U.S. CISA adds Apple and Gladinet CentreStack and Triofox flaws to its Known Exploited Vulnerabilities catalog 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100个字以内。首先，我需要通读整篇文章，抓住主要信息。 文章开头提到美国CISA将Apple、Gladinet CentreStack和Triofox的漏洞加入已知被利用漏洞目录。接着详细介绍了两个漏洞：CVE-2025-43529是Apple WebKit的内存问题，可能导致代码执行；CVE-2025-14611是加密密钥硬编码问题，可能被攻击者利用。 然后，文章提到Apple和Google发布了紧急更新，修复了这些漏洞，并指出攻击可能涉及国家行为者和商业间谍软件。CISA要求联邦机构在2026年1月5日前修复这些漏洞，并建议私营组织也进行检查。 现在，我需要把这些信息浓缩到100字以内。要包括CISA添加了哪些漏洞，每个漏洞的影响，以及修复的时间要求。同时要简洁明了，不需要复杂的句子结构。 可能的结构：CISA将Apple、Gladinet CentreStack和Triofox的漏洞加入目录。Apple的漏洞涉及内存管理问题，可能导致代码执行；Gladinet和Triofox的问题涉及硬编码加密密钥。CISA要求在2026年1月5日前修复这些漏洞。 检查字数是否在限制内，并确保所有关键点都被涵盖。 </think> 美国网络安全和基础设施安全局（CISA）将苹果、Gladinet CentreStack和Triofox的漏洞加入已知被利用漏洞目录。苹果WebKit内存管理问题可能导致代码执行；Gladinet和Triofox硬编码加密密钥问题可被攻击者利用。CISA要求联邦机构于2026年1月5日前修复这些漏洞。... 2025-12-15 18:59:59 | 阅读: 3 | 收藏 | Security Affairs - securityaffairs.com catalog exploited centrestack triofox

Atlassian fixed maximum severity flaw CVE-2025-66516 in Apache Tika Atlassian修复了Apache Tika中的最高严重性XXE注入漏洞CVE-2025-66516（CVSS评分10/10），该漏洞影响Tika的核心、PDF模块和解析器模块。攻击者可通过恶意XFA文件触发漏洞，访问内部资源。建议升级至Tika 3.2.2或更高版本以修复问题。... 2025-12-15 15:3:44 | 阅读: 2 | 收藏 | Security Affairs - securityaffairs.com tika parsers injection 54988 atlassian

U.S. fintech and data services firm 700Credit suffered a data breach impacting at least 5.6 million people 嗯，用户让我总结这篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要快速浏览文章内容，抓住主要信息。 文章讲的是美国金融科技公司700Credit遭遇数据泄露，影响了至少560万人。泄露的数据包括姓名、地址、出生日期和社会安全号码。攻击者在5到10月间窃取了这些数据。公司已经通知受影响的经销商和消费者，并提供了信用监控服务。他们还向FBI和FTC报告了事件，并正在通知各州总检察长。 接下来，我需要将这些信息浓缩到100字以内。重点包括：公司名称、泄露人数、泄露的数据类型、时间范围、公司的应对措施以及受影响人数和地区。 可能的结构是：700Credit遭遇数据泄露，影响560万人，泄露数据包括个人信息，攻击者在5-10月窃取，公司已采取措施并报告当局。 检查一下是否在100字以内，并且没有使用“文章总结”之类的开头。 </think> 美国金融科技公司700Credit遭遇数据泄露事件，影响至少560万人。泄露数据包括姓名、地址、出生日期和社会安全号码。攻击者于2025年5月至10月期间窃取数据。公司已通知受影响经销商和消费者，并提供信用监控服务。事件已报告给FBI和FTC，并正在协调监管通知。... 2025-12-15 11:23:2 | 阅读: 7 | 收藏 | Security Affairs - securityaffairs.com 700credit dealers consumers behalf ftc

