国安部提醒:注意词元(Token)使用带来的安全风险
4月7日消息,国家安全部发布提醒,注意国家数据局正式定名的AI领域核心术语——词元(Token)使用带来的安全风险。据统计,截至今年3月,我国日均词元调用量已超过140万亿,较2024年初增长1000多倍。词元是AI大模型处理信息的最小单元,兼具可计量、可定价、可交易三大特征。词元在使用过程中存在泄露劫持、伪造篡改,以及诈骗陷阱等安全风险,需加以防范。词元使用时应认清词元属性、强化使用规范、遵守法律法规,注意信息安全、隐私安全,提高安全防范意识,做到了解词元、善用词元。(信息来源:国家安全部)
国安部提示:警惕智能穿戴设备泄露国家机密
4月1日消息,国家安全部发布提醒,警惕智能穿戴设备泄露国家机密。近日,某国发生一起因智能穿戴设备导致的军事机密泄露事件。该国某重要军事装备正在执行任务,一名军官跑步时佩戴的智能运动手表持续记录并公开了高精度GPS数据,致使该军事装备实时位置等重要敏感信息泄露,给该国国防安全造成难以弥补的重大损失。使用智能穿戴设备时应严控使用场景,敏感区域“慎触碰”;严控权限开关,“精打细算”给权限;严控数据分享,织牢信息“防护网”,做到多维防护,防患未然。(信息来源:国家安全部)
工信部紧急提醒苹果用户
4月3日消息,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布《关于及时更新iOS特定版本 防范漏洞攻击利用的风险提示》。攻击者通过短信、邮件或网页投毒等方式,诱导用户使用Safari浏览器访问包含恶意代码的网页,综合利用终端设备中存在的安全漏洞,向受害终端产品植入远程控制木马,窃取用户敏感信息,获取最高权限并控制。建议使用苹果公司终端产品的用户做好风险排查,尽快通过升级版本和安装补丁等方式修复漏洞,防范网络攻击风险。(信息来源:NVDB)
国家信息安全漏洞库通报OpenClaw高危漏洞集中爆发
4月3日,国家信息安全漏洞库(CNNVD)通报,2026年3月10日至4月2日期间,共采集OpenClaw漏洞155个,其中超危漏洞11个、高危漏洞53个,中危漏洞80个、低危漏洞11个,包含了访问控制错误、代码问题、路径遍历等多个漏洞类型,OpenClaw 2026.4.1之前的多个版本受影响。核心风险包括未授权访问配置接口、路径遍历读取系统文件、远程代码执行等。部分漏洞利用门槛极低,攻击者可通过恶意链接或钓鱼页面诱导用户触发,实现无感知入侵。目前,OpenClaw官方已发布了更新修复漏洞,建议用户尽快采取修补措施。(信息来源:CNNVD)
Oracle Identity Manager系统存在命令执行漏洞
4月7日消息,Oracle Identity Manager系统存在命令执行漏洞CVE-2026-21992(CVSS评分9.8)。攻击者无需登录即可利用该漏洞执行任意代码,获取系统控制权限,进一步实施横向渗透、数据窃取或服务破坏等攻击行为。该漏洞可能导致企业关键业务系统失控,并存在违反数据安全及合规要求(如数据保护与访问控制要求)的风险。Oracle Identity Manager是一款企业级身份与访问管理平台,用于统一管理用户账户、权限分配和生命周期控制,实现自动化的身份治理与安全合规。该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。(信息来源:安恒信息CERT)
Google Chrome Dawn存在释放后重用漏洞
4月1日消息,奇安信CERT监测到Google发布公告称Google Chrome Dawn释放后重用漏洞CVE-2026-5281(CVSS评分8.8)存在在野利用。该漏洞源于Dawn图形组件内存释放后未清空指针,导致已释放内存被重复访问。攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,Dawn是Chrome内置的跨平台图形渲染组件。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
CNNVD:关于Apache ActiveMQ安全漏洞的通报
4月9日,国家信息安全漏洞库(CNNVD)发布关于Apache ActiveMQ安全漏洞CNNVD-202604-1392、CVE-2026-34197的通报。漏洞源于Jolokia JMX-HTTP的输入验证不当导致,攻击者可通过ActiveMQ的Jolokia API调用管理操作,诱使代理服务器获取远程配置文件并执行任意系统命令,影响Apache ActiveMQ5.19.4之前版本和6.0.0至6.2.3版本。Apache ActiveMQ是美阿帕奇(Apache)基金会的一套开源的消息中间件,支持Java消息服务、集群、Spring Framework等。目前,Apache官方已发布新版本修复漏洞,建议用户及时确认产品版本,尽快更新。(信息来源:CNNVD)
美CISA将微软SharePoint和Office漏洞添加至其KEV目录中
