2025-12-27 02:05:36 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周报披露MongoDB、WindowsPowerShell、FreeBSDrtsold、n8n及WatchGuard防火墙共5个已公开PoC的高危漏洞，其中WatchGuardCVE-2025-14733已有11.5万台设备在线暴露并被在野利用，可无需认证远程执行代码；MongoDB、PowerShell、FreeBSD与n8n漏洞亦涉及信息泄露或命令注入，影响国内数万资产。报告同时收录快手直播被黑灰产批量注入色情内容、东方雨虹遭电诈1200万元、法国邮政与罗马尼亚水务遭网络攻击等重大事件，并汇总粤港澳大湾区跨境数据、数据库联网安全等多项新规。建议用户立即修补上述漏洞、关闭相关配置或启用临时缓解措施，复盘供应链与邮箱付款流程，强化日志与备份。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,威胁情报,安全大事件,数据安全

cover_image

安全热点周报：高危 RCE 漏洞影响了超过115000个 WatchGuard 防火墙

奇安信 CERT

2025年12月26日 16:45 北京

PART01

漏洞情报

1.MongoDB Zlib压缩协议堆内存信息泄露漏洞安全风险通告

12月26日，奇安信CERT监测到MongoDB Zlib压缩协议堆内存信息泄露漏洞(CVE-2025-14847)PoC公开，该漏洞源于Zlib压缩协议头中的长度字段不匹配，导致服务器端Zlib实现存在安全缺陷，当未经身份验证的客户端发送精心构造的、带有异常长度字段的压缩协议包时，可以诱使服务器从其堆内存中读取并返回未经初始化的数据。攻击者可以利用此漏洞，获取服务器进程内存中包含的数据库凭证、业务数据、配置信息等敏感内容，从而破坏数据的机密性。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为15499个，关联IP总数为12655个。目前该漏洞PoC和技术细节已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Windows PowerShell命令注入漏洞安全风险通告

12月25日，奇安信CERT监测到Windows PowerShell命令注入漏洞(CVE-2025-54100)PoC公开，该漏洞源于PowenShell的Invoke-WebRequest默认不使用基本解析，而是通过底层调用IE的MSHTML引擎来完整渲染并执行HTML/JavaScript内容。攻击者可架设包含恶意JS脚本的服务器，当受害者访问时，系统就会自动调用IE引擎解析响应内容，从而造成客户端代码执行。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

3.FreeBSD rtsold远程命令注入漏洞安全风险通告

12月23日，奇安信CERT监测到官方修复FreeBSD rtsold远程命令注入漏洞(CVE-2025-14558)，FreeBSD的rtsol(8)和rtsold(8)程序在处理路由器通告消息中的“域名搜索列表”（Domain Search List）选项时，未对输入内容进行任何验证或转义，直接将其传递给resolvconf(8)脚本。而resolvconf(8)是一个shell脚本，内部在拼接命令时缺乏引号保护，导致攻击者可通过在RA消息中嵌入恶意shell命令，在目标系统上以root权限执行任意命令。该漏洞允许同一局域网内的攻击者远程执行代码，从而完全控制受影响主机。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为20669个，关联IP总数为11244个。目前该漏洞PoC已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

4.n8n远程代码执行漏洞安全风险通告

12月23日，奇安信CERT监测到官方修复n8n远程代码执行漏洞(CVE-2025-68613)，该漏洞源于n8n在评估工作流中用户定义的动态表达式时，未能将其执行上下文与底层服务器运行时环境进行充分隔离。经过身份验证的攻击者可以利用此漏洞，通过在工作流配置中注入恶意表达式，突破安全沙箱限制，直接以n8n进程的权限在宿主服务器上执行任意系统命令，从而导致服务器被完全控制。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为25023个，关联IP总数为8525个。目前该漏洞PoC和技术细节已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART02

新增在野利用

1.WatchGuard Fireware OS 越界写入漏洞(CVE-2025-14733)

12月22日，超过 115,000 台暴露在外的 WatchGuard Firebox 设备仍未修补针对严重远程代码执行 (RCE) 漏洞的补丁，该漏洞已被攻击者积极利用。

该漏洞编号为 CVE-2025-14733，影响运行 Fireware OS 11.x 及更高版本（包括 11.12.4_Update1）、12.x 或更高版本（包括 12.11.5）以及 2025.1 至 2025.1.3 的 Firebox 防火墙。成功利用漏洞后，未经身份验证的攻击者可以远程在易受攻击的设备上执行任意代码，进行无需用户交互的低复杂度攻击。