CERT-FR recommends completely deactivate Wi-Fi whenever it’s not in use 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头，直接写描述。好的，我先看看文章说了什么。 文章主要讲的是CERT-FR建议用户在不用Wi-Fi的时候完全关闭它，以减少风险。他们提到Wi-Fi有很多漏洞，包括无线接口、应用、操作系统和硬件层面的。CERT-FR还建议用户只从官方商店下载应用，审查权限，保持设备更新和重启，使用VPN在公共Wi-Fi上，并禁用自动连接到开放网络的功能。 文章还提到智能手机因为处理大量数据和多种功能，成为网络情报攻击的主要目标。各种协议如Wi-Fi、蓝牙、NFC和蜂窝网络都有弱点，可能被用来拦截数据或部署间谍软件。还有零点击漏洞可以让设备在用户不知情的情况下被攻破。 CERT-FR的报告里还提到了保护移动设备的建议，比如关闭不用的Wi-Fi，禁用自动连接，避免使用公共网络，并在必要时使用VPN。 所以总结起来就是：CERT-FR建议用户在不使用Wi-Fi时关闭它，并采取其他安全措施来保护设备免受攻击。 </think> CERT-FR建议用户在不使用Wi-Fi时完全关闭它，并采取其他安全措施（如使用VPN、避免连接公共网络）来降低风险。智能手机因处理大量数据和多种功能而成为网络攻击的主要目标。... 2025-12-15 10:1:1 | 阅读: 4 | 收藏 | Security Affairs - securityaffairs.com spyware hardware deactivate

SECURITY AFFAIRS MALWARE NEWSLETTER ROUND 75 嗯，用户让我总结一篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。首先，我需要理解用户的需求。他们可能是在寻找一个简洁明了的摘要，可能用于快速了解文章内容，或者用于某种展示。 接下来，我看看提供的文章内容。文章主要讲的是网站使用cookies来记住用户的偏好和访问记录，从而提供更相关的体验。用户可以选择接受所有cookies，或者通过“Cookie Settings”进行更细致的控制。这看起来像是一个典型的隐私政策或cookies政策页面。 所以，我需要把重点放在cookies的作用、用户的选择以及隐私保护上。要确保在100字以内涵盖这些要点。可能的结构是：网站使用cookies来记住偏好和记录访问，以提升用户体验；用户可以选择接受所有cookies或在设置中进行控制。 然后，我要检查是否符合用户的要求：中文、简洁、不使用特定开头。确保没有遗漏关键信息，并且语言流畅自然。 最后，确认字数是否在限制内，并且信息准确无误。这样就能满足用户的需求了。 </think> 网站使用cookies记录用户偏好和访问记录以提供相关体验,用户可选择接受全部cookies或通过设置进行个性化控制.... 2025-12-14 14:22:16 | 阅读: 4 | 收藏 | Security Affairs - securityaffairs.com remembering repeat visits

Security Affairs newsletter Round 554 by Pierluigi Paganini – INTERNATIONAL EDITION 本网站使用cookies记录用户偏好和访问历史，以优化体验。用户可选择接受全部cookies或通过设置进行个性化管理。... 2025-12-14 14:3:10 | 阅读: 5 | 收藏 | Security Affairs - securityaffairs.com repeat visits remembering

Experts found an unsecured 16TB database containing 4.3B professional records 专家发现一个未加密的16TB数据库暴露了43亿条职业记录，包含姓名、邮箱等信息。研究人员于2025年11月23日发现后两天内锁定该数据库。这些数据可用于大规模AI驱动的社会工程攻击。... 2025-12-14 08:56:50 | 阅读: 22 | 收藏 | Data Breach - securityaffairs.com database unsecured 16tb cybernews sitemap

Germany calls in Russian Ambassador over air traffic control hack claims 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。用户的要求是直接写文章描述，不需要以“文章内容总结”或“这篇文章”开头。 首先，我得仔细阅读文章内容。文章标题是“Germany calls in Russian Ambassador over air traffic control hack claims”，主要讲述了德国召见俄罗斯大使，指控其参与网络攻击和选举干预。 接下来，我需要提取关键信息：德国指责俄罗斯的网络攻击针对空管系统，并且有明确证据指向APT28（Fancy Bear）；此外，还提到俄罗斯通过Storm 1516活动进行信息战，试图影响德国选举；德国表示将采取反制措施，并强调这是混合威胁的一部分。 现在，我需要将这些信息浓缩成一句话，不超过100字。要确保涵盖主要事件：召见大使、网络攻击、选举干预、证据和反制措施。 可能的结构是：德国召见俄大使，指控其网络攻击空管系统并干预选举，提供明确证据，并计划采取反制措施。 最后检查字数是否符合要求，并确保表达清晰简洁。 </think> 德国召见俄罗斯大使，指控其网络攻击本国空管系统并干预选举。德方称有明确证据显示俄方负责，并计划采取反制措施应对混合威胁。... 2025-12-13 18:14:19 | 阅读: 9 | 收藏 | Security Affairs - securityaffairs.com germany russia german ambassador

