台灣資安新聞彙整 2025.04.01-04.08

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

4/1

開源網頁開發框架 Next.js 爆驗證繞過漏洞 ! 英國 NCSC 籲用戶即刻修補

NCSC 發布公告警告熱門的 Next.js 框架出現授權繞過漏洞。Next.js 是基於 React 的全端網頁應用程式開發框架，廣受全球開發者歡迎。NCSC 指出，攻擊者可藉此弱點發送外部請求並使系統誤判為內部請求，進而繞過授權檢查機制，取得未經授權的敏感資料存取權限。目前已有概念驗證攻擊程式（PoC）在網路上流傳。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11776&mod=1

4/3

刑事局揭露接連攻擊臺灣的駭客 CrazyHunter 身分

針對最近兩個月在臺灣橫行的勒索軟體駭客CrazyHunter，臺灣執法單位調查出現重大進展！刑事警察局宣布，他們確認了駭客的真實身分，是一名20歲的中國浙江籍羅姓駭客。

https://www.ithome.com.tw/news/168231

4/7

Ivanti 漏洞風險從「低」升級為「關鍵」：中國駭客組織 UNC5221 積極利用中

安全研究人員揭露，一個可能與中國有關的網路間諜組織正在積極利用Ivanti產品中的嚴重漏洞，該漏洞原本被廠商評估為低風險，但現已被確認為可實現遠端程式碼執行的關鍵安全威脅。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11790&mod=1

全球資安機構聯合示警：勒索軟體集團和國家級駭客廣泛使用 Fast Flux 技術

美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、國家安全局(NSA)與澳洲、加拿大、紐西蘭等國際網路安全機構近日發布聯合公告，警告組織和DNS服務提供商應積極應對「Fast Flux」網路犯罪規避技術。這項技術被國家級威脅行為者和勒索軟體集團廣泛利用，並已被正式列為國家安全威脅。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11789&mod=1

微軟修補 EncryptHub 發現的兩個 Windows 關鍵漏洞

微軟在上個月的例行修補程式更新中，修復了兩個由安全研究人員「EncryptHub」所發現的 Windows 安全漏洞。根據瑞典資安公司 Outpost24 KrakenLabs 的分析，這些漏洞若被利用，可能會對企業及個人用戶構成嚴重威脅。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11788&mod=1

4/8

ChatGPT 漏洞遭大規模濫用，美國為主要攻擊目標

資安業者 Veriti 的研究員發現一個正被積極利用的伺服器端請求偽造（SSRF）漏洞，編號為CVE-2024-27564（CVSS：6.5）。此漏洞允許攻擊者利用 ChatGP T的 pictureproxy.php 元件（commit ID為f9f4bbc），通過「url」參數發起任意請求，繞過安全控制，控制 ChatGPT 請求指定資源，從而可能導致敏感資訊洩漏。

https://www.twcert.org.tw/tw/cp-104-10060-5d64a-1.html