WatchGuard 与超过 17,000 家服务提供商和安全经销商合作，为全球超过 250,000 家中小企业提供网络安全保护。正如 WatchGuard 在其发布的安全公告中所解释的那样，未打补丁的 Firebox 防火墙只有在配置了 IKEv2 VPN 的情况下才会受到攻击。WatchGuard 还警告称，即使移除了存在漏洞的配置，如果仍然配置了到静态网关对等体的分支机构 VPN (BOVPN)，防火墙仍然可能面临风险。

互联网安全监管组织 Shadowserver 发现超过 124,658 个未打补丁的 Firebox 实例暴露在网上，截至目前仍有 117,490 个实例暴露在外。

WatchGuard 已分享入侵指标，帮助客户识别网络中受感染的 Firebox 设备，并建议发现恶意活动迹象的用户轮换易受攻击防火墙上所有本地存储的密钥。此外，对于无法立即修补易受攻击设备的网络防御人员，WatchGuard 还提供了一种临时解决方案：禁用动态对等 BOVPN、添加新的防火墙策略，并禁用处理 VPN 流量的默认系统策略。

参考链接：

https://www.bleepingcomputer.com/news/security/over-115-000-watchguard-firewalls-vulnerable-to-ongoing-rce-attacks/

PART03

安全事件

1.快手直播间出现大量色情内容：官方紧急切断直播功能称遭到黑灰产攻击

12月23日新黄河消息，快手平台直播间出现大面积失控，官方随后紧急切断直播功能，引发行业与资本市场的关注。22日23时30分，多名用户在社交平台上爆料称，快手直播频道内突然涌现大量涉及淫秽色情、血腥暴力等极度违规的影像内容。据目击者描述，这些违规直播间并非零星出现，而是呈现出明显的“自动化”特征：大量新注册的小白号或僵尸账号在同一时段集体开播，播放预制的非法视频。即使平台后台不断封禁单一账号，违规内容依然如潮水般爆发增长，审核系统疑似处于失灵状态。针对这一极端突发情况，快手在23日0时前后采取了“无差别关停”的紧急止损措施。0时30分左右，记者测试发现，快手直播频道已彻底关闭，页面显示“没有找到内容”或“服务器繁忙”。除了直播功能陷入停摆，快手的短视频浏览、个人中心及提现功能也出现了短暂波动。截至凌晨0时45分，直播频道已恢复正常。快手表示，相应情况已上报给相关部门，并向公安机关报警。

原文链接：

https://mp.weixin.qq.com/s/H3TsD72HTdUS3OJXnF0EdA

2.国内上市公司东方雨虹疑遭电信诈骗损失1200余万元

12月23日证券时报消息，国内上市公司东方雨虹发布公告称，公司下属美国全资子公司OYH Construction Materials LLC（简称“OYH建材公司”）疑遭电信诈骗，涉案金额约171.83万美元（约合人民币1211.80万元）。据悉，OYH建材公司在向总包方支付建设工程进度款时被犯罪分子入侵邮箱并伪造总包身份申请付款实施诈骗，在察觉到疑遭电信诈骗后，OYH建材公司目前已向当地警方Harris County Sheriff”s Office（哈里斯县治安官办公室）和WoodstockPolice Department（伍德斯托克警察局）报案，同时已向美国联邦调查局报案。东方雨虹表示，针对该事项，公司已成立专项工作组前往下属公司进行事件核查、善后处置及风险管控工作。公司将全力配合警方侦破案件，积极采取各项措施争取最大限度挽回损失。

原文链接：

https://mp.weixin.qq.com/s/kzvzsPMuU7p_tnRpCUSqOQ

3.法国邮政系统遭网络攻击，圣诞节高峰期包裹投递中断超一天

12月23日美联社消息，圣诞季来临之际，法国邮政公司在22日遭受一次重大DDoS攻击，致使邮政服务瘫痪，包裹投递和在线支付被迫中断并出现延误，数百万用户深受其扰。据悉，该公司的在线服务全部无法访问，导致所有依赖访问内部系统的服务都无法进行，至少第二天仍未恢复。对于一家在2024年投递了26亿件包裹、雇佣超过20万名员工的公司而言，这无疑是一记沉重打击。目前官方未就肇事者发表任何评论，有工作人员猜测，此次攻击是否可能与俄罗斯有关，亦或是出自一名心怀不满的客户，甚至同事之手。

原文链接：

https://apnews.com/article/france-postal-service-cyberattack-4ea0c3e3bcb8a87341de8aebc1dfc916