U.S. CISA adds Google Chromium and Sierra Wireless AirLink ALEOS flaws to its Known Exploited Vulnerabilities catalog 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求很明确，不需要特定的开头，直接写描述。 首先，我看看文章内容。文章主要讲美国CISA机构将Google Chromium和Sierra Wireless AirLink ALEOS的漏洞加入到已知被利用的漏洞目录中。这两个漏洞分别是CVE-2025-14174和CVE-2018-4063。 接下来，我需要提取关键信息：CISA、Google Chromium、Sierra Wireless、漏洞、加入目录、修复截止日期（2026年1月2日）。同时，文章提到这些漏洞已经被用于实际攻击，所以修复很重要。 现在我要把这些信息浓缩到100字以内。确保涵盖CISA的动作、涉及的公司和漏洞名称、以及修复的时间要求。 可能的结构是：CISA将两个高危漏洞加入目录，并要求联邦机构在特定日期前修复。这样既简洁又全面。 检查一下是否符合用户的要求，没有使用“文章总结”之类的开头，直接描述内容。字数也要控制好，不超过限制。 最后，确保语言通顺，信息准确无误。 </think> 美国网络安全与基础设施安全局（CISA）将Google Chromium和Sierra Wireless AirLink ALEOS的两个高危漏洞加入已知被利用的漏洞目录，并要求联邦机构在2026年1月2日前修复这些漏洞以应对潜在攻击。... 2025-12-13 10:48:52 | 阅读: 17 | 收藏 | Security Affairs - securityaffairs.com catalog sierra chromium memory

Emergency fixes deployed by Google and Apple after targeted attacks Google和Apple发布紧急更新修复零日漏洞，这些漏洞被用于针对特定高价值个人的攻击。两家公司未透露更多细节。... 2025-12-13 00:8:15 | 阅读: 14 | 收藏 | Security Affairs - securityaffairs.com exploited pierluigi spyware paganini emergency

Notepad++ fixed updater bugs that allowed malicious update hijacking 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要用“文章内容总结”之类的开头。我得先仔细看看这篇文章讲的是什么。 文章标题是Notepad++修复了更新器的漏洞，这个漏洞曾被恶意劫持。里面提到Notepad++的更新器存在一个安全问题，攻击者可以利用这个漏洞劫持更新流量，因为文件认证不够强。 然后，安全研究人员Kevin Beaumont报告了多个用户遇到的安全事件，这些攻击主要针对东亚的电信和金融公司，可能来自中国。攻击者可能利用了Notepad++的漏洞。 Notepad++在11月中旬发布了更新，修复了GUP/WinGUP更新器的问题。原来的问题在于更新器使用HTTP协议，容易被劫持。虽然现在改成了HTTPS，但ISP级别的劫持还是有可能。旧版本使用自签名证书，导致验证不严。 Notepad++ 8.8.8版本强制更新只能从GitHub下载，这样拦截就难多了。文章还提到一些入侵迹象，比如gup.exe联系其他域名、启动异常进程、临时文件夹出现可疑文件等。 不过具体的攻击手法还不清楚，Beaumont猜测可能是ISP级别的劫持。Notepad++确认了这个问题，并修复了验证机制。 总结一下，文章主要讲的是Notepad++修复了一个严重的更新器漏洞，防止恶意软件通过劫持更新来传播。用户需要关注这些入侵迹象，并确保使用最新版本的软件。 现在我要把这些信息浓缩到100字以内。重点包括：漏洞类型、攻击方式、修复措施以及入侵迹象。 </think> Notepad++修复了其更新器中的一个漏洞，该漏洞允许攻击者通过弱文件认证劫持更新流量并分发恶意软件。研究人员发现攻击针对东亚的电信和金融机构，并推测可能来自中国。新版本强制从GitHub下载更新以防止拦截，并改进了验证机制以增强安全性。... 2025-12-12 22:16:28 | 阅读: 16 | 收藏 | Security Affairs - securityaffairs.com updater security gup download malicious

