安全热点周报：AI 编辑器 Cursor 漏洞致远程代码执行，软件供应链面临威胁

安全资讯导视
• 《网络安全技术网络安全运维实施指南》等7项网络安全国家标准发布
• BERT勒索软件持续活跃，工信部发布风险提示
• 沉浸式翻译快照功能曝安全问题，泄露用户敏感数据

PART 01

漏洞情报

1.Jenkins Git Parameter远程命令执行漏洞安全风险通告

8月8日，奇安信CERT监测到官方修复Jenkins Git Parameter 远程命令执行漏洞(CVE-2025-53652)，该漏洞是由于Git Parameter Plugin在构建项目的过程中未验证用户提交的参数，导致攻击者可以通过向Jenkins的git操作中注入任意命令，导致数据泄露、数据篡改甚至服务器权限被接管等严重后果。需要注意该漏洞利用需要以下条件：1.攻击者需要后台权限（Jenkins默认需要账号密码登录，但存在取消身份验证情况）；2.Jenkins安装了Git Parameter插件。该插件非默认安装，但获取后台权限的攻击者可以手动安装该插件。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为45773个，关联IP总数为41859个。目前该漏洞PoC已在互联网上公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Cursor远程代码执行漏洞安全风险通告

8月6日，奇安信CERT监测到官方修复Cursor远程代码执行漏洞(CVE-2025-54135)，Cursor在使用不受信任的MCP服务器时，攻击者可构造的恶意提示词造成用户Cursor配置文件重写从而导致远程代码执行。目前该漏洞PoC已在互联网上公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

3.1Panel agent远程命令执行漏洞安全风险通告

8月4日，奇安信CERT监测到官方修复1Panel agent远程命令执行漏洞(CVE-2025-54424)，该漏洞源于1Panel agent端证书校验不完善导致身份验证绕过，攻击者可结合后台命令执行接口造成未授权远程命令执行，进一步接管服务器。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为46081个，关联IP总数为7111个。目前该漏洞技术细节与PoC已在互联网上公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

4.NestJS Devtools远程代码执行漏洞安全风险通告

8月4日，奇安信CERT监测到官方修复NestJS Devtools远程代码执行漏洞(CVE-2025-54782)，该漏洞源于@nestjs/devtools-integration包的api端点使用了不安全的JavaScript沙箱，攻击者可通过恶意网站触发 CSRF 攻击，利用沙箱逃逸在开发者本地机器上实现远程代码执行。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为8129个，关联IP总数为1641个。目前该漏洞技术细节与PoC已在互联网上公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

安全事件

1.沉浸式翻译快照功能曝安全问题，泄露用户敏感数据

8月9日蓝点网消息，日前有网友发现，沉浸式翻译扩展程序的部分用户数据暴露在互联网上，这些数据包含部分敏感内容如加密货币钱包私钥甚至是企业/机构的商业合同等。严格来说，此次问题并非安全漏洞，而是沉浸式翻译提供的网页翻译快照功能存在缺陷，即没有对快照链接进行保护，导致搜索引擎爬虫可以直接抓取内容并将其放置互联网上公开索引。目前泄露的readit.site.tar.zst数据库里已经可以查询到大量敏感内容，建议使用过快照功能的用户检查自己是否泄露过敏感数据并考虑补救方法。

原文链接：

https://www.landiannews.com/archives/110138.html

2.BERT勒索软件持续活跃，工信部发布风险提示

8月6日网络安全威胁和漏洞信息共享平台消息，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）近日监测发现BERT勒索软件持续活跃，主要攻击目标为医疗健康、科技及活动服务等行业用户，可能导致服务中断、业务停摆等风险。BERT是一种具备跨平台攻击能力（Windows/Linux/ESXi）的多线程勒索软件，主要通过钓鱼邮件或篡改软件包传播。建议相关单位及用户立即组织排查，及时更新防病毒软件。定期实施全盘查杀，加强对邮件附件和链接的审核，谨慎打开来源不明的邮件，关闭非必要系统服务以降低攻击面，备份关键数据并离线存储，加强员工网络安全意识培训。

原文链接：

https://mp.weixin.qq.com/s/qHNgFh8WSIdULse92W_72g

3.全球Salesforce CRM数据窃取攻击盛行，谷歌客户数据遭泄露

8月6日Bleeping Computer消息，谷歌公司披露称，内部一个Salesforce CRM实例在6月份遭到UNC6040威胁组织（也称ShinyHunters）攻击，大量中小企业客户的联系信息和备注遭泄露。谷歌表示，攻击者窃取的数据主要是企业基础信息，且大部分为公开商业信息，公司已向受影响用户发送了邮件通知。据悉，ShinyHunters组织近期一直针对跨国公司的员工实施社会工程攻击，通过冒充IT支持人员诱骗对方窃取Salesforce CRM权限，从而访问内部数据。阿迪达斯、澳洲航空、安联人寿、思科等知名企业均曾受过影响。

原文链接：

https://www.bleepingcomputer.com/news/security/google-suffers-data-breach-in-ongoing-salesforce-data-theft-attacks/

