1.公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本月新增安全漏洞3485个，从厂商分布来看，WordPress基金会新增漏洞最多，有776个；从漏洞类型来看，跨站脚本类和SQL注入类的安全漏洞占比较大，分别为7.5%和5.8%。本月发布漏洞包括Apple macOS安全漏洞（CNNVD-202511-338）（https://support.apple.com/en-us/125635）、Microsoft Excel信息泄露漏洞(CVE-2025-60728)（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60728）等。

2.热点资讯

国家互联网信息办公室制定《国家网络安全事件报告管理办法》，规范网络安全事件报告管理，自2025年11月1日起实施。（https://www.cac.gov.cn/2025-09/15/c_1759583017717009.htm）

攻击者通过电话钓鱼攻击，骗取哈佛大学内部人员的系统登录凭证，导致学校校友事务与发展系统被未授权访问，泄露了个人信息。（https://securityaffairs.com/185034/security/harvard-reports-vishing-breach-exposing-alumni-and-donor-contact-data.html）

1.外部攻击情况

web应用防护系统本月累计拦截对业务系统的攻击1400万次，较上月增加7.8倍。入侵防护系统监测主要攻击类型为：拒绝服务类攻击7000次、可疑网络活动类攻击20万次、信息收集类攻击31万次、获取权限类攻击33万次、网络监控类攻击512万次，占比如图1所示。

图1 攻击类型占比

2.校内防护情况

学校网站、办公系统为主要被攻击目标，攻击源主要集中在捷克、美国，涉及IP 45.135.194.81、143.20.185.93等，已通过web应用防护系统和入侵防护系统封禁，累计拉黑1033个恶意IP。本月处理实验室主机病毒60处，被通报中危漏洞1处，现已整改。本月攻击事件主要涉及口令暴力猜测、远程命令执行漏洞等，其中阻断次数较多事件如表1所示。

表1 攻击事件阻断情况