文章总结： 本周网络安全领域呈现国内严监管与全球高风险态势，国内从无人机测绘到数据安全典型案例通报，国外数据泄露事件波及百万用户，微软Adobe等巨头漏洞持续发酵，文章提供了企业合规、漏洞应急响应、个人安全防护等具体建议，强调需兼顾合规建设与技术防护。 综合评分： 75 文章分类： 漏洞分析,政策法规,数据安全,漏洞预警,安全大事件

国内合规整治加码，全球高危漏洞集中爆发

原创

信息安全新动态

信息安全新动态

2025年11月24日 09:00 江西

一周网安全景（11.17-11.23）

过去一周，网络安全领域呈现 “国内严监管 + 全球高风险” 态势 —— 国内从无人机涉密测绘到十起数据安全典型案例通报，合规整治与事件处置双线推进；国外数据泄露事件波及百万用户，微软、Adobe 等巨头漏洞持续发酵。国内外核心事件与高危漏洞分类梳理如下：

01

国内安全事件与漏洞（重点）

（一）核心安全事件

1.无人机非法测绘涉军机密，国安部通报典型案例

事件详情：11 月 21 日，国家安全部通报一起无人机测绘重大安全隐患事件。某测绘公司违法分包项目，测绘人员周某未履行审批报备手续，操控无人机闯入敏感区域，采集含机密级、秘密级军事秘密的驻地照片，且其设备已被病毒侵扰，存在严重数据外泄风险。万幸的是，周某在警示教育后删除图像，经复核未发生泄露。

核心影响：暴露测绘行业违法分包、合规缺失问题，警示无人机使用需严守安全边界，否则可能触犯《军事设施保护法》、《测绘法》。

权威出处：http://m.toutiao.com/group/7575357820191670824/?upstream_biz=doubao

2. 网信办通报十起典型案例，覆盖数据泄露、人脸信息违规收集

事件详情：11 月 21 日，国家网信办公开十起网络安全与数据安全执法案例。涉及山东某医学检验公司因目录遍历漏洞导致数据被爬虫爬取、重庆某汽车租赁公司数据库无密码遭 159 次窃取、上海某科技公司自动售货机违法收集人脸信息等，相关企业均被责令改正并处罚款。

核心影响：凸显企业在数据安全管理上的普遍漏洞，从弱口令、未授权访问到安全设备过期，合规落实不到位成主要风险点。

权威出处：https://mguba.eastmoney.com/mguba/article/0/1600698993

3. 中央网信办严打 AI 仿冒直播营销，规范生成式 AI 应用

事件详情：11 月 22 日，中央网信办通报专项整治成果，针对利用 AI 技术仿冒公众人物开展直播营销的乱象，从严处置一批违法违规账号。同时，国家网信办与公安部联合发布《大型网络平台个人信息保护规定（征求意见稿）》，进一步明确平台数据保护责任。

核心影响：为 AI 技术商业应用划定合规红线，遏制虚假营销与个人信息滥用，推动生成式 AI 服务规范化。

权威出处：https://www.cac.gov.cn/yaowen/wxyw/A093602index_1.htm

4. 汽车行业网络乱象整治，一批典型案例被曝光

事件详情：11 月 18 日，网信部门联合相关机构公开汽车行业网络乱象专项整治结果，曝光一批涉及数据泄露、违规收集用户信息的典型案例。部分车企存在车载系统越权收集位置信息、售后系统数据未加密存储等问题，已被要求限期整改。

核心影响：呼应工信部此前修订的汽车领域网络安全审查要求，倒逼车企强化智能网联汽车数据安全与隐私保护。

权威出处：https://www.cac.gov.cn/yaowen/wxyw/A093602index_1.htm

（二）高危漏洞预警

1.深信服运维安全管理系统远程命令执行漏洞（CVE-2025-12916）

漏洞详情：该漏洞源于系统 portal_login、/protocol/session 等接口参数校验不严，存在命令注入风险。未经身份验证的攻击者可利用漏洞执行任意系统命令，获取服务器控制权限，目前 POC 已公开。

影响范围：深信服运维安全管理系统（OSM）＜3.0.12 20241106 版本，国内关联风险资产超 1.2 万个。

防护建议：立即联系厂商获取补丁，升级至最新版本；暂无法升级的，关闭公网暴露端口，限制内部访问权限。

权威出处：https://www.secrss.com/articles/85117

2. 用友 U8Cloud 远程代码执行漏洞

漏洞详情：用友 U8Cloud 的 pubsmsservlet 接口存在远程代码执行漏洞，攻击者可构造恶意请求触发漏洞，无需授权即可获取服务器控制权，窃取业务数据或植入恶意程序。

