工信部:关于防范GhostPenguin恶意软件的风险提示
2月26日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,一种针对Linux服务器的新型恶意软件GhostPenguin持续活跃,可导致Linux服务器被远程控制并引发数据泄露等严重风险。GhostPenguin是一个使用C++开发的多线程Linux后门恶意软件,其核心功能仅在收到C2服务器的“SetStatusActive”(设置状态为活跃)数据包后才会被激活,大幅提升检测难度。一旦核心功能被激活,GhostPenguin可通过多线程处理含远程Shell、文件系统操作等在内的约40种指令,攻击者借此可远程控制受感染设备,窃取敏感数据、破坏系统完整性,严重威胁系统安全可用性及网络环境安全。建议相关单位及时修补Linux系统及应用漏洞、加强账号权限管控、拦截异常加密通信流量等方式防范攻击风险。(信息来源:CSTIS)
青龙面板身份认证绕过漏洞(QVD-2026-10895)安全风险通告
3月2日消息,奇安信CERT监测到官方修复青龙面板身份认证绕过漏洞QVD-2026-10895(CVSS评分9.8),攻击者可通过路径大小写变体(如/API/替代/api/)绕过认证访问受保护接口,通过/open/user/init路径在已初始化的系统上绕过认证并重置用户凭证,从而获得未授权访问权限,并在服务器上执行任意系统命令,最终完全控制目标设备。青龙是一款开源的定时任务管理与脚本自动化运行平台,支持JavaScript、Shell、Python等多种脚本语言,常用于京东签到、自动抢购、数据爬取等场景。目前该漏洞PoC和技术细节已公开。鉴于该漏洞已发现在野利用,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
美CISA将VMware Aria Operations远程代码执行漏洞列入已知被利用目录
3月4日消息,美网络安全与基础设施安全局(CISA)已将VMware Aria Operations命令注入漏洞CVE-2026-22719(CVSS评分8.1)列入已知被利用漏洞目录,并标记为正被攻击者利用。未经身份验证的攻击者可能在VMware Aria Operations支持辅助产品迁移过程中利用该漏洞,导致远程代码执行。VMware Aria Operations是企业监控平台,用于追踪服务器、网络及云基础设施性能与健康状况。美CISA要求联邦机构在2026年3月24日前修复该漏洞。(信息来源:BleepingComputer网)
谷歌Chrome安全漏洞致Gemini Live助手遭劫持,可被用于间谍活动
3月4日消息,研究人员发现谷歌Chrome浏览器存在安全漏洞CVE-2026-0628,允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live,攻击者可利用该漏洞侵入浏览器环境并访问本地操作系统文件,实施用户监控并窃取敏感文件。Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。研究人员演示了普通扩展劫持Gemini面板后可执行的操作:包括实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图等。谷歌已修复该漏洞,建议用户及时更新。(信息来源:HackerNews网)
Juniper PTX系列路由器存在高危漏洞,可导致路由器被完全接管
2月27日消息,研究人员发现Juniper网络PTX系列路由器所搭载的Junos OS Evolved网络操作系统存在高危漏洞CVE-2026-21902,未经身份验证的攻击者可利用该漏洞以root权限远程执行代码,进而完全控制设备。该漏洞影响PTX系列路由器上25.4R1-S1-EVO和25.4R2-EVO之前的Junos OS Evolved版本。PTX系列路由器是高性能核心与对等互联路由器,专为高吞吐量、低延迟和规模化场景设计,广泛应用于互联网服务提供商、电信运营商以及云网络场景。研究人员表示,尚未发现该漏洞被恶意利用情况,建议使用防火墙过滤规则或访问控制列表;管理员也可通过相关指令完全禁用存在漏洞的服务。(信息来源:BleepingComputer网)
