FreeBuf周报 | Oracle否认泄露600万条记录；Oracle客户证实云数据泄露事件

摘要：各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

1. Oracle客户证实云数据泄露事件中被盗数据真实有效

尽管甲骨文否认其 Oracle Cloud 联合单点登录服务器发生数据泄露并导致 600 万人账户数据被盗，但多家公司确认，威胁行为者共享的相关数据样本真实有效。

2. 黑客声称窃取600万条记录，甲骨文否认数据泄露

CloudSEK的XVigil平台近期调查发现，一起针对甲骨文云（Oracle Cloud）的网络攻击导致600万条记录被窃取，可能影响超过14万名租户。

3. Google Chrome 零日漏洞遭黑客利用

卡巴斯基的网络安全研究人员发现，Chrome 浏览器的零日漏洞正被复杂的威胁行为者积极利用。此后，谷歌发布了紧急安全更新。该漏洞编号为 CVE-2025-2783，允许攻击者通过 Chrome 安全框架与 Windows 操作系统交叉处的逻辑错误绕过 Chrome 的沙盒保护，从本质上导致浏览器的保护措施失效。

4. 新Windows零日漏洞泄露NTLM哈希值，非官方补丁已发布

新Windows零日漏洞泄露NTLM哈希值，允许远程攻击者通过恶意文件窃取凭据，影响所有Windows版本。

5. Cloudflare推出AI迷宫：新型策略应对AI爬虫

Cloudflare近日推出了名为“AI迷宫”的创新工具，旨在通过将未经授权的网络爬虫重定向到一个由AI生成内容的无限迷宫中，来应对这些恶意爬虫。

6. 微软为Edge for Business新增内联数据保护功能，防止生成式AI数据泄露

微软于本周一宣布，为其面向企业的Edge for Business浏览器新增了一项名为“内联数据保护”的功能。这一原生数据安全控制功能旨在防止员工将敏感的公司数据分享到消费者生成式人工智能（GenAI）应用中，如OpenAI的ChatGPT、Google的Gemini和DeepSeek等。

7. GitHub供应链攻击事件：Coinbase遭袭，218个仓库暴露，CI/CD密钥泄露

此次供应链攻击涉及GitHub Action "tj-actions/changed-files"，最初是针对Coinbase的一个开源项目的高度定向攻击，随后演变为范围更广的威胁。

8. 新型安卓恶意软件利用 .NET MAUI 框架逃避检测

McAfee 研究人员警告称，安卓恶意软件活动正在利用 .NET MAUI 框架逃避检测。这些威胁伪装成合法服务，窃取用户的敏感信息。.NET MAUI（Multi-platform App UI，多平台应用 UI）是微软推出的一款跨平台框架，开发者可以使用 C# 语言构建原生移动和桌面应用程序。

9. Cloudflare R2服务中断事件：密码轮换错误引发全球故障

Cloudflare近日宣布，其R2对象存储及相关服务发生了一次持续1小时7分钟的中断事件，导致全球范围内出现100%的写入失败和35%的读取失败。Cloudflare R2是一项可扩展的、与S3兼容的对象存储服务，提供免费数据检索、多区域复制以及与Cloudflare的深度集成。

10. Splunk 高危漏洞：攻击者可通过文件上传执行任意代码

Splunk 近日发布补丁，修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行（RCE）漏洞。该漏洞编号为 CVE-2025-20229，可能允许低权限用户通过上传恶意文件执行任意代码。

一周好文共读

1. Web缓存欺骗小试 | 静态扩展缓存方式

Web cache deception: Web缓存欺骗，利用Web缓存欺骗这一漏洞，攻击者能够通过该漏洞欺骗Web缓存来存储敏感的动态内容，其成因核心是由于缓存服务器和源服务器这两者处理请求的方式存在差异造成的。

2. 从JS接口到拿下超级管理员权限

首先通过网站标题搞清楚了网站的性质，是一个某地的站群系统，集合管理着大量的子网站。通过Wappalyzer了解使用的重点技术有：Java、Swagger-UI、Spring、Vue.js、Webpack。而常用的前后端分离架构正是Vue.js + Java(SpringBoot)。于是可以初步判断该站点是前后端分离架构的。而前后端分离的架构，常涉及到前后端之间的数据的传递与调用，如果接口鉴权未做好，很容易出现API接口未授权的安全漏洞。