3月18日消息,美CISA将微软SharePoint CVE-2026-32201(CVSS评分6.5)和微软Office CVE-2009-0238(CVSS评分9.3)添加至其已知利用漏洞(KEV)目录中。CVE-2026-32201是错误输入验证漏洞,允许未经授权的攻击者通过网络进行伪装。CVE-2009-0238是在远程代码执行漏洞,攻击者通过精心设计的Excel文档执行任意代码,从而完全控制系统。美CISA要求联邦机构在4月28日前修复上述漏洞。(信息来源:综合美CISA网站、美NIST网站)
Axios中存在远程代码执行漏洞
4月14日消息,使用最为广泛的HTTP客户端库之一Axios中存在远程代码执行漏洞CVE-2026-40175(CVSS评分9.9),影响1.13.2之前的所有版本。该漏洞源于axios npm包中通过头部注入链实现的无限制云元数据窃取漏洞,攻击者可绕过AWS IMDSv2安全控制,检索到有效的会话令牌,窃取IAM凭证,并实现完整的云账户接管,同时还会引发诸如认证绕过和缓存投毒等次级影响。鉴于漏洞影响范围较大,建议用户立即将Axios依赖项升级至1.15.0或更高版本。(信息来源:代码卫士)
Juniper紧急修复包括远程接管设备漏洞的近30个漏洞
4月13日消息,Juniper紧急修复近30个漏洞,包括可能导致权限升级、拒绝服务(DoS)和命令执行的Junos OS和Junos OS Evolved漏洞。最严重的是CVE-2026-33784(CVSS评分9.8)。该漏洞源于Support Insights虚拟轻量收集器中的默认密码,可致设备被完全接管。Juniper还修复弱密码导致的远程接管设备漏洞CVE-2026-33771,以及Apstra中SSH主机密钥验证漏洞。Juniper近期修复的其他漏洞可能引发DoS条件、以提升权限执行命令、获得根权限、影响下游网络完整性、读取敏感信息、绕过配置好的防火墙过滤器,或以root身份注入任意壳级命令。Juniper Networks目前已修复上述漏洞,建议用户及时更新。(信息来源:安情视界)
OpenPrinting CUPS存在多个高危漏洞
4月9日消息,开源打印系统OpenPrinting CUPS存在多个高危漏洞。其中CVE-2026-34980(CVSS评分9.8)为远程代码执行漏洞。攻击者可利用此漏洞执行任意代码,导致服务器被完全控制,数据泄露或服务中断。CVE-2026-34990(CVSS评分7.8)为认证绕过漏洞。攻击者可利用此漏洞在本地主机上执行任意文件覆盖,通过打印到该队列,创建一个sudoers文件片段,从而实现root命令执行。目前该漏洞POC已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
工信部平台通报iOS漏洞,iPhone用户应尽快升级防范网页端攻击
4月15日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布关于苹果公司面向iPhone用户的紧急安全提醒,苹果公司就已发现的针对旧版iOS的网页攻击漏洞给出三项防护措施:一是按照系统提示升级至安全版本,或安装关键安全更新;二是无法完成更新的设备,若支持可启用锁定模式强化防护;三是可前往苹果官方零售店、授权经销商或服务提供商,进行版本检测与安全修复。该预警由苹果官方发布,经工信部平台同步通报,属高优先级安全事件,建议所有iPhone用户尽快完成系统更新,避免因漏洞被利用导致设备受控、数据泄露等安全问题。(信息来源:NVDB)
开源平台OpenClaw存在沙箱绕过权限提升漏洞
4月21日消息,启明星辰安全应急响应中心监测到OpenClaw沙箱绕过权限提升漏洞CVE-2026-41329(评分9.9)。该漏洞源于系统在处理heartbeat上下文继承机制时,对执行上下文及权限边界校验不充分,且senderIsOwner参数可被操控,导致攻击者能够伪造或继承高权限上下文,绕过既有sandbox限制。成功利用后,攻击者可在未获授权的情况下提升执行权限,突破安全隔离边界,进而访问受限功能、执行高危操作或影响系统完整性,对使用OpenClaw的业务系统和用户环境造成较大安全威胁。OpenClaw是一款面向自动化任务执行与智能代理调度的开源平台,支持通过命令驱动方式管理任务执行、系统配置及调试流程。官方已发布修复补丁,建议用户尽快更新。(信息来源:启明星辰)
多款串口转IP转换器存在严重漏洞,或成关键基础设施攻击入口
4月20日消息,安全研究人员披露多款Serial-to-IP converter(串口转IP转换器)存在高危安全漏洞。此类设备广泛用于将传统串行通信设备接入TCP/IP网络,是工业控制系统和医疗设备网络化的重要桥接组件,受影响设备来自多家厂商,漏洞类型主要包括未授权访问、弱身份认证以及硬编码凭证。攻击者无需复杂利用,即可通过网络直接访问设备管理接口,执行配置修改、数据拦截甚至设备控制等操作。部分设备还开放Telnet或Web管理端口且缺乏访问控制,甚至使用默认凭证或内置账户允许攻击者远程登录。目前,相关厂商已发布安全公告,建议用户立即采取措施。(信息来源:安全牛)
