台灣資安新聞彙整 2025.12.10-12.16

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

12/11

OWASP 2025 年 Web 應用安全十大威脅揭曉，存取控制漏洞位居榜首

2025 年 OWASP Top 10 Web 應用程式安全風險清單正式公布。存取控制漏洞持續位居榜首，而安全配置錯誤與軟體供應鏈缺失則躍升至第二、第三位，顯示企業在雲端架構與第三方組件管理上面臨更大的挑戰。

https://www.twcert.org.tw/tw/cp-104-10548-03edd-1.html

駭客濫用 GitHub 個人存取權杖，竊取 Actions 機密憑證攻擊雲端控制平面

雲端資安業者 Wiz 指出駭客鎖定開發者 GitHub 個人存取權杖（PAT），再利用 GitHub Actions 機密憑證取得雲端帳號權限，讓程式碼庫中的權杖外洩升級為企業雲端環境的資安事故。

https://www.ithome.com.tw/news/172753

Gemini Enterprise 存在可外洩企業資料的零點擊漏洞 GeminiJack

研究人員發現 Google Gemini Enterprise 存在一項漏洞，讓攻擊者只要以共享 Google Docs、Google Calendar 邀請或 Gmai l郵件，就能存取企業資料並外洩出去。

https://www.ithome.com.tw/news/172754

Perplexity AI 瀏覽器零點擊漏洞可讓攻擊者抹除 Google Drive 資料

Perplexity AI 瀏覽器 Comet 被發現存在一項零點擊漏洞，可讓攻擊者單單以一個有禮貌的商業電子郵件，就能刪除 Google Drive 內的資料。

https://www.ithome.com.tw/news/172755

12/12

新型態手法 ConsentFix 結合 OAuth 同意網路釣魚，透過 Azure CLI 騙取微軟帳號

有人透過 Google 廣告、冒牌 Cloudflare Turnstile 圖靈驗證，並要求使用者進行特定身分流程，然後複製及貼上特定 URL 內容，意圖藉由 Azure CLI 進行新型態的網釣攻擊 ConsentFix。

https://www.ithome.com.tw/news/172800

12/15

ChatGPT、Grok 公開對話遭濫用，惡意廣告導流散布竊資程式 AMOS

攻擊者利用公開 ChatGPT 與 Grok 對話，偽裝成 macOS 清理教學並透過 Google 搜尋廣告導流，誘使使用者複製貼上惡意指令下載並執行 AMOS 竊資程式，鎖定密碼、鑰匙圈與加密貨幣錢包等高價值資料。

https://www.ithome.com.tw/news/172823

12/16

React2Shell 滿分漏洞遭大規模利用

Google 威脅情報小組近日針對編號 CVE-2025-55182 的遠端程式碼執行（Remote Code Execution, RCE）漏洞發布最高級別警報。這項被稱為「React2Shell」的漏洞影響主流前端框架 React 與 Next.js，CVSS v3.x 嚴重度評分達滿分。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12534&mod=1