安全热点周报：黑客利用 Gladinet 文件共享软件中的零日漏洞

安全资讯导视
• 国家标准《数据安全技术数据安全保护要求》公开征求意见
• 警惕！加拿大供水、储油、储粮等多类工业关基设施的控制参数遭篡改
• 四川一县人社局办公电脑中毒，官方紧急提醒

PART 01

漏洞情报

1.React Native CLI远程命令执行漏洞安全风险通告

11月4日，奇安信CERT监测到官方修复React Native CLI远程命令执行漏洞(CVE-2025-11953)，该漏洞源于React Native CLI中内置的Metro Development Server默认绑定的外部接口对用户输入的不当处理，未经身份验证的攻击者可通过发送POST请求来注入操作系统命令，从而执行任意可执行文件。奇安信鹰图资产测绘平台数据显示，该漏洞关联的全球风险资产总数为1285个，关联IP总数为769个。目前该漏洞POC和技术细节已在互联网上公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.JumpServer ConnectionToken权限验证不当漏洞安全风险通告

11月3日，奇安信CERT监测到官方修复JumpServer ConnectionToken 权限验证不当漏洞(CVE-2025-62712)，该漏洞源于JumpServer的super-connection-token接口没有严格的权限验证，而是返回所有用户创建的连接令牌（包括管理员），导致低权限攻击者可获取高权限用户的资产管理权限并执行恶意操作。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为120113个，关联IP总数为23008个。目前该漏洞POC和技术细节已公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.Gladinet CentreStack 和 TrioFox 本地文件包含漏洞(CVE-2025-11371)

11月4日，美国网络安全和基础设施安全局 (CISA) 发出警告，威胁行为者正在利用 Gladinet CentreStack 和 Triofox 产品中的零日漏洞 (CVE-2025-11371)，该漏洞允许本地攻击者在未经身份验证的情况下访问系统文件。目前至少有三家公司成为攻击目标。虽然尚未发布补丁，但客户可以采取一些缓解措施。

CentreStack 和 Triofox 是 Gladinet 提供的文件共享和远程访问企业解决方案，允许企业将自己的存储空间用作云端。据供应商称，CentreStack“已被来自 49 个国家/地区的数千家企业使用”。

零日漏洞 CVE-2025-11371 是一个本地文件包含 (LFI) 漏洞，会影响这两个产品的默认安装和配置，影响所有版本，包括最新版本 16.7.10368.56560。托管网络安全平台 Huntress 的研究人员于9月27日发现了这一安全问题，当时一名威胁行为者成功利用该问题获取了机器密钥并远程执行了代码。进一步分析发现，该问题是利用本地文件包含漏洞读取 Web.config 文件并提取机器密钥。这使得攻击者能够利用较早的反序列化漏洞（CVE-2025-30406），并通过ViewState实现远程代码执行（RCE）。

研究人员与目标客户分享了缓解措施，并发布了以下建议以防范 CVE-2025-11371：1.禁用位于“C:Program Files (x86)Gladinet Cloud EnterpriseUploadDownloadProxyWeb.config”的 UploadDownloadProxy 组件的 Web.config 文件中的临时处理程序；2.找到并删除定义临时处理程序的行——它指向 t.dn。这行代码启用了攻击者通过本地文件包含利用的易受攻击的功能，因此删除它可防止 CVE-2025-11371 的利用。

研究人员警告说，这些缓解措施“将会影响平台的某些功能”，但要确保该漏洞不会被利用。

参考链接：

https://www.bleepingcomputer.com/news/security/hackers-exploiting-zero-day-in-gladinet-file-sharing-software/

2.CWP Control Web Panel OS命令注入漏洞(CVE-2025-48703)

11月4日，美国网络安全和基础设施安全局 (CISA) 发出警告，威胁行为者正在利用 CentOS Web Panel (CWP) 中的一个严重远程命令执行漏洞。

该安全问题被追踪为 CVE-2025-48703，它允许远程、未经身份验证的攻击者利用 CWP 实例上的有效用户名，以该用户的身份执行任意 shell 命令。CWP 是一款免费的 Linux 服务器管理控制面板，作为 cPanel 和 Plesk 等商业控制面板的开源替代方案进行推广。它被广泛用于网站托管服务商、系统管理员以及 VPS 或独立服务器运营商。