影响范围：未升级的用友 U8Cloud 部署环境，涉及制造、金融、零售等多个行业。

防护建议：及时安装官方安全补丁，禁用不必要的外部访问接口，通过防火墙拦截异常请求。

权威出处：https://net.xaau.edu.cn/info/1047/2047.htm

02

国外安全事件与漏洞

（一）核心安全事件

1. 瑞典市政系统供应商遭攻击，150 万公民数据暗网泄露

事件详情：11 月 18 日，瑞典数据保护机构通报，IT 系统供应商 Miljödata 遭重大网络攻击。该公司为瑞典 80% 的市政机构提供服务，攻击者窃取约 150 万公民的姓名、身份证号、住址等敏感信息，并发到暗网，还索要 1.5 比特币赎金。

核心影响：导致多个地区公共服务中断，引发民众隐私恐慌，相关市政机构面临合规追责压力。

权威出处：http://m.toutiao.com/group/7570907685382554175/?upstream_biz=doubao

2. 宾夕法尼亚大学数据泄露，120 万师生校友信息遭窃

事件详情：11 月 19 日，美国宾夕法尼亚大学确认核心系统遭入侵。黑客通过社会工程学获取员工凭证，侵入校友与发展事务相关系统，窃取 120 万学生、校友及捐赠者的姓名、联系方式、预估净资产等数据，并利用营销云权限群发攻击性邮件，目前已引发集体诉讼。

核心影响：暴露高校数据安全防护短板，敏感个人信息泄露可能导致精准诈骗等次生风险。

权威出处：http://m.toutiao.com/group/7570907685382554175/?upstream_biz=doubao

（二）高危漏洞预警

1.Windows GDI + 远程代码执行漏洞（CVE-2025-60724）

漏洞详情：微软 11 月安全更新中披露的严重漏洞，源于图形设备接口（GDI+）的堆缓冲区溢出。攻击者可通过诱导受害者打开特制文件触发漏洞，无需身份验证即可执行任意代码，CVSS 评分高达 9.8。

影响范围：Microsoft Windows、Office 等多款产品。

防护建议：立即通过 Windows Update 安装补丁，优先加固文档处理、文件共享类设备。

权威出处：https://www.huaweicloud.com/intl/zh-cn/notice/20251112164632930.html

2. Adobe Substance 3D Designer 系列高危漏洞

漏洞详情：Adobe 多款 Substance 3D Designer 软件被曝存在堆缓冲区溢出、越界写入等多个漏洞。攻击者可利用漏洞在当前用户上下文执行任意代码，影响软件正常运行并窃取本地数据。

影响范围：未升级的 Adobe Substance 3D Designer 版本。

防护建议：及时下载安装 Adobe 官方补丁，关闭软件自动加载外部文件功能，避免打开来源不明的设计文件。

权威出处：https://www.cnvd.org.cn/webinfo/show/11056

3.Windows Subsystem for Linux（WSLg）远程代码执行漏洞（CVE-2025-62220）

漏洞详情：该漏洞为堆缓冲区溢出漏洞，存在于 Windows 子系统 Linux（WSL）的 GUI 组件中。攻击者通过构造特制输入即可执行任意代码，开发测试机、服务器等使用 WSL 的设备风险较高。

影响范围：安装 WSL GUI 组件的 Windows 10/11 设备。

防护建议：尽快安装微软安全更新，禁用非必要的 WSL 功能，限制 WSL 设备的公网访问权限。

权威出处：https://mondoo.com/blog/microsoft-patch-tuesday-november-2025-known-exploited-zero-day

03

本周安全防护核心建议

1. 国内企业合规：严格落实数据安全管理制度，开展漏洞自查（重点排查弱口令、未授权访问），涉及测绘、汽车、直播等行业的企业，需专项梳理合规流程，避免违法分包、违规收集信息。

2. 漏洞应急响应：优先修复深信服、微软、Adobe 等高危漏洞，建立 “补丁测试 – 部署 – 验证” 闭环，关键业务系统需在 48 小时内完成修复。

3. 个人安全防护：不打开陌生邮件附件与可疑文件，关闭设备不必要的公网端口，定期更换密码并启用双因素认证，警惕 AI 仿冒类诈骗。

4. 特殊场景防护：使用无人机开展测绘、勘探等业务时，必须提前履行审批报备手续，划定安全飞行范围，设备定期进行病毒查杀与数据加密。

结语：本周国内监管整治与国外漏洞攻击形成鲜明对比，既体现了数据安全合规的刚性要求，也凸显了全球网络威胁的常态化。企业需兼顾合规建设与技术防护，个人需强化安全意识，共同抵御多元网络风险。

声明

转载声明：本平台部分公开资料源于互联网，转载是为传递信息和网络分享，不代表平台观点，也不保证真实性、不提供建议。除原创及特别说明外，推送内容来自网络和主流媒体，版权归原作者。若发现侵权，请联系我们，将尽快核实并删除。

网络安全，人人有责

信息安全新动态

微信号丨ThinventS2

查看原文：《国内合规整治加码，全球高危漏洞集中爆发》