2025-12-14 00:28:22 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周安全领域出现多个高危漏洞，包括高通骁龙8Gen3启动漏洞和ReactServerComponents远程代码执行漏洞，同时Aisuru僵尸网络创下29.7TbpsDDoS攻击纪录。乌克兰黑客针对俄罗斯国防行业发起攻击，OpenAI承认数据泄露事件。建议用户尽快更新系统补丁，加强安全防护措施，警惕钓鱼攻击和恶意软件威胁。 综合评分： 84 文章分类： 漏洞分析,漏洞预警,威胁情报,安全大事件,数据安全

cover_image

FreeBuf周报 | 高通骁龙8 Gen3曝出高危漏洞；核弹级React远程代码执行漏洞

FreeBuf

2025年12月6日 18:31 上海

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

📶启动过程遭入侵：高通骁龙8 Gen3及5G调制解调器曝出高危漏洞（CVE-2025-47372）

🚨React与Next.js严重RSC漏洞可导致未经认证的远程代码执行

🌩️200多个CVE漏洞遭利用，谷歌云OAST服务成复杂攻击活动跳板

🏳️‍🌈乌克兰黑客利用新型定制恶意软件攻击俄罗斯航空航天企业及国防相关行业

⏱️Aisuru僵尸网络发起29.7Tbps DDoS攻击刷新世界纪录

🚗黑客可在数秒内劫持行车记录仪并将其武器化为攻击工具

📱Android 紧急安全警报：框架组件存在严重拒绝服务漏洞及两个遭利用的 0Day 需立即修补

🤖OpenAI承认数据泄露事件：分析合作伙伴遭钓鱼攻击

🍎黑客组织暗网兜售iOS 26全链0Day漏洞利用工具

🌐微软Outlook高危零点击远程代码执行漏洞PoC利用代码公开

#

启动过程遭入侵：高通骁龙8 Gen3及5G调制解调器曝出高危漏洞（CVE-2025-47372）

高通发布2025年12月安全更新，修复11个漏洞，包括启动过程高危漏洞CVE-2025-47372（CVSS 9.0）及影响音频、摄像头、汽车系统的关键问题，涉及骁龙8 Gen 3等多款芯片，敦促OEM立即部署补丁。

React与Next.js严重RSC漏洞可导致未经认证的远程代码执行

#

React Server Components曝高危漏洞（CVE-2025-55182），攻击者可远程执行代码，影响react-server-dom等npm包及Next.js等框架。39%云环境受影响，建议立即升级至修复版本。

#

200多个CVE漏洞遭利用，谷歌云OAST服务成复杂攻击活动跳板

#

安全研究人员发现一项复杂的漏洞利用活动，该活动利用托管于谷歌云基础设施上的私有带外应用安全测试服务发起攻击。此攻击活动主要针对巴西境内的系统，涉及超过200个通用漏洞。

#

乌克兰黑客利用新型定制恶意软件攻击俄罗斯航空航天企业及国防相关行业

乌克兰黑客组织正对俄罗斯国防企业发起针对性网络攻击，通过钓鱼邮件植入定制恶意软件窃取军工数据，暴露生产链薄弱环节，旨在评估俄罗斯战备状态。攻击手法隐蔽且精准，针对关键岗位人员。

Aisuru僵尸网络发起29.7Tbps DDoS攻击刷新世界纪录

#

Aisuru僵尸网络发起29.7Tbps DDoS攻击创纪录，暴露互联网基础设施脆弱性。Cloudflare成功缓解，显示多太比特攻击成常态。攻击采用UDP地毯式轰炸，每秒1.5万目标端口，但被快速拦截。2025年攻击量激增，电信、游戏等行业成主要目标，地缘冲突加剧攻击态势。

黑客可在数秒内劫持行车记录仪并将其武器化为攻击工具

行车记录仪存在严重安全漏洞，攻击者可远程劫持设备获取视频、音频和GPS数据，甚至传播蠕虫攻击其他设备。建议关闭Wi-Fi、修改密码并更新固件以降低风险。

Android 紧急安全警报：框架组件存在严重拒绝服务漏洞及两个遭利用的 0Day 需立即修补

谷歌发布Android安全公告，披露两个正被利用的0Day漏洞（CVE-2025-48633、CVE-2025-48572）和一个关键远程DoS漏洞（CVE-2025-48631），以及多个内核级高危漏洞。安全补丁分两阶段推送，涵盖核心组件和硬件特定修复，建议用户尽快升级至2025-12-05补丁级别。