该问题影响 0.9.8.1204 之前的所有 CWP 版本，Fenrisk 安全研究员 Maxime Rinaudo 于6月下旬在 CentOS 7 上演示了该问题。在一篇详细的技术说明中，研究人员解释说，该缺陷的根本原因是文件管理器“ changePerm ”端点即使在省略每个用户的标识符的情况下也会处理请求，从而允许未经身份验证的请求到达需要登录用户的代码。此外，作为 chmod 系统命令中的文件权限模式的“ t_total ”参数，未经清理地传递给 shell 命令，从而允许 shell 注入和任意命令执行。在 Rinaudo 的漏洞利用中，向文件管理器 changePerm 端点发送一个带有精心构造的t_total 的POST 请求，即可注入 shell 命令并以目标用户的身份生成反向 shell。

建议受影响客户尽快升级修复程序，版本号为 0.9.8.1205。

参考链接：

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-centos-web-panel-bug-exploited-in-attacks/

PART 03

安全事件

1.关基威胁真实案例！英国供水行业近两年至少遭受了5起网攻事件

11月3日The Record消息，英国饮用水监管机构饮用水监察局披露的上报数据显示，自2024年以来英国饮用水供应商已遭受了5次网络攻击，首次揭示了该国关基设施面临的日益严重的网络威胁态势。这些攻击没有直接影响饮用水本身的安全供应，而是针对提供相关服务的组织展开。这些报告是依据《网络与信息系统条令》提交，该政策仅要求正式上报那些确实导致关键服务中断的网络事件，类似网络侦查或窃密等类型的攻击并无法定披露义务，因此实际数量会更多。这一数据也印证了英国情报部门此前的警告，恶意网络行为者对国家关键基础设施构成的威胁正在不断上升。

原文链接：

https://therecord.media/britain-water-supply-cybersecurity-incident-reports-dwi-nis

2.四川一县人社局办公电脑中毒，官方紧急提醒

10月30日观察者网消息，四川省炉霍县人力资源和社会保障局通过微信公众号，向当地县级机关各部门、各乡镇、企事业单位发去紧急通知，提醒警惕冒充社保机构发布虚假“社保新规”链接。通知称，“今日，我单位因集中办公环境下的网络交叉使用，导致办公电脑感染病毒，导致钉钉工作账号被不法分子通过远程手段非法控制。”通知指出，不法分子冒用该单位工作人员名义，通过PC版钉钉编辑并发布名为“办公室通告【社保新规】”的虚假信息，此条“办公室通告【社保新规】”信息及其附带链接，并非县人社局发布，属不法分子的诈骗行为！请务必告知所有工作人员切勿点击该链接！该链接极有可能是钓鱼网站或木马病毒，一旦点击，可能导致个人隐私信息泄露、账号被盗，甚至造成单位网络安全风险。

原文链接：

https://mp.weixin.qq.com/s/HRzBK6p_k8px4BanCG0Vog

3.警惕！加拿大供水、储油、储粮等多类工业关基设施的控制参数遭篡改

10月30日The Register消息，加拿大网络安全中心与加拿大皇家骑警联合发布警告称，国内工业控制系统（ICS）正在遭受黑客激进分子操纵。这些攻击者的目的并非牟利，而是寻求刺激与媒体曝光。受害者包括多家组织，一家市政供水设施的水压参数被更改，一家石油与天然气公司的储罐液位计被篡改，一个农场的谷物筒仓的干燥温度遭修改。官方称，“若未能及时发现，可能导致潜在安全隐患。”截至目前，攻击造成的后果仍属轻微，出现了压力波动、读数错误以及一些尴尬事件。但官方表示，如果此类手段被大规模重复利用，完全可能引发物理损害或连锁性故障。官员强调，这些并非复杂的、国家支持的网络行动，而是机会主义式入侵，造成了从误报到服务质量下降等现实层面的干扰。攻击者无需定制恶意软件或具备内部访问权限，只需发现可互联网访问的ICS设备与好奇心即可实施攻击。

原文链接：

https://www.theregister.com/2025/10/30/hacktivists_canadian_ics_systems/

4.逾百万患者病历数据泄露，美国医疗软件供应商NextGen赔偿超1.37亿元

10月29日HIPPA Journal消息，美国电子健康记录与诊所管理软件供应商NextGen Healthcare近日提出高达1937.5万美元（约合人民币1.37亿元）的和解方案，以解决一宗合并集体诉讼。此前该公司在2023年3月底遭受勒索软件攻击，导致大量敏感数据泄露，影响逾104万人。这是NextGen当年遭遇的第二起勒索软件攻击，前一次为1月的Blackcat勒索软件事件。合并诉讼指控称，若NextGen实施合理且适当的安全措施，本可防止此次数据泄露，但其未能做到这一点，尽管公司在2个月前已遭遇过一次勒索攻击。

