1.8版本新增表單自動填寫支援，強化文字自適應與動畫過渡效果，並提升可視區域追蹤效能和API穩定性

2025-04-28

針對微軟於本月例行更新（Patch Tuesday）當中，修補權限提升漏洞CVE-2025-21204會在系統產生IIS服務資料夾「inetpub」，資安專家Kevin Beaumont警告，此資料夾攻擊者有機會濫用，讓使用者無法執行作業系統更新

2025-04-28

回顧2025年4月第四星期的資安新聞，臺灣有長慎醫院、萬海航運、萬潤科技、倍力資訊遭遇網路攻擊事件的情形，其中影響國內醫院與資訊軟體整合服務商的事故最受關注；國際間有日本Web郵件系統Active! Mail遭零時差漏洞攻擊鎖定，以及南韓多個產業遭攻擊者以老舊BlueKeep漏洞攻擊的狀況

2025-04-28

國防外包商Booz Allen與Meta和HPE合作，將Llama模型搬上太空站，在最遠的邊緣協助科學研究

2025-04-28

微軟正式將桌機AI功能Recall預覽版、Click to Do和強化的Windows搜尋部署到Windows 11 Copilot+ PC

2025-04-28

ConnectWise警告遠端桌面軟體ScreenConnect存在重大風險漏洞CVE-2025-3935，已發布更新提供修補

2025-04-28

攻擊者利用Ivanti Connect Secure裝置的零時差漏洞CVE-2025-0282，植入DslogdRAT木馬與Web Shell滲透日本組織，並偽裝成正常業務時間流量持續控制系統

2025-04-28

俄羅斯資安業者Doctor Web發現一款Android地圖軟體Alpine Quest被植入木馬&間諜程式

2025-04-28

SAP於上周四（4/24）緊急修補了一個CVSS風險評分高達10分的安全漏洞CVE-2025-31324，它允許駭客未經授權上傳並執行惡意程式，而且已經遭到駭客利用

2025-04-28

卡巴斯基發現中國駭客組織IronHusky更新後門程式MysterySnail RAT，透過模組化結構與側載技術滲透蒙古與俄羅斯政府，並發展輕量版本持續攻擊

2025-04-28