工信部:关于防范SleepyDck恶意软件的风险提示
1月4日消息,工信部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现SleepyDuck恶意软件持续活跃,其主要攻击目标为使用Cursor和Windsurf等代码编辑器的开发者,可能导致数据泄露、系统受控、业务中断等风险。SleepyDuck是一种极具威胁性的复杂远程访问木马,通过名称抢注技术伪装成合法Solidity工具,当用户打开新代码编辑器窗口或选择.sol文件时该恶意软件被激活。该恶意软件可连接主命令与控制服务器sleepyduck[.]xyz并接收指令,可远程完全控制受感染的Windows系统、窃取敏感数据、执行恶意命令等。建议相关组织和用户立即更新防病毒软件,防范网络攻击风险。(信息来源:CSTIS网站)
开源工作流自动化工具n8n存在Pyodide命令执行漏洞
1月5日消息,研究人员发现开源工作流自动化工具n8n的Python代码节点存在一个沙箱绕过漏洞CVE-2025-68668(CVSS评分9.9),允许经过身份验证的用户通过创建或修改工作流来执行任意系统命令,从而获取服务器权限,影响n8n1.0.0至2.0.0之间的版本。安全企业Censys发布报告称,n8n工具全球用户超23万,每周下载量约为57000次。目前该漏洞PoC已公开,鉴于该漏洞影响范围较大,建议客户构建涵盖漏洞补丁、端点行为分析与网络流量监控的多层次安全体系。(信息来源:奇安信CERT)
旧款D-Link DSL路由器中存在远程代码执行漏洞
1月7日消息,安全研究人员警告,旧款D-Link DSL路由器中存在一个严重的远程代码执行漏洞CVE-2026-0625,(CVSS评分9.3),目前正被积极利用,影响已停产的特定系列消费级和小型办公室用DSL网关路由器。该漏洞存在于路由器的DNS配置接口中的dnscfg.cgi端点,由于输入过滤不当,攻击者无需登录即可直接通过路由器的Web界面注入任意shell命令,导致远程代码执行。该漏洞使攻击者有可能聚集起一个由受感染设备组成的僵尸网络,或者操纵DNS设置,将用户流量重定向到恶意网站。建议用户尽快更新设备。(信息来源:VulnCheck网)
美CISA警告WHILL Model C2电动轮椅中存在严重漏洞
1月5日消息,美网络安全与基础设施安全局(CISA)警告WHILL电动轮椅中存在严重漏洞CVE-2025-14346(CVSS评分9.8),影响两款在全球广泛使用的型号:由日本WHILL公司制造的WHILL Model C2电动轮椅和Model F电动轮椅。该漏洞源于关键功能缺乏身份验证机制,任何在蓝牙范围内的攻击者无需授权或物理接触设备,即可完全控制轮椅,对医疗机构和公共场所的使用者构成重大风险。CISA敦促采取以下防御措施:通过确保设备无法从互联网访问来减少网络暴露面、为控制系统部署防火墙,以及在必须进行远程访问时使用安全的虚拟专用网络。(信息来源:代码卫士)
安全研究人员披露高危满分SQL注入漏洞
1月12日消息,安全研究人员披露高危SQL注入漏洞CVE-2025-52694(CVSS评分10.0),该漏洞存在于面向互联网暴露的服务中,可能影响支持动态SQL查询的Web应用或数据库接口组件。攻击者可通过构造恶意输入参数,利用未过滤的用户输入直接向后端数据库发送任意SQL语句,实现未授权的数据读取、修改、删除,甚至获取数据库服务器控制权限。研究人员建议相关组织立即开展全面风险评估,优先修复受影响系统,防止被自动化攻击工具或高级威胁组织利用。(信息来源:奇安信威胁情报中心)
开源工作流自动化工具n8n存在远程代码执行漏洞
1月8日消息,奇安信CERT监测到官方修复n8n远程代码执行漏洞CVE-2026-21858(CVSS评分10.0),该漏洞源于n8n表单节点在处理请求时,未能正确验证Content-Type头部,导致攻击者可通过类型混淆覆盖req.body.files对象从而操纵文件路径参数,未经身份认证的用户可通过公开的表单节点读取任意文件并配合后台漏洞实现远程代码执行。目前官方已发布安全补丁,建议用户尽快更新。(信息来源:奇安信CERT)
美CISA紧急下令修补已被利用的Gogs高危漏洞
1月13日消息,美CISA已要求联邦民事行政部门在2026年2月2日前修补Gogs高危漏洞CVE-2025-8110。该漏洞源于PutContents API的路径遍历缺陷,允许已认证攻击者通过符号链接覆盖存储库外部文件,绕过此前修复的CVE-2024-55947保护措施,进而通过修改Git配置文件执行任意命令,构成零日攻击风险。Gogs作为Go语言编写的轻量级Git服务替代方案,常用于远程协作,但其开放性使其成为攻击目标。调查显示,目前超1400台Gogs服务器暴露于互联网,其中1250台仍可访问,700个实例显示被入侵迹象。(信息来源:BleepingComputer网)