Elastic detects stealthy NANOREMOTE malware using Google Drive as C2 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解其主要内容。 文章主要讲的是Elastic发现了一个新的Windows后门程序，叫做NANOREMOTE。它和之前的FINALDRAFT/REF7707类似，使用Google Drive作为C2服务器。这个恶意软件通过Google Drive API进行数据传输，很难被检测到。它还有其他功能，比如执行命令、文件管理等。 接下来，我需要提取关键信息：发现者是Elastic，恶意软件名称是NANOREMOTE，使用Google Drive作为C2，与FINALDRAFT有关联，功能包括数据传输、文件管理等。 然后，我要把这些信息浓缩成一句话，不超过100字。要确保涵盖主要点：发现者、恶意软件名称、功能、C2机制以及关联的威胁组织。 最后，检查字数是否符合要求，并确保语句通顺。 </think> Elastic发现了一个新的Windows后门程序NANOREMOTE，该恶意软件利用Google Drive API作为C2服务器，并与威胁组织REF7707关联的FINALDRAFT恶意软件共享代码。它通过加密通信和文件传输功能实现隐蔽操作。... 2025-12-12 11:11:36 | 阅读: 12 | 收藏 | Security Affairs - securityaffairs.com nanoremote c2 finaldraft coded windows

U.S. CISA adds an OSGeo GeoServer flaw to its Known Exploited Vulnerabilities catalog 嗯，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头。我得先仔细阅读这篇文章，理解主要信息。 文章讲的是美国网络安全和基础设施安全局（CISA）将一个OSGeo GeoServer的漏洞加入到已知被利用的漏洞目录中。这个漏洞的CVE编号是CVE-2025-58360，CVSS评分为8.2。GeoServer是一个开源服务器，用于共享和编辑地理空间数据。 漏洞具体是在/GetMap端点中存在XXE（XML外部实体）漏洞，影响了特定版本的GeoServer。攻击者可以利用这个漏洞访问内部文件或触发服务器请求。虽然没有公开的技术细节，但加拿大网络中心确认已经有活跃的利用。 CISA要求联邦机构在2026年1月1日前修复这个漏洞，并提到之前也有类似的攻击事件发生。因此，总结时需要包括CISA加入漏洞、漏洞细节、影响版本、修复版本以及修复截止日期等关键点。 接下来，我要把这些信息浓缩到100字以内，确保涵盖所有重要信息：CISA加入漏洞、CVE编号、CVSS评分、XXE漏洞的位置和影响版本、修复版本以及修复截止日期。同时，避免使用任何开头语句，直接描述内容。 可能的结构是：CISA将OSGeo GeoServer的XXE漏洞加入目录，影响特定版本，修复版本已发布，并要求在2026年1月前修复。 最后检查字数是否在限制内，并确保语言简洁明了。 </think> 美国网络安全机构CISA将OSGeo GeoServer中的XML外部实体（XXE）漏洞（CVE-2025-58360）加入已知被利用漏洞目录。该漏洞影响特定版本的GeoServer，在/GetMap端点中未正确清理XML输入，可能导致文件泄露或服务器请求伪造。修复版本已发布，CISA要求联邦机构于2026年1月前完成修复。... 2025-12-12 09:24:42 | 阅读: 14 | 收藏 | Security Affairs - securityaffairs.com geoserver exploited catalog security

