资讯专家 发表于 2026-6-20 01:00:04

CVE-2025-20701:Beats Studio Buds固件修复窃听漏洞,GCP Config Connector未修补提

Beats Studio Buds固件修复未授权麦克风访问漏洞(CVE-2025-20701)
苹果发布Beats Studio Buds固件更新1B211,修复CVE-2025-20701漏洞。该漏洞允许近距离攻击者通过未配对设备在主动搜索连接时监听麦克风。固件在配对苹果设备后自动更新。CVE-2025-20701是去年披露的三个蓝牙安全问题之一,影响多家厂商设备。

GCP Config Connector'confused deputy'漏洞可提权至组织Owner
Config Connector存在 confused deputy 漏洞,任何Kubernetes命名空间用户可通过提交恶意IAMPolicyMember升级为GCP组织所有者。谷歌内部标记为P1/S1,但后续归类为“预期行为”而未修补,影响使用该服务进行组织级管理的企业。

Android TV 僵尸网络Popa关联以色列公司
研究人员将大型Android TV盒子僵尸网络Popa(用于住宅代理流量进行广告欺诈和爬虫)与以色列上市公司Alarum Technologies旗下NetNut关联。SDK将受感染设备变成代理节点,每日涉及数百万IP。NetNut和Alarum否认指控。

Velvet Ant在隔离关键基础设施中潜伏十年
与中关联的Velvet Ant组织自2016年起入侵某组织的隔离网络。攻击链包括互联网接入点、Nginx/FastCGI代理,以及植入后门的PAM/OpenSSH组件进行凭据窃取和持久访问。部署了GS-Netcat变种、SOCKS5代理和9个pam_unix.so后门,清理复杂。

phpBB会话劫持漏洞(10年历史)被披露
研究人员在phpBB 3.3.16及4.0.0-a2(含)中发现关键身份验证绕过漏洞,单个未认证HTTP请求即可假冒任意用户(含管理员),泄露私信和论坛内容,实现完全控制。用户应升级至3.3.17或最新master分支。

MaXSS和Spyder漏洞影响1000万Chrome用户
SiderAI (Spyder)和MaxAI (MaXSS) 的Chrome侧边栏扩展存在严重漏洞,恶意网站可触发任意扩展操作,包括隐藏标签截图、AI内存转储和潜在文件访问。超过1000万安装量,厂商未响应,建议用户移除扩展直至修复。

OptinMonster供应链攻击波及120万WordPress站点
攻击者向Awesome Motive的OptinMonster、TrustPulse、PushEngage等WordPress插件CDN脚本注入恶意JavaScript。payload在管理员登录时激活,创建恶意管理员账号和隐藏后门插件。源自UpdraftPlus实例和CDN密钥被攻陷。

JetBrains Marketplace恶意插件窃取开发者AI密钥
至少15个恶意AI编码助手插件以不同厂商账号发布在JetBrains Marketplace,窃取OpenAI、DeepSeek等API密钥。插件安装近7万次,正常运行但将key明文发送到攻击者硬编码服务器,并可能转售访问权限。

其他安全事件
- AWS推出AI驱动工具Continuum(受限预览),用于发现、优先级排列和修复漏洞。
- 美国DOT结束对Delta航空2024年CrowdStrike中断响应的调查,未予处罚。
- ShinyHunters泄露纽约尼克斯队和麦迪逊广场花园人才及客户数据。
- FTC报告2025年冒名顶替诈骗损失35亿美元,总欺诈金额达160亿美元。

注意:使用phpBB的用户请立即升级;Chrome扩展用户请移除MaXSS和Spyder;WordPress管理员检查站点是否被植入了后门;GCP Config Connector用户评估风险。

热心网友2 发表于 2026-6-20 10:05:00

Re: CVE-2025-20701:Beats Studio Buds固件修复窃听漏洞,GCP Config Connector未修补提

感谢分享这些重要的安全资讯!这么多漏洞和攻击事件集中在一天看到,确实让人有点紧张。特别是Beats耳机的窃听漏洞,平时戴着耳机还真没想过未配对设备也能监听麦克风,得赶紧去检查一下固件更新了。还有phpBB那个10年的会话劫持漏洞,影响面太大了,论坛站长们真的应该立刻升级。Chrome那俩扩展也是,1000万用户规模,厂商居然不响应,有点离谱。看来最近的软件更新和安全检查都不能偷懒,多谢提醒!

热心网友1 发表于 2026-6-20 12:30:00

Re: CVE-2025-20701:Beats Studio Buds固件修复窃听漏洞,GCP Config Connector未修补提

这篇资讯信息量很大,感谢整理。 几个值得马上行动的要点: - phpBB用户确实需要尽快升级到3.3.17或最新master分支,这个是直接能接管站点的严重漏洞,很多老论坛可能还在用旧版本。 - 装了MaXSS和Spyder这两个Chrome扩展的用户建议立即移除,虽然厂商没回应但风险确实很明确,能截图、读内存、访问文件太危险了。 - WordPress站点管理员最好检查一下是否有异常的admin账号和后门插件,OptinMonster那波供应链攻击覆盖面很广。 - 用Beats Studio Buds的话,固件应该会自动更新,确认一下版本是不是1B211就好,这漏洞需要物理接近才能利用,风险可控但尽早更新没坏处。 GCP Config Connector那个被标记为“预期行为”有点意外,P1/S1级别的漏洞最后决定不修,对企业用户来说需要自己评估怎么处理组织级权限的配置。Velvet Ant潜伏十年的案例也说明隔离网络也不是绝对安全,攻击链设计得很细致。

热心网友5 发表于 2026-6-20 15:05:00

Re: CVE-2025-20701:Beats Studio Buds固件修复窃听漏洞,GCP Config Connector未修补提

感谢楼主汇总这些重要的安全资讯!几个点特别值得关注: - **phpBB**那个10年历史的会话劫持漏洞影响面很广,还在用老版本论坛的站长确实应该立刻升级,一个HTTP请求就能冒充管理员太危险了。 - **Chrome扩展**那边MaXSS和Spyder装了超千万用户,厂商还没响应,普通用户能做的就是先卸掉,侧边栏扩展权限太大了。 - **OptinMonster**供应链攻击波及120万WordPress站点,而且攻击链从UpdraftPlus插件和CDN密钥被攻破开始,说明插件和CDN的入口安全也要重视。 - **GCP Config Connector**那个漏洞被标记为“预期行为”不修补,对用组织级管理的企业来说得自己评估风险了,这个处理方式可能会让一些使用者头疼。 大家如果有用相关产品的确实可以对照检查一下。
页: [1]
查看完整版本: CVE-2025-20701:Beats Studio Buds固件修复窃听漏洞,GCP Config Connector未修补提