SAP S/4HANA Private Cloud存在高危SQL注入漏洞
1月13日消息,SAP官方发布安全公告,披露SAP S/4HANA系统中存在一个高危SQL注入漏洞CVE-2026-0501(CVSS评分9.9),影响其私有云及本地部署版本的财务总账模块。攻击者可在已获得低权限账户的前提下,通过构造恶意输入参数,向后端数据库发送未经过滤的SQL查询语句,从而实现对数据库的非法读取、修改或删除操作。目前暂无明确关联的已知威胁团伙信息,但该漏洞属于高危级别,可能被APT组织或自动化攻击工具选中用于横向渗透或数据窃取,建议用户尽快更新。(信息来源:SAPSecurity网)
Web应用程序框架Apache Struts存在远程代码执行与拒绝服务漏洞
1月11日消息,安全研究人员披露Apache Struts存在严重XML验证缺失漏洞CVE-2025-68493(CVSS评分9.8)。攻击者可通过构造恶意的XML请求,利用缺失的XML验证机制,向目标系统注入恶意数据,从而触发远程代码执行或导致拒绝服务。目前尚未观察到明确的在野利用证据,但漏洞具备高可利用性,且已存在公开技术细节与漏洞描述,存在被快速武器化的风险,建议受影响用户升级至最新版本。(信息来源:奇安信威胁情报中心)
工信部:关于防范MuddyWater组织网络攻击的风险提示
1月27日消息,工信部网络安全威胁和漏洞信息共享平台(CSTIS)发布风险提示,称MuddyWater组织正针对政府、军事、电信、能源等关键机构实施网络攻击。攻击者采用双重伪装策略投递恶意载荷:一是将可执行文件伪装成PDF文档。二是在DOC文档中嵌入恶意宏代码。如受害者误启伪装PDF后,将立即释放UDPGangster后门;打开含宏文档则会静默执行代码,解密释放novaservice.exe可执行文件。后门成功部署后会将自身复制为SystemProc.exe,并通过写入注册表实现持久化。攻击者采用动态C2连接策略,优先读取本地配置,失败则回退至硬编码地址。后门程序收集主机名、系统版本等信息并加密回传,最终实现远程控制。建议用户立即禁用Office宏执行、部署邮件网关沙箱检测伪装文件、监控注册表异常写入并清除SystemProc.exe持久化项。(信息来源:CSTIS)
Fortinet多款产品存在身份认证绕过漏洞且遭在野利用
1月28日消息,奇安信CERT监测到Fortinet多款产品存在身份认证绕过漏洞CVE-2026-24858(CVSS评分7.8)且遭在野利用,该漏洞源于FortiCloud单点登录功能中的身份验证逻辑缺陷,当设备启用FortiCloud SSO认证时,攻击者可利用自身合法的FortiCloud账户及已注册设备,绕过正常身份认证机制,直接登录到其他用户账号下注册的设备。成功利用该漏洞可获取目标设备的管理员权限,执行下载设备配置文件、创建本地管理员账号等恶意操作,进而实现对内部网络的深度渗透。FortiOS是Fortinet公司推出的下一代防火墙操作系统,广泛应用于企业边界防护。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
Microsoft Office办公软件套件存在安全功能绕过漏洞且遭在野利用
1月27日消息,奇安信CERT监测到官方修复Microsoft Office安全功能绕过漏洞CVE-2026-21509(CVSS评分7.8),原因是Microsoft Office在进行安全决策时依赖不可信的输入数据。该漏洞存在于Microsoft Office的对象链接与嵌入安全缓解措施中,攻击者可通过构造恶意Office文档绕过用于保护用户免受脆弱COM/OLE控件侵害的安全机制。Microsoft Office是一款广泛使用的办公软件套件,包括文字处理、表格计算、演示制作等多种功能。目前该漏洞已遭在野利用,鉴于影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
数百个Clawdbot网关遭暴露,API密钥和私密聊天受影响
1月27日消息,研究人员发现超过900个未设身份验证的Clawdbot实例暴露在互联网上,且其代码存在多处漏洞,可能导致凭据被盗与远程代码执行后果,遭暴露的根源在于Clawdbot身份验证逻辑中的本地主机自动放行机制。攻击者通过读取权限可获取全部凭据及附带文件传输记录的完整历史会话,还能继承智能体权限:发送消息、执行工具操作,甚至通过过滤响应内容来操控用户感知。部分实例以root权限的容器形式运行,使得攻击者无需身份验证即可执行任意主机命令。Clawdbot是一款开源的个人AI助手,可集成至WhatsApp、Telegram、Slack、Discord、Signal及iMessage等主流即时通讯平台。Clawdbot官方建议用户检测安全暴露风险,并严格限制私聊与群组策略权限。(信息来源:代码卫士)
