每日安全动态推送(25/9/24)

•  B-Link X26路由器Web服务风险挖掘 - FreeBuf网络安全行业门户

本文详细披露了B-Link X26路由器中的一个高危命令注入漏洞（CVE-2025-9580），通过逆向分析揭示了Web服务逻辑与漏洞触发路径，展示了完整的漏洞复现和验证过程。其最大亮点在于深入剖析了非典型Web服务架构下的漏洞挖掘方法，对同类设备的安全审计具有重要参考价值。

•  新型勒索软件HybridPetya可绕过UEFI安全启动 植入EFI分区恶意程序

本文详细分析了HybridPetya勒索软件如何利用UEFI安全启动漏洞绕过系统保护，展示了其高度复杂的技术实现和潜在威胁，是当前引导级攻击研究的重要参考。

•  CVE-2025-9961：利用TP-Link路由器CWMP服务实现远程代码执行

本文详细分析了TP-Link路由器中一个可远程代码执行的严重漏洞（CVE-2025-9961），并展示了如何绕过多项安全机制实现利用。其最大的亮点在于通过自建ACS服务器成功复现攻击链，为研究者提供了宝贵的实战参考。

•  Amazon Linux 2 内核多重漏洞修复

Amazon Linux 2 的 Linux 内核近期被发现存在多个关键漏洞，涉及 use-after-free、越界读取、内存损坏、推测执行攻击和权限提升等安全缺陷。这些漏洞可能导致系统崩溃、拒绝服务或攻击者提升权限。相关漏洞已在内核更新中得到修复，建议用户尽快升级以消除风险。

•  HubSpot Jinjava 引擎严重漏洞导致远程代码执行 (CVE-2025-59340)

本文深入分析了 HubSpot Jinjava 模板引擎中的一个严重沙箱逃逸漏洞（CVE-2025-59340），该漏洞可能导致远程代码执行，具有极高的 CVSS 评分 9.8。文章提供了详实的漏洞利用细节与修复版本，对于企业用户及时防护具有重要参考价值。

•  你只需要一个模糊测试大脑：一种基于大语言模型的自动化漏洞检测与修复系统

本文介绍了基于大语言模型的自动漏洞检测与修复系统 FuzzingBrain，该系统在 DARPA AIxCC 挑战赛中成功发现并修复了多个真实开源项目的漏洞，是当前自动化安全研究的重要突破。

•  CVE-2025-4275 - 不仅仅是基于 Insyde H2O 的 UEFI 固件 SecureBoot 绕过 第 2 部分 | CN-SEC 中文网

本文详细展示了如何将 SecureBoot 绕过漏洞升级为固件更新阶段的任意代码执行，从而完全控制 DXE 卷。文章的亮点在于深入解析了 Insyde H2O 固件更新机制中的安全漏洞，并提供了可复现的 UEFI 驱动代码，为固件安全研究提供了重要参考。

* 查看或搜索历史推送内容请访问：

* 新浪微博账号： 腾讯玄武实验室

* 微信公众号： 腾讯玄武实验室