各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. 无印良品因物流合作伙伴遭勒索攻击暂停线上销售

无印良品因物流商Askul遭勒索攻击暂停线上销售，订单处理和网站功能中断。Askul关键业务全面瘫痪，数据泄露风险待查。近期日本企业频遭攻击，朝日集团此前也因勒索软件泄露27GB数据。

2. Linux-PAM漏洞PoC利用代码公开，可导致本地提权获取root权限

Linux-PAM高危漏洞CVE-2025-8941（CVSS 7.8）允许本地攻击者通过符号链接和竞争条件获取root权限，影响主流Linux发行版。需立即打补丁或禁用pam_namespace模块，防止系统沦陷和数据泄露。

3. GlassWorm供应链蠕虫利用隐形Unicode与Solana区块链实现隐蔽C2通信

全球首个VS Code扩展恶意软件GlassWorm被发现，结合隐形Unicode注入、区块链C2和RAT功能，已感染3.58万次安装。它能自主传播、窃取凭证并控制设备，代表供应链攻击新高度，目前仍在活跃扩散。

4. 0click漏洞重现：新型LNK文件绕过补丁导致NTLM凭据泄露（CVE-2025-50154）

Cymulate发现微软补丁未彻底修复NTLM凭据泄露漏洞（CVE-2025-50154），攻击者可零点击窃取哈希并静默下载恶意文件，导致权限提升和横向移动风险。建议企业加强补丁验证和纵深防御。

5. TP-Link Omada网关曝高危漏洞，无需认证即可远程执行命令（CVE-2025-6542）

TP-Link紧急修复Omada网关四大高危漏洞，包括CVE-2025-6542（CVSS 9.3）允许未认证远程执行命令，CVE-2025-6542（CVSS 8.6）允许认证用户执行命令，影响ER605等多款产品。用户需立即更新固件以防系统被控。

6. 杜比解码器零点击漏洞曝光，安卓用户可能遭RCE

杜比DDPlus解码器存在零点击漏洞，攻击者通过音频消息远程执行恶意代码，Android设备风险突出，无需用户交互即可触发。漏洞影响广泛，建议及时更新防护。

7. Jira路径遍历漏洞（CVE-2025-22167）可导致服务器/数据中心任意文件写入

Atlassian修复高危路径遍历漏洞CVE-2025-22167（CVSS 8.7），影响Jira Software/Service Management数据中心与服务器版，攻击者可写入任意文件导致远程代码执行，建议立即升级至修复版本。

8. Microsoft 365 Copilot 提示注入漏洞可导致攻击者窃取敏感数据

Microsoft 365 Copilot曝间接提示注入漏洞，攻击者可利用恶意Excel表格隐藏指令，诱导AI窃取企业邮件数据并通过Mermaid图表伪装外泄。微软已修复漏洞，凸显AI集成安全风险。

9. GitLab 多安全漏洞可致攻击者触发拒绝服务状态

GitLab紧急发布18.5.1等补丁版本，修复多个高危DoS漏洞和访问控制缺陷，建议自托管实例立即升级。漏洞包括未认证攻击导致的系统崩溃和已认证用户的权限问题，CVSS评分最高8.5。GitLab.com已受保护。

10. Rust库曝高危漏洞（CVE-2025-62518）可导致远程代码执行

Rust库_async-tar_及其分支存在高危漏洞TARmageddon（CVE-2025-62518），评分8.1，可致远程代码执行和供应链攻击。建议迁移至已修复版本_astral-tokio-tar_ 0.5.6+，审计依赖并隔离TAR处理。Rust虽内存安全，但无法避免逻辑错误，需警惕未维护库风险。

一周好文共读

1. 反调试攻防实战：无限Debugger绕过与开发者工具检测技术解析

反调试是一种代码保护技术，通过在程序中植入特定检测逻辑来阻止或干扰开发者工具的调试分析。它能够检测浏览器开发者工具的开启状态，在发现调试行为时自动触发无限循环、异常抛出或代码混淆等干扰手段，有效防止代码被逆向工程分析和恶意篡改。【阅读原文】

2. Java反序列化：fastjson原生反序列化深度剖析

本文详细分析了fastjson 1.2.48和1.2.49版本的反序列化漏洞利用技术，提供了完整的POC代码和详细的调试分析，展示了从漏洞原理到实际利用的完整过程，体现了反序列化漏洞利用的精细技巧。【阅读原文】

3. 某大学生常用APP抓包数据加密流程分析

本文详细分析了某大学生APP登录请求的数据加密流程。通过抓包发现，所有业务数据被加密为单一参数"d"。整个流程通过参数排序、分段加密和Base64编码，最终构建出无法直接读取的加密参数"d"，实现了较高的数据传输安全性。【阅读原文】