MongoDB | CVE-2025-14847 | MongoBleed

MongoDB呼籲IT人員儘速修補高風險資安漏洞

近期MongoDB開發工程團隊針對zlib實作造成的高風險漏洞CVE-2025-14847提出警告,指出該漏洞有可能讓攻擊者存取未初始化的記憶體堆疊,呼籲用戶儘速套用更新,或停用相關功能因應

2025-12-26

Fortinet | CVE-2020-12812 | FortiGate | FortiOS | SSL VPN

Fortinet警示5年前公布的SSL VPN漏洞再遭積極利用

本週資安公司Fortinet發出警告再度引起外界關注,他們在5年前修補的防火牆資安漏洞CVE-2020-12812,近期再度出現遭到利用的跡象,呼籲企業組織必須採取行動,確認防火牆是否有遭到入侵的跡象

2025-12-26

LangChain | CVE-2025-68664 | CVE-2025-68665 | 序列化注入

LLM調度框架LangChain核心元件序列化注入漏洞,可能導致環境變數機密外洩

官方修補LLM調度框架LangChain核心元件langchain-core重大漏洞CVE-2025-68664,反序列化恐把外部資料還原成LangChain物件,並外洩環境變數機密,建議升級至0.3.81或1.2.5以上版本

2025-12-26

Linux | 資安漏洞 | CVE-2025-68260 | Rust

Linux核心首度出現Rust漏洞,恐導致系統當機

Linux核心以Rust重寫的Android Binder模組,存在CVE-2025-68260漏洞,在特定條件下可能造成記憶體損毀,甚至引發系統當機

2025-12-26

Roundcube | CVE-2025-68461 | CVE-2025-68460 | 安全更新

Roundcube修補高風險資安漏洞,恐危及網頁郵件隱私

開放原始碼網頁郵件專案Roundcube,針對1.6與1.5 LTS版本修補兩項高風險資安漏洞,可能讓攻擊者透過看似正常的電子郵件執行惡意指令碼,或外洩使用者的敏感資訊

2025-12-26

Kibana | CVE-2025-68385 | 安全更新 | 安全公告 | 高風險漏洞

Kibana出現高風險XSS漏洞,多個版本恐遭惡意指令碼攻擊

Elastic在12月19日發布資安公告,說明Kibana存在高風險資安漏洞,可能讓已通過驗證的攻擊者,執行跨站腳本攻擊(XSS)

2025-12-26

WatchGuard | Firebox | 資安漏洞 | CVE-2025-14733

WatchGuard警告 Firebox程式碼執行漏洞已遭到濫用

資安業者WatchGuard警告用戶,日前修補的Firebox防火牆資安漏洞CVE-2025-14733,已經發生實際網路攻擊行動,能讓未經授權攻擊者遠端執行程式碼

2025-12-26

Nvidia | 安全更新 | isaac

Nvidia修補機器人平臺Isaac 3個重大RCE漏洞

Nvidia發布安全更新,修補機器人平臺Isaac重大資安漏洞CVE-2025-33222、CVE-2025-33223、CVE-2025-33224,成功濫用可能引發程式碼執行(RCE)、提權攻擊(EoP)、阻斷服務(DoS)以及資料竄改

2025-12-26

ChatGPT Atlas | 代理模式 | 提示詞注入 | 自動化紅隊 | 強化學習

ChatGPT Atlas代理模式更新,引入對抗式訓練防提示詞注入攻擊

OpenAI內部自動化紅隊用強化學習找出新提示詞注入手法,因此更新ChatGPT Atlas代理模式,加入對抗式訓練檢查點與防護,並提醒視任務需求選擇登出執行並核對高風險動作

2025-12-25

資安日報

【資安日報】12月24日,南陽實業傳出駭客向車主寄簡訊,聲稱個資已外流

繼22日傳出有人聲稱入侵NAS設備商威聯通(QNAP)的遠端檔案存取服務,隔天下午有另一組駭客寄送簡訊給部分現代(Hyundai)車主,聲稱總代理南陽實業洩露車主的個資,引發高度關注

2025-12-24

資料外洩 | 勒索軟體 | DireWolf | Dire Wolf | 現代汽車 | Hyundai

南陽實業傳出遭勒索軟體DireWolf入侵,駭客向車主寄送簡訊聲稱個資已外流

勒索軟體駭客DireWolf近日傳出向部分臺灣現代(Hyundai)汽車車主發送簡訊,聲稱他們的個資已遭洩露,總代理南陽實業未盡保護責任,引起外界恐慌。對此,南陽實業表示是簡訊系統遭駭所致

2025-12-24

Microsoft 365 | 釣魚 | OAuth授權 | 帳號接管

駭客濫用M365 OAuth裝置碼釣魚,挾持受害者微軟帳號

駭客針對M365美歐公部門與智庫學研單位用戶發動釣魚攻擊,濫用M365 OAuth裝置碼授權流程,誘導用戶在官方驗證頁輸入裝置碼讓惡意App獲授權,進而接管帳號竊取資料

2025-12-24

FIDO | Passkey | 無密碼登入 | Google | Credential Manager | 通行密鑰 | 安全憑證交換

Google在臺解析Passkey技術新進展,展示Credential Manager強化功能,降低開發者導入門檻

在12月初舉行的FIDO Taipei Seminar 2025研討會上,作為FIDO聯盟重要成員的Google,其團隊特別展示多項平臺層面的最新強化成果,從Credential Manager到即將推出的憑證可攜、電話號碼驗證機制(PNV),讓國內企業得以掌握Passkey導入與實作流程簡化的突破性進展

2025-12-24

Agnet宇宙 | AI戰略 | AI代理 | 永豐金控 | 生成式AI

永豐金控揭露多AI代理戰略布局,關鍵是Agent宇宙藍圖和五大基礎建設

永豐金控首度公開了Agent宇宙的未來發展藍圖,以Agent宇宙為核心,四周是五大基礎建設,分別是下方的運算基礎建設、人才基礎建設、技術基礎建設,上方則是安全基礎建設,右方則是知識基礎建設。

2025-12-24

威聯通 | QNAP | KaruHunters | myQNAPcloud | 資料外洩 | 組態配置不當

威聯通上櫃當天卻傳出NAS檔案遠端存取服務遭駭疑雲,該公司澄清傳聞,表示僅有單一設備遭到入侵

民視新聞網報導指出,駭客組織KaruHunters聲稱從威聯通(QNAP)NAS檔案遠端存取服務myQNAPcloud竊得一批資料,威聯通針對此事進行調查表示並非如此,此事為單一NAS用戶配置不當釀禍,myQNAPcloud並未遭到入侵

2025-12-24