FreeBuf周报 | CVE漏洞数据库项目面临停摆危机；Apache Roller 高危漏洞改密后会话仍有效

摘要：美国国土安全部终止与MITRE的CVE漏洞数据库合同，25年网络安全基石面临崩塌。业界痛斥此举将破坏全球漏洞追踪体系，威胁防御生态。尽管CISA承诺缓解影响，私营领域或需紧急填补空缺，但过渡挑战巨大。政治预算削减或为主因，专家警告将引发连锁反应。

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

美国国土安全部终止资助，CVE漏洞数据库项目面临停摆危机

美国国土安全部终止与MITRE的CVE漏洞数据库合同，25年网络安全基石面临崩塌。业界痛斥此举将破坏全球漏洞追踪体系，威胁防御生态。尽管CISA承诺缓解影响，私营领域或需紧急填补空缺，但过渡挑战巨大。政治预算削减或为主因，专家警告将引发连锁反应。

美国CISA紧急拨款维持CVE漏洞数据库运转

CISA紧急续签MITRE合同，确保CVE项目11个月资金支持，避免全球漏洞管理停摆风险。CVE基金会成立推动项目独立，解决单一政府资助的可持续性问题。CVE作为关键漏洞标识系统，中断将破坏安全公告、工具厂商和关键基础设施运作。

Apache Roller 曝出高危漏洞（CVSS 10.0）：密码修改后会话仍持续有效

Apache Roller曝高危漏洞(CVE-2025-24859)，会话管理缺陷致密码修改后仍可未授权访问，CVSS 10.0。6.1.5版本已修复。近期Apache多款组件连曝高危漏洞，凸显开源安全维护重要性。

攻击者滥用AI平台仿冒微软登录多阶段钓鱼攻击窃取实时凭证

网络安全专家发现攻击者利用AI工具Gamma发起多阶段钓鱼攻击，通过合法平台托管恶意内容窃取微软账户凭证。攻击链结合中间人技术，仿冒微软登录页面实时验证凭证并绕过多因素认证，凸显钓鱼攻击日益精密，需部署高级安全解决方案应对。

Windows NTLM 漏洞遭多起攻击活动利用（CVE-2025-24054）

微软CVE-2025-24054漏洞被用于窃取NTLMv2哈希，攻击者通过钓鱼邮件针对波兰、罗马尼亚机构实施中继攻击，已关联APT28。该漏洞无需破解密码即可横向渗透，微软3月补丁已修复，建议优先部署。旧系统需微补丁防护。

5700万用户安装的Chrome扩展暗藏追踪代码

57款高风险Chrome扩展总安装量达600万次，隐蔽分发且无法通过搜索发现，可监控浏览行为、窃取cookie并执行远程脚本。部分扩展伪装成安全工具，代码深度混淆，具备间谍软件潜力。专家建议立即卸载相关扩展，修改密码并启用双重验证。谷歌已介入调查。

Windows Server 2025 重启故障导致与域控制器连接中断

微软警告Windows Server 2025域控制器重启后因加载错误防火墙配置导致AD服务中断，可能引发网络不可访问及安全风险。临时方案需手动重启网络适配器或创建计划任务自动执行。微软正开发永久修复，建议管理员监控服务并避免重启。

AI幻觉催生新型网络威胁：Slopsquatting攻击

生成式AI推荐虚假依赖包引发新型供应链攻击Slopsquatting，研究显示20%推荐包为虚假，开源模型幻觉率达21.7%。攻击者利用AI命名规律劫持，虚假包名具持久性和可信性。专家建议安装扫描工具筛查恶意包，批评仓促测试加剧AI风险。

计划生育协会合作实验室数据泄露事件波及160万人

美国LSC实验室遭黑客入侵，约160万关联计划生育协会者的敏感信息泄露，含身份、财务及医疗数据。LSC已启动信用监控和防护服务，专家建议警惕钓鱼诈骗。

谷歌Chrome 136将修复存在20年的已访问链接隐私漏洞

谷歌Chrome 136将引入"已访问链接分区"功能，彻底修复存在20年的隐私漏洞，防止跨站追踪用户历史。新机制仅在同站点内显示已访问链接样式，同时保留子页面导航便利性，实现安全与体验的完美平衡。这标志着浏览器隐私保护的重大突破。

本周好文推荐指数

AD域内网渗透学习——漏洞利用突破

本文基于AD域内网渗透中三种漏洞利用的学习记录。PrintNightmare包括两项漏洞CVE-2021-34527 和 CVE-2021-1675，这些漏洞存在于Windows操作系统上的打印后台处理程序（Print Spooler）服务中。目前基于该漏洞，已经有很多的利用代码，允许进行权限提升和远程代码执行。这个漏洞可以在本地环境提权，也可以在AD域内网环境中获取shell。