要闻速览

1、《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布

2、《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》公开征求意见

3、n8n自动化平台现致命漏洞，可远程执行任意代码

4、48小时沦陷6万台服务器：Operation PCPCAT敲响Next.js安全警钟

5、美国FCC发布外国无人机禁令，供应链安全再迎大考

6、法国邮政系统遭网络攻击，圣诞节高峰期包裹投递中断超一天

一周政策要闻

《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布

2025年12月2日，中央网信办提出并归口的《数据安全技术 电子产品信息清除技术要求》强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2027年1月1日起正式实施。

随着数字经济快速发展，手机、电脑等电子产品更新换代频率加快，二手电子产品流通体量日益庞大，然而在流通环节中，由于信息清除不彻底导致的数据泄露风险日益凸显，直接影响社会公共利益和个人信息安全。为落实国务院印发的《推动大规模设备更新和消费品以旧换新行动方案》中关于“出台手机、平板电脑等电子产品二手交易中信息清除方法国家标准”的相关要求，中央网信办提出并委托全国网络安全标准化技术委员会组织制定本标准，旨在规范电子产品信息清除技术方法，引导回收经营者建立健全信息清除管理和技术措施，防范二手流通中的数据泄露风险，促进二手电子产品交易行业健康有序发展。

《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》公开征求意见

为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》中粤港澳大湾区个人信息跨境安全认证工作，依据备忘录、内地认证文件和属地法律法规，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》。

现面向社会公开征求意见。如有意见或建议，请于2026年1月5日前反馈至秘书处。联系人：王寒生 010-64102730  wanghs@cesi.cn

消息来源：全国网络安全标准化技术委员会 关于对《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》公开征求意见的通知

业内新闻速览

n8n自动化平台现致命漏洞，可远程执行任意代码

近日，n8n工作流自动化平台近日披露一个高危安全漏洞，在特定条件下成功利用该漏洞可能导致任意代码执行。该漏洞被追踪为CVE-2025-68613，CVSS评分为9.9分（满分10分）。根据npm统计数据显示，该软件包每周下载量约为57,000次。

一、漏洞技术细节

npm软件包维护团队表示：“在某些情况下，经过身份验证的用户在工作流配置期间提供的表达式，可能会在未与底层运行时充分隔离的执行上下文中进行评估。经过身份验证的攻击者可利用此行为，以n8n进程权限执行任意代码。成功利用可能导致受影响实例完全沦陷，包括未经授权访问敏感数据、修改工作流以及执行系统级操作。”

二、影响范围与修复版本

该漏洞影响所有0.211.0及以上、1.120.4以下版本，已在1.120.4、1.121.1和1.122.0版本中修复。根据攻击面管理平台Censys数据，截至2025年12月22日，全球存在103,476个潜在易受攻击的实例，其中大部分位于美国、德国、法国、巴西和新加坡。

三、缓解建议

鉴于该漏洞的严重性，建议用户尽快应用更新。若无法立即打补丁，建议将工作流创建和编辑权限限制为可信用户，并在具有受限操作系统权限和网络访问权限的强化环境中部署n8n，以降低风险。

消息来源：看雪学苑 n8n自动化平台现致命漏洞，可远程执行任意代码

48小时沦陷6万台服务器：Operation PCPCAT敲响Next.js安全警钟

近日，安全研究人员披露了一起名为Operation PCPCAT的大规模攻击行动。攻击者在短短48小时内，成功劫持了超过6万台Next.js服务器，主要目标是运行配置不当、暴露管理接口或使用弱凭证的Web应用。该行动利用自动化扫描和脚本化攻击，快速识别互联网上可被利用的Next.js实例，并通过远程代码执行等方式植入恶意代码。

技术分析显示，攻击者重点滥用Next.js在生产环境中错误暴露的开发接口，以及未受保护的API端点。一旦入侵成功，服务器会被植入PCPCAT恶意组件，用于建立持久化控制、窃取数据或作为后续攻击的跳板。部分受害服务器还被用于流量转发和命令执行，显示出明显的僵尸网络特征。

研究人员指出，此次事件反映出Web框架在云环境中被大规模滥用的现实风险。安全团队建议，Next.js用户应及时关闭开发模式，限制管理接口访问，强化身份认证，并对服务器日志和异常行为进行持续监控，以降低被自动化攻击批量入侵的风险。

消息来源：安全牛 社保补缴无捷径！北京人社紧急提醒防范代办骗局；别让AI代理“替你做事”变成“替你泄密” | 牛览

美国FCC发布外国无人机禁令，供应链安全再迎大考

美国联邦通信委员会（FCC）宣布禁止新的外国制造无人机系统（UAS）及其关键制造组件，援引国家安全认定称其对美国国家安全构成“不可接受的风险”。该全面禁令仅适用于新设备，现有存量不受影响。FCC强调UAS固有的军民两用性，指出外国制造的UAS及包括数据传输设备、通信系统、飞行控制器、导航系统、传感器和电池管理系统在内的关键组件，可能引发未经授权的监视、敏感数据外泄、实现远程未授权访问，或通过软件更新被恶意禁用。此举旨在确保美国本土UAS制造的独立性，并防范针对关键基础设施或大型活动的潜在威胁。

法国邮政系统遭网络攻击，圣诞节高峰期包裹投递中断超一天

法国国家邮政服务La Poste近日确认，其在线系统在圣诞节前数日遭遇分布式拒绝服务（DDoS）攻击，导致官方网站及移动应用服务中断，影响包裹跟踪与部分投递业务。La Poste方面称，目前尚无证据显示客户数据遭泄露或破坏，但攻击使关键数字系统不可访问，从而延缓了邮政处理流程并引发用户抱怨。此次中断不仅影响邮政服务，还波及其附属银行La Banque Postale的在线银行功能。虽然柜台刷卡与ATM取款正常运行，在线服务则需依赖短信验证等备用流程完成操作。La Poste组织技术团队全力恢复服务，同时强调信件业务仍在进行。
该事件发生在欧洲节日物流需求高峰，与近期法国政府机构也遭遇网络攻击的背景一致。专家认为，类似攻击常通过大量伪造请求占用服务器资源，从而令正常用户无法访问服务。对网络安全从业者而言，此次事件再次提醒节假日前加强流量监测与抗DDoS防护能力的重要性。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！