关于OpenClaw多个安全漏洞的通报
3月10日消息,根据国家信息安全漏洞库(CNNVD)统计,自2026年1月—2026年3月9日,共采集OpenClaw漏洞82个,其中超危漏洞12个,高危漏洞21个、中危漏洞47个、低危漏洞2个,包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw 2026.2.15及之前多个版本均受到漏洞影响。OpenClaw(曾用名Clawdbot、Moltbot)是一款开源AI智能体,其通过整合多渠道通信能力与大语言模型,构建具备持久记忆、主动执行能力的定制化AI助手,可在本地私有化部署。其可运行在PC或服务器等多种终端设备上,能够直接通过微信、Telegram、Discord、Slack、iMessage等聊天平台接收指令并执行操作。OpenClaw拥有大量用户群体,影响范围涉及多个行业和领域,攻击者利用漏洞可在未授权状态下获取目标敏感数据,提升权限或远程执行代码。目前,OpenClaw官方已发布了更新修复漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。(信息来源:综合CNNVD、CSTIS)
关于Cisco Catalyst SD—WAN Manager/Controller授权问题漏洞的通报
3月9日消息,国家信息安全漏洞库(CNNVD)收到关于Cisco Catalyst SD—WAN Manager和Cisco Catalyst SD—WAN Controller授权问题漏洞CNNVD—202602—4275、CVE—2026—20127(CVSS评分均为10.0)情况的报送。该漏洞源于对等身份验证机制存在问题,未经身份验证的攻击者可通过发送特制数据包,绕过验证机制并获取管理权限。思科产品多个版本均受此漏洞影响。Cisco Catalyst SD—WAN Manager是一个高度可定制的仪表板,可简化和自动化Cisco SD—WAN 的部署、配置、管理和操作。Cisco Catalyst SD—WAN Controller是一个安全策略控制面板。目前,思科官方已发布更新修复了该漏洞,建议用户尽快采取修补措施。(信息来源:CNNVD)
FreeScout严重漏洞可导致服务器遭完全接管
3月5日消息,开源帮助台、共享邮箱解决方案FreeScout中存在一个严重漏洞CVE—2026—28289(CVSS评分10.0),可用于零点击远程代码执行攻击。该漏洞是对近期已修复高危认证RCE漏洞CVE—2026—27636的补丁绕过,成功利用该漏洞可使攻击者完全控制易受攻击的服务器,从FreeScout中窃取帮助台工单、邮箱内容及其他敏感数据,并可能横向移动到网络上的其它系统。目前,FreeScout 1.8.207版本已修复该漏洞。建议用户尽快更新部署。(信息来源:SecurityWeek网)
Nginx UI信息泄露漏洞安全风险通告
3月9日消息,奇安信CERT监测到官方修复Nginx UI信息泄露漏洞CVE—2026—27944(CVSS评分9.8),该漏洞源于/api/backup端点无需身份验证即可访问,并在X—Backup—Security响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据(用户凭据、会话令牌、SSL私钥、Nginx配置)的完整系统备份并解密。Nginx UI是一款基于Web的图形化管理工具,旨在简化Nginx服务器的配置、管理和监控。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
OpenEMR MedEx未授权访问导致API令牌泄露漏洞
3月9日,启明星辰监测到OpenEMR MedEx未授权访问导致API令牌泄露漏洞CVE—2026—24898(CVSS评分9.8)。该漏洞存在于library/MedEx/MedEx.php文件中,由于代码设置$ignoreAuth=true,导致接口在未进行身份认证的情况下即可被外部访问。攻击者可利用泄露的令牌直接访问MedEx平台API,获取患者相关数据、触发通知或修改事件配置,从而造成敏感医疗信息泄露,并可能违反HIPAA等医疗数据合规要求,对医疗机构和患者隐私安全造成严重影响。OpenEMR是一款开源电子病历和医疗信息管理系统,广泛应用于医疗机构的临床管理与患者信息管理。目前,官方已修复该漏洞,建议用户定期更新。(信息来源:启明星辰)