原文链接：

https://www.hipaajournal.com/nextgen-class-action-data-breach-lawsuit-proceeds/

PART 04

政策法规

1.工信部、金融监管总局联合印发《关于组织开展第二批次网络安全保险服务试点工作的通知》

11月5日，工业和信息化部、金融监管总局联合印发通知，部署开展第二批次网络安全保险服务试点工作。此次试点工作重点行业领域主要面向电信和互联网、工业、金融以及其他相关行业领域的企业类保险，重点主体主要包括面向重点企业、中小企业、产业园区等主体对象的企业类保险和针对网络安全产品的产品服务类保险。

原文链接：

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2025/art_111d3e8b0d0a448ea3538a08385bc0dd.html

2.国家卫健委印发《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》

11月4日，国家卫生健康委办公厅、国家发展改革委办公厅、工业和信息化部办公厅等五部门联合印发《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》。该文件提出，深化人工智能在基层应用、临床诊疗、患者服务等8个方向的24项重点应用。该文件要求，规范人工智能+医疗卫生安全监管，优化行业管理和审核体系，创新监管方式和预警机制，强化数据安全和个人隐私保护。建立大模型应用评测验证，从医疗质量安全、个人隐私和数据安全等方面开展穿透式监管，加强动态监测和预警。加强医疗卫生机构和科研机构等的安全防范，建立临床数据授权运营管理制度，制订数据安全管理和个人信息保护负面清单，建立健全智能应用数据安全防护体系，促进数据规范流通共享。

原文链接：

https://www.nhc.gov.cn/guihuaxxs/c100133/202511/d1a42ae835c743b9b3e83ac0253c3e9f.shtml

3.市监总局印发《国家认监委关于提升认证机构数字化管理能力的指导意见（2025—2029年）》

11月3日，市场监管总局印发《国家认监委关于提升认证机构数字化管理能力的指导意见（2025—2029年）》，以引导认证机构加大数字化基础设施投入，加强数字化能力建设，提高认证关键环节的质量管控能力与效率。该文件要求，认证机构应加强数字化基础设施和数据安全保障能力建设，包括鼓励自建或租赁的网络基础设施和数字化管理平台达到等级保护二级以上的技术要求；在日常参与国际组织、国家和地区之间的认证业务活动过程中，确保不出现任何形式的违规数据出境行为；确保获证组织有关信息的数据安全，加强对恶意入侵、篡改破坏、非法获取利用等违法行为的主动防范；建立一支兼备认证技术、系统设计、数据分析和数据安全能力的专业队伍，保障数字化管理平台的高质量建设和安全稳定运行。

原文链接：

https://www.samr.gov.cn/zw/zfxxgk/fdzdgknr/rzjgs/art/2025/art_cf68be3a47a54f9f9561d88b4f7c4931.html

4.国家发改委印发《深化智慧城市发展推进全域数字化转型行动计划》

10月31日，国家发展改革委、国家数据局等五部门联合印发《深化智慧城市发展推进全域数字化转型行动计划》。该文件明确要求筑牢数字化转型安全防线。要强化网络安全、数据安全防护能力，健全政务云网安全保障体系，加强城市数据基础设施安全保障，实现可信接入、安全互联、跨域管控、全栈防护等安全管理，推进数据安全治理，建立健全数据安全风险防控体系，强化城市数据分类分级保护和全生命周期安全管理，完善数据安全制度规范，加强个人信息保护，压实各类主体安全责任，提升数据安全保护水平。

原文链接：

https://www.ndrc.gov.cn/xxgk/zcfb/tz/202510/P020251031390374269436.pdf

5.国家标准《数据安全技术数据安全保护要求》公开征求意见

10月31日，全国网络安全标准化技术委员会秘书处归口的国家标准《数据安全技术数据安全保护要求》现已形成标准征求意见稿，公开征求意见。该文件提出了数据安全保护原则、目标和框架，规定了数据安全保护的通用要求，及重要数据、核心数据安全保护的专门要求，适用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级保护工作，也可为主管（监管）部门、第三方评估机构等组织对数据安全进行监督、管理和评估提供参考。该文件不适用于涉及国家秘密的数据和军事数据。

原文链接：

https://www.tc260.org.cn/file/2025-10-30/f5fa7670-f5ad-4a1a-893b-291ce8f2b3a5.docx

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！