第四十届软件工程国际会议ASE 2025将在首尔举行，246篇论文被录用，其中中国作者占比超过60%。论文研究软件供应链漏洞影响评估，提出了基于工作列表的传播分析算法和漏洞传播评分系统（VPSS），有效评估Java Maven生态系统中的漏洞，帮助量化其影响。

Sonatype报告指出，网络安全面临漏洞评分体系滞后问题，现有评分无法满足快速开发需求，导致高风险漏洞被忽视。预计到2025年，64%的开源组件缺乏CVSS评分，评分延迟影响响应效率，加剧安全团队的信任危机。现代软件开发需要实时风险洞察，而非依赖过时评分。

Wireshark基金会发布4.6.1版本，修复了BPv7和Kafka解析器中的多个安全漏洞，防止拒绝服务攻击，并改进了稳定性和功能，建议用户尽快升级。

2025年11月24日，NVIDIA发布安全更新，修复Isaac-GROOT软件中的两个高危漏洞（CVE-2025-33183和CVE-2025-33184），这些漏洞源于Python组件，可能导致代码注入、权限提升和信息泄露。NVIDIA建议用户立即更新以确保安全。

2025年11月24日，vLLM披露了高危漏洞CVE-2025-62164，影响0.10.2及后续版本。攻击者可通过恶意提示导致服务器崩溃或执行任意代码。漏洞源于Completions API的验证不足，建议受影响组织立即升级并审计接口。

2025年11月24日，npm包md-to-pdf被曝出高危漏洞（CVE-2025-65108），攻击者可通过恶意元数据执行任意JavaScript代码。使用该包处理不可信Markdown的应用存在风险，用户应立即升级至安全版本。

朝鲜黑客组织Kimsuky与Lazarus联合发起攻击，利用社会工程学和0Day漏洞窃取敏感信息和加密货币。攻击模式转为协同作战，采用伪装邮件和恶意软件进行侦察和权限提升，目标包括国防、金融和区块链行业。

近期网络安全事件频发，包括微软Office和Windows的高危0Day漏洞、Oracle EBS被攻击以及WhatsApp用户数据泄露。建议用户及时更新补丁、禁用宏并加强安全防护。

微软Windows图形组件存在高危远程代码执行漏洞，攻击者可通过特制JPEG图片控制系统。该漏洞CVSS评分为9.8，影响广泛。微软已于2025年8月发布补丁，建议用户立即更新并禁用邮件客户端的自动图片预览功能。

WordPress的Simple User Registration插件存在权限提升漏洞，攻击者可绕过身份验证注册为管理员。该漏洞源于对用户元数据限制不足，利用特定POST参数可绕过角色校验，造成安全隐患。

Ollama开源项目发现严重漏洞，攻击者可利用特制模型文件在易受攻击系统上执行任意代码。受影响版本为0.7.0及之前，需立即升级至最新版本以确保安全。

近期全球网络安全事件包括Cloudflare故障导致多平台瘫痪、Fortinet新漏洞被利用、身份安全架构的重要性、ShadowRay 2.0攻击23万台服务器、恶意Chrome VPN扩展、D-Link路由器漏洞、Windows 11新恢复工具、WhatsApp用户数据泄露、npm供应链攻击及新型.NET恶意软件等。

将漏洞视为行为指标而非任务清单，有助于更有效地识别威胁并优化安全防护。通过情境化漏洞数据，团队能够预测攻击者行为，实现主动防御。漏洞导向型狩猎结合内部数据与外部情报，提升检测能力，填补可见性盲区，支持持续改进与合规审计。