电动汽车充电网络Everon OCCP后端系统存在严重漏洞
3月6日消息,网络安全研究人员提醒称,用于管理电动汽车充电站的数字基础设施Everon OCPP后端系统中存在多个严重漏洞,可导致攻击者劫持充电会话、操纵基础设施数据,或使整个充电网络下线。这些漏洞影响所有版本的api.everon.io平台。其中最严重的漏洞CVE—2026—26288(CVSS评分为9.4)源自WebSocket端点上完全缺乏正确身份验证机制。未经身份验证的攻击者可使用任何已知或已发现充电站标识符连接到后端。一旦连接上,攻击者便可以像合法充电器一样发送或接收开放充电点协议命令,从而导致充电基础设施被未经授权控制、权限提升以及报告数据被篡改等后果。该公司已关闭了受影响的平台,从而有效消除了对电动汽车充电生态系统的威胁。(信息来源:代码卫士)
中国互金协会:关于OpenClaw在互联网金融行业应用安全的风险提示
3月15日消息,中国互联网金融协会发布OpenClaw在互联网金融行业应用安全提示,指出该开源AI智能体因默认高系统权限、弱安全配置,给处理敏感金融信息的互金行业带来四大风险,包括漏洞和恶意插件引发的资金损失、自动化操作导致的交易责任认定难、数据存储传输引发的合规问题,以及借其热度的新型金融诈骗。协会还分别对金融消费者和从业机构提出防范建议,前者需谨慎安装、警惕诈骗并关注相关费用,后者不得在业务终端安装该智能体,还需将其安全管理纳入单位信息安全体系并开展专项培训。(信息来源:中国互金协会网站)
OpenClaw WebSocket存在共享令牌权限提升漏洞
3月16日消息,OpenClaw WebSocket存在共享令牌权限提升漏洞QVD-2026-13829(CVSS评分9.9)。攻击者可利用该漏洞伪造管理员令牌,完全控制服务器,导致数据泄露、服务中断或横向移动等严重后果。OpenClaw是一款开源的AI智能体平台,能够在本地环境中自主运行,通过自然语言指令直接操作用户计算机完成各类任务。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
备份解决方案Veeam修复3个RCE漏洞
3月14日消息,备份解决方案Veeam修复5个漏洞,其中包括3个可导致远程代码执行(RCE)的严重漏洞。CVE-2026-21666(CVSS评分9.9)和CVE-2026-21667(CVSS评分9.9)均为允许认证域名用户远程执行备份服务器代码的漏洞。CVE-2026-21708(CVSS评分9.9)可导致有Backup Viewer权限的攻击者以内部PostgreSQL用户的身份执行RCE,导致对后端数据库进程拥有未授权控制权限。目前Veeam已在新版本build 12.3.2.4465中修复以上漏洞并升级核心组件,建议用户立即更新。(信息来源:TechRadar网)
泛微E-cology10存在远程代码执行漏洞
3月17日消息,泛微E-cology10存在远程代码执行漏洞QVD-2026-14149(CVSS评分9.8)。未经身份验证的远程攻击者可利用该漏洞向特定接口发送恶意请求,在目标服务器上执行任意代码,进而获取服务器权限。泛微E-cology10是上海泛微网络科技推出的面向中大型组织的数智化协同运营平台,核心覆盖协同办公、流程管理、业务集成、知识管理、低代码开发等全场景能力。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
工作流自动化平台n8n严重漏洞可导致RCE和存储凭据暴露
3月13日消息,工作流自动化平台n8n存在2个严重漏洞,影响n8n的自托管和云部署版本。CVE-2026-27577(CVSS评分9.4)为表达式沙箱逃逸漏洞,可导致远程代码执行。CVE-2026-27493(CVSS评分9.5)是通过n8n表单节点进行未经身份验证的表达式评估漏洞,攻击者可利用表单端点默认公开且无需身份验证或n8n账户这一特性,通过表达式注入滥用该漏洞。上述漏洞结合使用可导致“升级为在n8n主机上的远程代码执行”。目前n8n已修复漏洞,建议用户升级至最新版本获得最佳防护措施。(信息来源:代码卫士)