Anthropic MCP架构存在设计缺陷,可导致远程代码执行
4月21日消息,安全公司披露Anthropic推出的Model Context Protocol(MCP)存在严重设计缺陷。MCP是Anthropic 2024年推出的开放标准,旨在让大模型通过统一接口连接外部工具、数据源和服务。此次漏洞的核心在于MCP官方SDK中的STDIO接口设计,该接口原用于启动本地服务并建立通信,但实际实现中会直接执行用户传入的任意操作系统命令,即使服务启动失败,命令仍可能被执行,且缺乏输入校验与安全边界隔离。攻击路径多样,包括未授权UI注入、Prompt Injection、绕过防护机制以及通过MCP Marketplace分发恶意组件等。研究人员表示,目前超过7000台服务器暴露在公网、约20万实例及数千万级SDK下载量,潜在影响覆盖LangChain、LiteLLM、LangFlow等主流工具链。Anthropic建议开发者谨慎使用相关功能。(信息来源:TheHackerNews网)
欧盟开源年龄验证App被曝存在严重安全漏洞
4月20日消息,欧盟委员会推出的开源年龄验证App被曝存在严重安全漏洞,该应用在发布后短时间内即被安全专家攻破,暴露出多项高风险问题,包括敏感数据明文存储、生物识别验证可被绕过、PIN码机制脆弱,以及无自动清理机制等。该App旨在帮助社交平台和成人网站验证用户年龄,以符合《数字服务法案》对未成年人保护的要求。欧盟委员会称被测试的是演示版本,仅用于开发测试,相关漏洞已被修复。(信息来源:安全牛)
美CISA紧急敦促政府机构修补Defender零日漏洞
4月23日,美网络安全与基础设施安全局(CISA)敦促联邦机构在两周内采取措施,保护其Windows系统免受一个已被用于零日攻击的Microsoft Defender权限提升漏洞的侵害。该漏洞被追踪为CVE-2026-33825,属于高危级别,允许低权限的攻击者利用访问控制粒度过细的弱点,在未打补丁的设备上获得SYSTEM最高权限。安全研究人员披露,已有攻击者利用这些零日漏洞发动实际攻击。(信息来源:BleepingComputer网)
开源框架Apache Camel存在高危远程代码执行漏洞
4月27日消息,Apache官方发布安全公告指出Apache Camel存在高危远程代码执行漏洞CVE-2026-40453(CVSS评分9.9)。攻击者可利用消息代理,通过生产者权限向Camel路由注入特制的头部信息,绕过现有的过滤机制,进而触发下游组件执行系统命令或写入任意文件。该漏洞目前尚未观察到广泛的在野利用迹象,但鉴于其高严重性评分,建议用户立即采取升级措施以消除风险。(信息来源:Apache网站)
日志管理与可观测性平台LogScale存在路径遍历漏洞
4月26日消息,安全研究机构披露日志管理与可观测性平台LogScale存在路径遍历漏洞CVE-2026-40050(CVSS评分9.8)。攻击者可通过构造包含特殊编码字符的恶意HTTP请求,直接针对LogScale集群中缺乏充分身份认证和输入验证的API端点进行攻击,无需任何凭据即可实施利用。目前未明确关联特定的已知攻击者,但鉴于其高严重性评分且无需认证,APT组织或勒索软件团体极有可能将其作为初始入侵或横向移动的手段,建议用户及时更新。(信息来源:SecurityAffairs网站)
Milesight AIOT摄像头存在硬编码SSL证书漏洞
4月28日消息,美CISA发布ICSA-26-113-03紧急安全通告,指出Milesight AIOT摄像头的特定固件版本存在硬编码SSL证书漏洞CVE-2026-32644(CVSS评分9.8)。攻击者可能利用中间人攻击或会话劫持方式对系统进行攻击。由于证书包含硬编码的默认私钥,攻击者可拦截并解密设备与云端服务器或管理平台之间的加密通信数据,或者伪装成合法设备进行身份验证绕过。该漏洞目前尚未观察到广泛的在野利用迹象,但鉴于其高严重性评分和关键基础设施属性,存在潜在的高风险被用于针对工业物联网环境的定向攻击,建议受影响用户升级至最新版本。(信息来源:奇安信威胁情报中心网站)
开源框架Spring Boot存在默认安全过滤链权限绕过漏洞
4月28日,VMware官方发布安全公告,披露开源框架Spring Boot存在默认安全过滤链权限绕过漏洞CVE-2026-40976(CVSS评分9.1)。攻击者可能利用以下特定组合条件对系统进行攻击:目标应用是基于Servlet的网络应用程序;未配置自定义的Spring Security配置,而是依赖默认的网络安全过滤器链;引入了spring-boot-actuator-autoconfigure依赖;且未引入spring-boot-health依赖。在此类环境下,攻击者可绕过安全限制直接访问所有端点。目前尚无公开的在野攻击活动,但鉴于其低攻击复杂性和无需认证的特性,攻击门槛极低,建议用户尽快升级补丁。(信息来源:奇安信威胁情报中心网站)
