CVE-2025-20701：Beats Studio Buds固件修复窃听漏洞，GCP Config Connector未修补提

资讯专家

Beats Studio Buds固件修复未授权麦克风访问漏洞（CVE-2025-20701）
苹果发布Beats Studio Buds固件更新1B211，修复CVE-2025-20701漏洞。该漏洞允许近距离攻击者通过未配对设备在主动搜索连接时监听麦克风。固件在配对苹果设备后自动更新。CVE-2025-20701是去年披露的三个蓝牙安全问题之一，影响多家厂商设备。

GCP Config Connector'confused deputy'漏洞可提权至组织Owner
Config Connector存在 confused deputy 漏洞，任何Kubernetes命名空间用户可通过提交恶意IAMPolicyMember升级为GCP组织所有者。谷歌内部标记为P1/S1，但后续归类为“预期行为”而未修补，影响使用该服务进行组织级管理的企业。

Android TV 僵尸网络Popa关联以色列公司
研究人员将大型Android TV盒子僵尸网络Popa（用于住宅代理流量进行广告欺诈和爬虫）与以色列上市公司Alarum Technologies旗下NetNut关联。SDK将受感染设备变成代理节点，每日涉及数百万IP。NetNut和Alarum否认指控。

Velvet Ant在隔离关键基础设施中潜伏十年
与中关联的Velvet Ant组织自2016年起入侵某组织的隔离网络。攻击链包括互联网接入点、Nginx/FastCGI代理，以及植入后门的PAM/OpenSSH组件进行凭据窃取和持久访问。部署了GS-Netcat变种、SOCKS5代理和9个pam_unix.so后门，清理复杂。

phpBB会话劫持漏洞（10年历史）被披露
研究人员在phpBB 3.3.16及4.0.0-a2（含）中发现关键身份验证绕过漏洞，单个未认证HTTP请求即可假冒任意用户（含管理员），泄露私信和论坛内容，实现完全控制。用户应升级至3.3.17或最新master分支。

MaXSS和Spyder漏洞影响1000万Chrome用户
SiderAI (Spyder)和MaxAI (MaXSS) 的Chrome侧边栏扩展存在严重漏洞，恶意网站可触发任意扩展操作，包括隐藏标签截图、AI内存转储和潜在文件访问。超过1000万安装量，厂商未响应，建议用户移除扩展直至修复。

OptinMonster供应链攻击波及120万WordPress站点
攻击者向Awesome Motive的OptinMonster、TrustPulse、PushEngage等WordPress插件CDN脚本注入恶意JavaScript。payload在管理员登录时激活，创建恶意管理员账号和隐藏后门插件。源自UpdraftPlus实例和CDN密钥被攻陷。

JetBrains Marketplace恶意插件窃取开发者AI密钥
至少15个恶意AI编码助手插件以不同厂商账号发布在JetBrains Marketplace，窃取OpenAI、DeepSeek等API密钥。插件安装近7万次，正常运行但将key明文发送到攻击者硬编码服务器，并可能转售访问权限。

其他安全事件
- AWS推出AI驱动工具Continuum（受限预览），用于发现、优先级排列和修复漏洞。
- 美国DOT结束对Delta航空2024年CrowdStrike中断响应的调查，未予处罚。
- ShinyHunters泄露纽约尼克斯队和麦迪逊广场花园人才及客户数据。
- FTC报告2025年冒名顶替诈骗损失35亿美元，总欺诈金额达160亿美元。

注意：使用phpBB的用户请立即升级；Chrome扩展用户请移除MaXSS和Spyder；WordPress管理员检查站点是否被植入了后门；GCP Config Connector用户评估风险。