工信部发布关于防范Windows远程桌面服务权限提升高危漏洞的风险提示
3月19消息,工信部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,Windows远程桌面服务存在权限提升高危漏洞,已被用于网络攻击。远程桌面服务是Windows系统中提供远程访问、桌面虚拟化及会话管理的核心组件。该服务处理内部配置及相关注册表项权限时存在校验缺陷,攻击者在拥有用户权限或建立远程桌面会话的条件下,可构造特殊请求篡改服务启动配置,无需用户交互即可实现本地权限提升,获取系统最高权限,进而实施恶意操作,受影响的型号包括Windows10/11,Windows Server 2012/2016/2019/2022/2025等。目前微软官方已修复漏洞并发布安全公告,建议相关单位和用户立即开展全面排查。(信息来源:NVDB网站)
国家互联网应急中心等发布OpenClaw安全使用实践指南
3月22日消息,国家互联网应急中心联合中国网络空间安全协会发布《OpenClaw安全使用实践指南》,面向普通用户、企业用户、云服务商以及技术开发者等,提出安全防护建议。一是使用专用设备、虚拟机或容器安装OpenClaw,并做好环境隔离,不宜在日常办公电脑上安装。二是不将OpenClaw默认端口(18789\19890)暴露到公网。三是不使用管理员或超级用户权限运行OpenClaw。四是安装可信技能插件(Skills)。五是不在OpenClaw环境中存储/处理隐私数据。六是及时更新OpenClaw最新版本。(信息来源:国家互联网应急中心)
美CISA将微软SharePoint和zimbra漏洞添加到其已知利用漏洞目录中
3月18日消息,美网络安全与基础设施安全局(CISA)将微软SharePoint漏洞CVE-2026-20963(CVSS评分8.8)和Zimbra漏洞CVE-2025-66376(CVSS评分7.2)添加到其已知利用漏洞目录中。CVE-2026-20963是一个远程代码执行SharePoint漏洞,攻击者可在SharePoint服务器上远程注入和执行代码,影响Microsoft SharePoint Server订阅版、Microsoft SharePoint Server 2019和Microsoft SharePoint Enterprise Server 2016。CVE-2025-66376是经典UI中的存储XSS漏洞,攻击者可滥用电子邮件HTML中的CSS @import指令发动攻击。美CISA要求联邦机构分别在3月21日和4月1日前修复上述漏洞。(信息来源:SecurityAffairs网)
美CISA警告称Wing FTP服务器漏洞在攻击中被积极利用
3月17日消息,美CISA警告称Wing FTP Server软件中存在一个已被积极利用的安全漏洞CVE-2025-47813。该漏洞可被攻击者利用,在未打补丁的服务器上获取应用程序的完整本地安装路径,并可能与其他漏洞串联,最终导致远程代码执行。鉴于Wing FTP Server在全球拥有超过一万家客户,包括美国空军、索尼、空客等关键机构和知名企业,此漏洞的潜在影响范围巨大,对政府和企业网络安全构成严重威胁。美CISA已将该漏洞列入其已知利用漏洞目录,并要求美联邦机构两周内完成系统加固。(信息来源:HackerNews网)
服务器组件GNU inetutils telnetd存在越界写入漏洞
3月18日消息,网络安全公司Dream披露GNU InetUtils telnetd存在越界写入漏洞CVE-2026-32746(CVSS评分9.8)。攻击者可通过精心构造的溢出载荷覆盖返回地址或函数指针,从而在服务端执行任意系统命令,完全接管服务器权限;即使无法成功执行代码,由于内存破坏也极易导致telnetd进程崩溃,造成服务中断。GNU InetUtils telnetd是一个服务器组件,通过Telnet协议提供远程登录访问。目前官方已有可更新版本,建议受影响用户立即更新。(信息来源:SecurityAffairs网)
