开源项目New-API发现高危漏洞，攻击者可伪造充值。漏洞已修复，用户需升级至v0.12.10版，并检查近期充值订单是否异常。新版本增强了Stripe支付的安全性，确保请求来自Stripe。

苹果发布全平台后台安全更新，修复WebKit中的高危漏洞CVE-2026-20643，该漏洞允许恶意内容绕过同源策略。受支持设备将自动下载安装更新，无需重启。

2025年11月24日，vLLM披露了高危漏洞CVE-2025-62164，影响0.10.2及后续版本。攻击者可通过恶意提示导致服务器崩溃或执行任意代码。漏洞源于Completions API的验证不足，建议受影响组织立即升级并审计接口。

谷歌发布了 Chrome 142.0.7444.162/.163 版本，修复了 V8 JavaScript 引擎中的高危漏洞 CVE-2025-13042。用户应及时更新浏览器以防安全风险。

Akamai安全情报小组警告，Magento漏洞SessionReaper（CVE-2025-54236）被广泛利用，攻击者可劫持用户会话并执行远程代码。自2025年10月22日起，已监测到300多次攻击尝试，建议尽快打补丁以防止进一步损害。

微软修复了ASP.NET Core中的关键漏洞CVE-2025-55315，CVSS评分高达9.9，影响Kestrel服务器。该漏洞可能允许攻击者通过HTTP请求绕过安全功能。建议开发者尽快更新。

JSSS-Find V6.5通过AI分析接口上下文和风险排序，帮助用户快速识别高价值漏洞，提升渗透测试效率，适用于SRC挖洞和企业安全监控。

微软于2025年10月15日发布安全更新，修复175个漏洞，其中包括15个关键和158个重要漏洞。主要漏洞涉及权限提升和远程代码执行，用户应尽快更新补丁以增强安全性。

美国CISA已将Adobe Experience Manager（AEM）中的高危漏洞CVE-2025-54253列入已知被利用漏洞目录，CVSS评分为10.0，攻击者可在未授权情况下执行任意代码。该漏洞影响AEM Forms 6.5.23及更早版本，源于配置错误。Adobe已确认此漏洞并要求联邦机构在2025年11月5日前修复。

“零舞会”攻击活动利用Cisco SNMP漏洞（CVE-2025-20352），通过Linux rootkit控制网络设备。攻击者通过特制数据包触发缓冲区溢出，实现远程代码执行，主要针对旧版Cisco交换机。建议企业修补漏洞、限制SNMP访问并隔离遗留设备，以应对潜在威胁。

GitHub Copilot Chat存在CVSS评分9.6的高危漏洞，攻击者可利用新型提示注入技术窃取私有仓库的源代码和敏感信息。该漏洞已修复，GitHub禁用了相关图片渲染功能以防止攻击。

研究人员发现Redis存在一个潜伏13年的高危RCE漏洞（CVE-2025-49844），攻击者可通过特制Lua脚本完全控制主机。目前约33万个Redis实例暴露在互联网上，其中6万个未配置身份验证。建议用户立即升级并加强安全措施。

微软成功拦截AI生成的钓鱼攻击，NVIDIA修复高危漏洞，Linux内核曝出HID漏洞，思科修复零日漏洞，毒蛇组织运营恶意广告网络，LNK攻击绕过Windows安全，恶意Rust组件窃取加密货币密钥，PyPI维护者遭钓鱼攻击，GitLab修复DoS漏洞，朝鲜黑客针对加密货币开发者。

本周「FreeBuf周报」总结了网络安全热点：谷歌成立网络攻击部门应对威胁，Chrome和Docker存在高危漏洞，印度象神节期间诈骗激增，HOOK安卓木马升级，Rowhammer攻击可植入AI后门，卡巴斯基报告漏洞数量翻倍，社交媒体追踪用户位置，AI工具增强内网防御，Anthropic推出核武器查询拦截器。

NVIDIA更新NeMo框架，修复四个高危漏洞（CVE-2025-23312至CVE-2025-23315），影响所有平台。攻击者可利用这些漏洞执行任意代码、提升权限和窃取信息。受影响版本为2.4.0之前，建议立即更新。

近期全球网络安全事件包括Chrome高危漏洞被利用、安卓木马HOOK升级、Nx构建系统遭供应链攻击、WinRAR零日漏洞被广泛利用。谷歌揭露间谍活动，地下勒索软件团伙再次发起攻击，法国零售巨头欧尚发生数据泄露，SpyNote木马通过假应用商店传播，社交媒体过度收集用户数据引发隐私担忧。

谷歌Chrome浏览器的V8引擎发现关键零日漏洞CVE-2025-5419，可能导致远程代码执行。攻击者可通过恶意网页触发堆内存破坏，劫持函数指针。建议用户立即更新浏览器并屏蔽相关攻击域名。

谷歌Chrome发布安全更新，修复六个高危漏洞，可能导致任意代码执行。更新版本为139.0.7258.127/.128，适用于Windows、Mac和Linux。主要漏洞包括libaom库的堆缓冲区溢出、V8引擎的竞态条件和ANGLE的越界写入。用户应手动更新以确保安全。

全球网络安全事件速递：Chrome发布安全更新修复高危漏洞；Coyote银行木马利用微软UIA框架进行攻击；思科ISE漏洞被活跃利用；Interlock勒索软件同时攻击Windows和Linux；macOS零日漏洞被出售；AI集成中的十大安全隐患；Arch Linux用户需卸载恶意软件包；CISA更新漏洞目录；Form-Data库高危漏洞影响数百万应用；恶意软件"Scavenger"攻击npm包。

谷歌为Chrome浏览器发布紧急安全更新，修复三个关键漏洞，可能导致攻击者执行任意代码。更新版本号为138.0.7204.168/.169，用户应立即更新以防止安全威胁。