Critical Gogs zero-day under attack, 700 servers hacked 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求很明确，直接写文章描述，不需要开头语。首先，我得仔细阅读文章内容，抓住关键点。 文章主要讲的是Gogs被零日漏洞攻击，导致700台服务器被黑。Gogs是一个自托管的Git服务，类似于GitHub。攻击者利用了一个未修补的漏洞CVE-2025-8110，实现了远程代码执行。这个漏洞是路径遍历问题，在PutContents API中存在。 Wiz的研究人员发现了这个漏洞，并且他们扫描发现有1400个暴露在互联网上的Gogs服务器，其中700多个被攻破。攻击者利用符号链接绕过了之前的防护措施，进而覆盖敏感文件并执行任意命令。 此外，研究人员指出攻击者使用了Supershell框架，并且Gogs管理员需要采取措施来缓解风险。漏洞在7月被报告，但到10月底才被承认，目前仍未修复。 现在我需要把这些信息浓缩到100字以内。重点包括：零日漏洞、700服务器被黑、Gogs的用途、漏洞细节、研究人员发现的情况、攻击方法以及管理员建议。 可能的结构是：首先说明事件和影响，然后简要描述漏洞和攻击方式，最后提到修复情况和建议。 这样组织起来应该能符合用户的要求。 </think> 黑客利用未修补的Gogs零日漏洞CVE-2025-8110远程控制代码执行，入侵约700台暴露于互联网的服务器。该漏洞源于PutContents API中的路径遍历问题，允许攻击者通过符号链接覆盖敏感文件并执行任意命令。研究人员发现大量暴露实例中过半数已被攻陷，建议管理员限制访问并检查可疑活动。... 2025-12-11 21:29:59 | 阅读: 5 | 收藏 | Security Affairs - securityaffairs.com gogs putcontents wiz repository remote

GeminiJack zero-click flaw in Gemini Enterprise allowed corporate data exfiltration Google修复了Gemini Enterprise中的零点击漏洞GeminiJack，该漏洞允许攻击者通过精心制作的邮件、邀请或文档窃取企业数据。... 2025-12-11 20:16:22 | 阅读: 6 | 收藏 | Security Affairs - securityaffairs.com gemini security attacker geminijack noma

Google fixed a new actively exploited Chrome zero-day 嗯，用户让我用中文帮他总结一篇文章，控制在100字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头，直接写描述。好的，我先看看文章内容。 文章主要讲的是Google修复了Chrome浏览器中的三个漏洞，其中包括一个已经被利用的零日漏洞。这个漏洞编号是466192044，属于高危级别。Google没有透露太多技术细节，但提到这个漏洞是在ANGLE图形库中的Metal渲染器里，涉及到缓冲区大小计算错误，可能导致溢出和内存破坏。另外还有两个中危漏洞，分别涉及密码管理器和工具栏的问题。 此外，今年Google已经修复了七个其他被积极利用的零日漏洞，涉及V8引擎、ANGLE、Mojo等多个部分。Chrome的稳定版本已经更新到143.0.7499.109/.110，并将在未来几天或几周内推出更新。 现在我要把这些信息浓缩到100字以内。重点包括：Google修复了三个Chrome漏洞，其中一个是高危零日漏洞（编号466192044），涉及ANGLE图形库中的缓冲区溢出问题；另外两个中危漏洞；以及今年修复的其他七个零日漏洞；Chrome已更新到新版本。 可能需要省略一些细节，比如具体的漏洞编号和影响。确保语言简洁明了。 </think> Google修复了Chrome浏览器中的三个安全漏洞，包括一个已被利用的高危零日漏洞（编号466192044），该漏洞源于ANGLE图形库中的缓冲区溢出问题。此外还修复了两个中危漏洞，并在今年修复了其他七个被积极利用的零日漏洞。Chrome已更新至新版本以应对这些威胁。... 2025-12-11 18:18:0 | 阅读: 8 | 收藏 | Security Affairs - securityaffairs.com chrome exploited windows addressed

Pro-Russia Hacktivist Support: Ukrainian Faces US Charges 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读全文，抓住主要信息。 文章讲的是乌克兰女子Victoria Dubranova被美国指控支持亲俄黑客组织CARR和NoName057(16)，参与全球网络攻击。她被引渡到美国，面临27年监禁。CARR与俄罗斯军方有关，攻击关键基础设施，如水、食品和能源部门。文章还提到美国悬赏200万美元寻找CARR成员的信息。 接下来，我需要将这些信息浓缩成100字以内的总结。要包括人物、指控、组织、影响和悬赏。确保语言简洁明了，不使用开头的固定句式。 可能会这样组织：乌克兰女子被指控支持亲俄黑客组织参与全球网络攻击，涉及关键基础设施如水、食品和能源部门。她面临长期监禁，美国悬赏200万美元寻找相关信息。 检查一下是否超过字数限制，并确保所有关键点都涵盖在内。 </think> 乌克兰女子Victoria Dubranova被指控支持亲俄黑客组织CARR和NoName057(16)，参与全球网络攻击。她被引渡至美国，面临27年监禁。CARR与俄罗斯军方有关，攻击关键基础设施如水、食品和能源部门。美国悬赏200万美元寻找相关信息。... 2025-12-11 08:29:54 | 阅读: 13 | 收藏 | Security Affairs - securityaffairs.com carr russia hacktivist water gru