PART 03

政策法规

1.《工业和信息化部行政执法事项清单（2025年版）》印发

8月8日，工业和信息化部印发《工业和信息化部行政执法事项清单（2025年版）》。该文件共268项行政执法事项，据第三方统计涉及网络和数据安全共73项，其中57项行政处罚、16项行政检查。具体包括工业和信息化领域网络安全综合检查、工业和信息化领域数据安全监督检查、网络产品安全漏洞检查、对网络运营者落实网络日志留存义务的行政检查、对网络运营者落实网络数据安全保护责任及管理措施的行政检查、对互联网域名服务提供者落实域名解析服务信息安全保障义务的行政检查、对违反电信和互联网用户个人信息保护有关规定的行为实施处罚等。

原文链接：

https://www.miit.gov.cn/cms_files/demo/pdfjs/web/viewer.html?file=/cms_files/filemanager/1226211233/attach/20258/5ba942906a984aea892d2205a110aca8.pdf

2.七部门联合发布《关于推动脑机接口产业创新发展的实施意见》

8月7日，工业和信息化部、国家发展改革委、教育部、国家卫生健康委、国务院国资委、中国科学院、国家药监局等七部门联合印发《关于推动脑机接口产业创新发展的实施意见》。该文件部署了5大重点任务17项具体措施，其中有一项措施为健全安全保障。具体包括持续推动伦理研究，建立健全部门协同、社会参与的治理体系，促进技术创新和科技伦理协调发展。建立数据治理框架，规范对用户信息的收集、存储、使用等行为，防止脑隐私泄露，提升生物数字信息安全防护能力。

原文链接：

https://mp.weixin.qq.com/s/fk0AnwNoGhiQ_T_WNzDb5g

3.韩国发布《生成式人工智能开发与应用个人数据处理指南》

8月6日，韩国个人信息保护委员会（PIPC）发布《生成式人工智能开发与应用个人数据处理指南》，旨在生成式人工智能的开发与应用全过程中对消除个人信息保护法适用的不确定性，提升企业及机构在个人信息处理方面的自主守法能力具有重要作用。该文件重点关注三个方面，一是将生成式人工智能开发与应用的生命周期划分为4个阶段，并提出各阶段需确认的最基本的安全措施；二是针对在生成式人工智能开发及应用过程中不确定性较高的问题，基于个人信息委员会的政策及执行案例提出具体解决方案；三是反映了与人工智能代理、知识蒸馏、机器学习等生成式人工智能开发及应用相关的最新技术动向和研究成果。

原文链接：

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11410

4.《网络安全技术网络安全运维实施指南》等7项网络安全国家标准发布

8月4日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第19号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的7项国家标准正式发布。7项标准包括《网络安全技术网络安全运维实施指南》《网络安全技术信息安全风险管理指导》《网络安全技术云计算服务安全能力评估方法》《网络安全技术人工智能计算平台安全框架》《网络安全技术公钥基础设施证书管理协议》《网络安全技术公钥基础设施 PKI组件最小互操作规范》《网络安全技术公钥基础设施时间戳规范》。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20250804155822

5.工信部等八部门印发《机械工业数字化转型实施方案》

8月1日，工业和信息化部、人力资源社会保障部、住房城乡建设部、交通运输部、农业农村部、国家卫生健康委、应急管理部、市场监管总局八部门联合印发《机械工业数字化转型实施方案（2025—2030年）》。该文件部署了4大行动12项重点任务，其中一项任务为加强网络与数据安全治理。具体包括实施工业互联网安全分类分级管理，推动企业落实《工业互联网安全分类分级管理办法》《工业控制系统网络安全防护指南》要求，开展自主定级、分级防护、符合性评测、安全整改等全环节工作，指导重点企业加强网络安全监测手段建设，加强重要工业控制系统安全防护，提升网络安全综合保障能力。推动研制重点细分行业重要数据识别等标准规范，指导企业开展重要数据识别和目录备案，落实分级保护、风险评估、监测应急等要求，应用数据安全技术产品，强化数据安全保障，提升保护能力。

原文链接：

https://www.miit.gov.cn/cms_files/demo/pdfjs/web/viewer.html?file=/cms_files/filemanager/1226211233/attach/20257/57263fc5683847e790c109ed138a7c98.pdf

6.美国参议员提出《国家量子网络安全迁移法案》

7月31日，美国参议员Gary Peters和Marsha Blackburn提出《国家量子网络安全迁移法案》。该提案要求白宫科学技术政策办公室在180天内领导制定协调一致的国家战略，将联邦系统过渡到抗量子网络安全标准。其次，由美国国防部、能源部等共同主持的跨机构委员会对于量子网络安全的相关技术概念进行了定义的明确。该提案还启动了一项试点计划，要求每个联邦机构在2027年1月1日前至少完成一个高影响系统的后量子密码学迁移。针对迁移工作的评估、监督与问责，由电子政府办公室主任、白宫科技政策办公室及美国审计总长等部门负责。

原文链接：

https://www.peters.senate.gov/newsroom/press-releases/peters-and-blackburn-introduce-bipartisan-bill-to-create-a-national-quantum-computing-cybersecurity-strategy

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！