叡揚資訊 Vitals ESP 企業知識協作平台存在多項安全漏洞，包括任意檔案上傳（CVE-2025-14253, CVE-2025-14254, CVE-2025-14255）和硬編碼加密金鑰。攻擊者可藉由上傳惡意檔案執行遠端程式碼，或利用硬編碼金鑰解密敏感資訊。建議立即升級至 2023-06-28 版或下載官方修補…

年度慈善募款活動：捐款抽獎的安全與效益 在今年的年度慈善募款活動中，捐款抽獎已成為提高參與度與募集額的重要方式。玩家或公眾在完成捐款後，即可獲得抽獎機會，藉此激發更多善款流入。然而，隨著數位募款的普及，詐騙手法也愈發…

Spinny 收購 GoMechanic，旨在整合二手車交易與維修保養服務，打造完整 O2O 生態。技術整合重點包括：API 統一與資料交換，確保車輛資訊同步；雲端架構與微服務化，實現服務擴容與安全管理；資料治理與合規，遵守印度《個人資料保護法案》。此舉反映了印度汽車市場技術合併趨勢，預期透過資料整合和 AI 應用提升…

2025 年 9 月，CentreStack 產品爆發零日漏洞攻擊事件。攻擊者利用 CVE-2025-11371 (LFI) 漏洞讀取 Web.config 檔獲取機器金鑰，再藉由 CVE-2025-30406 (硬編碼金鑰反序列化) 執行遠端程式碼，導致至少三家公司遭入侵。CISA 已將此漏洞列入 KEV 目錄，並建…

本文探討基於安全左移理念的產品研發全生命週期數據安全意識培訓。強調將數據安全納入開發早期，透過培訓提升開發人員安全編碼能力。結合風險評估、安全需求說明書、安全設計審查、代碼安全指南及安全測試計畫，建立可持續的安全治理體系。資訊安全部門需牽頭，與研發、測試、運維共同制定培訓手冊與案例庫。…

CVE-2025-59287 漏洞影響 WSUS 伺服器，允許未經身份驗證的攻擊者遠程執行程式碼。該漏洞源於不受信任資料的反序列化，攻擊者可藉由構造惡意 SOAP 事件注入 .NET 物件，取得 SYSTEM 權限。漏洞利用流程涉及發送惡意事件、執行惡意代碼、下載後門（如 ShadowPad）以及進行橫向移動。漏洞 C…