Fortinet fixed two critical authentication-bypass vulnerabilities 好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得仔细阅读文章，抓住关键信息。 文章主要讲的是Fortinet修复了两个严重的认证绕过漏洞。这两个漏洞的CVE编号是CVE-2025-59718和CVE-2025-59719，CVSS评分高达9.1，属于高危漏洞。这些漏洞影响了多个产品，包括FortiOS、FortiWeb、FortiProxy和FortiSwitchManager，当FortiCloud SSO功能启用时就会受到影响。 接下来，文章提到这两个漏洞是因为加密签名验证不当导致的。攻击者可以利用伪造的SAML消息绕过认证。虽然FortiCloud SSO默认是关闭的，但如果管理员在注册设备时没有禁用相关选项，就会自动启用。 Fortinet建议用户在升级到不受影响的版本之前，暂时关闭FortiCloud SSO功能作为缓解措施。此外，文章还列出了受影响的具体版本以及对应的升级建议。 最后，文章提到这些漏洞是由Fortinet内部团队发现的，并且目前还没有证据表明这些漏洞已经被用于实际攻击中。 总结一下，我需要将这些关键点浓缩到100字以内。重点包括：修复了两个高危认证绕过漏洞（CVE编号），影响多个产品和版本，原因在于加密签名验证问题，攻击者可利用SAML消息绕过认证，默认情况下SSO关闭但可能被启用，建议升级或禁用SSO。 </think> Fortinet修复了两个严重认证绕过漏洞（CVE-2025-59718和CVE-2025-59719），影响 FortiOS、FortiWeb、FortiProxy 和 FortiSwitchManager 的 FortiCloud SSO 功能。攻击者可利用伪造 SAML 消息绕过认证，默认情况下 SSO 关闭但可能自动启用。建议升级或禁用 SSO 以缓解风险。... 2025-12-10 22:4:38 | 阅读: 7 | 收藏 | Security Affairs - securityaffairs.com forticloud sso

New EtherRAT backdoor surfaces in React2Shell attacks tied to North Korea 新后门EtherRAT利用React2Shell漏洞CVE-2025-55182进行攻击，可能与朝鲜有关。该木马使用以太坊智能合约作为C2，并具备五种Linux持久化方法。攻击目标为加密货币和Web3开发者。... 2025-12-10 14:45:46 | 阅读: 8 | 收藏 | Security Affairs - securityaffairs.com etherrat react2shell korea north c2

U.S. CISA adds Microsoft Windows and WinRAR flaws to its Known Exploited Vulnerabilities catalog 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内。首先，我需要仔细阅读文章，理解其主要内容。文章主要讲的是美国网络安全和基础设施安全局（CISA）将微软Windows和WinRAR的漏洞添加到其已知被利用的漏洞目录中。 接下来，我需要找出关键信息：CISA添加了哪些漏洞？CVE编号是什么？每个漏洞的CVSS评分是多少？以及这些漏洞的影响是什么。文章提到CVE-2025-6218和CVE-2025-62221，评分都是7.8。前者是WinRAR的路径遍历漏洞，可能导致远程代码执行；后者是Windows的Use After Free漏洞，可能导致权限提升。 然后，我需要将这些信息浓缩到100字以内。要注意直接描述内容，不需要使用“这篇文章总结了...”这样的开头。可能的结构是：CISA添加了两个漏洞到KEV目录，分别影响WinRAR和Windows，并给出CVE编号和影响。 最后，检查字数是否符合要求，并确保信息准确无误。这样用户就能快速了解文章的核心内容了。 </think> 美国网络安全机构CISA将微软Windows和WinRAR的两个高危漏洞（CVE-2025-6218和CVE-2025-62221）加入已知被利用漏洞目录，要求联邦机构于12月30日前修复以防范攻击。... 2025-12-10 09:33:51 | 阅读: 17 | 收藏 | Security Affairs - securityaffairs.com winrar catalog microsoft windows