4.罗马尼亚国家水务部门遭勒索攻击：上千个系统遭破坏 IT全面瘫痪

12月22日The Register消息，罗马尼亚国家网络安全局披露，该国水资源管理部门国家水务管理局遭遇一起重大勒索软件攻击，约1000个系统受到破坏，相关修复工作正在进行中。该国国家水务管理局表示，内部地理信息系统服务器、数据库服务器、Windows工作站、Windows服务器、电子邮件和Web服务器及域名服务器均受到影响。由于官方网站仍处于离线状态，该部门只能通过其他渠道对外发布信息。罗马尼亚国家网络安全局表示，此次攻击始于12月20日，并蔓延至该国11个流域管理机构中的10个，但是水利工程相关作业仍在正常进行，并由现场工作人员在本地操作。国家水务管理局负责监管罗马尼亚的水利基础设施，包括水坝、水道、饮用水供应以及监测系统。

原文链接：

https://www.theregister.com/2025/12/22/around_1000_systems_compromised_in/

PART04

政策法规

1.《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求》公开征求意见

12月22日，全国网络安全标准化技术委员会秘书处《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》面向社会公开征求意见。该文件规定了粤港澳大湾区（内地、澳门）个人信息处理者或者接收方，在粤港澳大湾区内内地和澳门间通过安全互认方式进行粤港澳大湾区内个人信息跨境流动应遵守的基本原则和要求。对粤港澳大湾区（内地、澳门）个人信息处理者或者接收方的个人信息跨境处理活动进行安全认证（就粤港澳大湾区内内地个人信息处理者或者接收方而言）或认可（就澳门特别行政区个人信息处理者或者接收方而言），依据本文件开展。

原文链接：

https://www.tc260.org.cn/sysFile/downloadFile/7956ca10624f4ecd8ff854e2b83efc8f

2.《网络安全标准实践指南——数据库联网安全要求》发布

12月19日，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——数据库联网安全要求》。为应对基于公共网络数据库联网过程中和联网状态下的安全风险，本文件从技术要求、管理要求两个方面提出了安全要求，同时也给出了云上对象存储安全要求，旨在减少因安全防护措施不足、安全配置不当、管理不当引发的数据泄露等安全事件。该文件适用于指导数据处理者使用数据库系统接入公共网络开展数据处理活动，也可为评估机构提供参考。

原文链接：

https://www.tc260.org.cn/portal/article/2/d5119a2f1df34089a94cba6e7e49cc7d

3.《网络安全标准实践指南——网络数据标签标识技术规范》公开征求意见

12月19日，全国网络安全标准化技术委员会秘书处《网络安全标准实践指南——网络数据标签标识技术规范（征求意见稿）》面向社会公开征求意见。该文件通过规定网络数据标签标识技术的术语和定义、属性格式、生成规则、绑定和传输规则、接收和核验规则、日志要求、安全要求等内容，实现网络数据标签标识技术标准化，可用于帮助数据处理者对数据进行标签标识，在此基础上重点对重要数据和个人信息进行分类分级保护，加强数据全周期全过程溯源管理。该文件适用于网络数据处理者组织内部数据管理和跨组织数据流动。

原文链接：

https://www.tc260.org.cn/sysFile/downloadFile/c67e1ebe9fa54158ae3b8dca3a16e4a2

4.美国NIST发布新指南保护家庭远程医疗网络安全

12月17日，美国国家标准与技术研究院（NIST）发布《缓解远程医疗智能家居集成中的网络安全和隐私风险》（NIST CSWP 34）指南，以智能音箱（也称语音激活数字助理）为例，研究了家庭远程医疗相关的网络安全和隐私风险，并给出应对建议。该文件指出，家庭远程医疗存在数据泄露、数据篡改、拒绝服务攻击、服务中断、未授权访问等潜在威胁，可参考NIST网络安全框架、隐私框架及消费者物联网产品核心基线等指南，使用加密、访问权限控制、网络分段等手段加强防护。

原文链接：

https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelines

往期精彩推荐

【已复现】MongoDB Zlib 压缩协议堆内存信息泄露漏洞(CVE-2025-14847)安全风险通告

【已复现】Windows PowerShell 命令注入漏洞(CVE-2025-54100)安全风险通告

【已复现】FreeBSD rtsold 远程命令注入漏洞(CVE-2025-14558)安全风险通告

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《安全热点周报：高危 RCE 漏洞影响了超过115000个 WatchGuard 防火墙》