資安研究員Asim Manizada揭露資安漏洞CIFSwitch,問題源於Linux核心CIFS模組與執行在作業系統使用者空間的輔助工具cifs-utils之間的處理,Linux核心未驗證金鑰描述來源,導致攻擊者可偽造描述並啟動具有root權限的輔助程式,因此,攻擊者可透過request_key()提供假描述,讓具有root權限的輔助工具在攻擊者命名空間(namespace)執行,並透過NSS模組載入惡意程式碼。
Gogs存在尚未修補的零時差漏洞,攻擊者可用於遠端執行任意程式碼
談到自建Git程式碼版本管理系統,除了GitHub與GitLab,許多開發團隊採用主打輕量化的Gogs,近日資安公司Rapid7表示,兩個月前他們向Gogs開發團隊通報的重大漏洞,迄今尚未修補,並警告一旦攻擊者成功利用此漏洞,就可能入侵伺服器、跨租戶竊取資料與身分憑證、橫向移動,甚至發動供應鏈攻擊,無須事先取得管理員權限,利用漏洞的過程也不需與使用者互動,甚至能完全自動化執行,CVSS v4.0評分達到9.4,用戶應採取行動因應。
FortiClient EMS被鎖定,駭客假借提供修補程式散布竊資軟體EKZ Infostealer
資安公司Fortinet於4月4日發布端點管理平臺FortiClient EMS更新,修補重大等級的資安漏洞CVE-2026-35616,並表示已掌握漏洞遭利用的跡象,本週資安公司Arctic Wolf於今年5月發現最新一波惡意活動,駭客利用CVE-2026-35616,針對透過FortiClient EMS管理的端點裝置傳送竊資軟體EKZ Infostealer,此惡意程式的有效酬載被偽裝成Fortinet端點更新檔案(修補程式),但實際的功能是從瀏覽器竊取帳密資料。一旦執行,電腦就會在背景執行PowerShell,並啟動惡意執行檔,發起一系列攻擊流程。
CrowdStrike與Google聯手,破壞軟體供應鏈蠕蟲GlassWorm基礎設施
從去年10月曝光的軟體供應鏈蠕蟲GlassWorm,最早在Visual Studio Code(VS Code)市集、Open VSX儲存庫散布,後續活動範圍擴大到PyPI、NPM、GitHub相關儲存庫,同時針對四大開發生態系展開多管齊下的攻擊,甚至出現染指瀏覽器擴充套件、整合開發環境(IDE)的現象。5月26日資安公司CrowdStrike宣布,他們與Google和Shadowserver基金會聯手,破壞GlassWorm背後的殭屍網路,以及4種C2通道,從而切斷駭客向受害電腦傳遞惡意程式的管道。
Google發布Chrome 148更新,修補逾150個資安漏洞
5月27日Google發布Chrome電腦版與Android版更新,一口氣修補了151個資安漏洞,數量較一週前的安全更新修補16個漏洞多出不少。從危險程度來看,這次有22個重大漏洞、123個高風險漏洞,其餘6個評為中度風險。從漏洞的類型來看,記憶體相關的漏洞仍是大宗,其中又以記憶體釋放後再存取利用(Use After Free)類型的弱點66個最多,數量超過本次修補漏洞的三分之一。對未信任輸入的驗證不充分與不當實作類型的弱點,各有17與15個。
微軟修補VS Code高風險漏洞,攻擊者可藉MCP安裝對話框取得開發者電腦控制權
非人類身分(NHI)安全業者Oasis Security於5月21日揭露,微軟程式碼編輯器Visual Studio Code的MCP安裝對話框存在高風險漏洞CVE-2026-41613,攻擊者可透過特製安裝連結,在開發者電腦上執行指令。問題在於,VS Code安裝預覽畫面只顯示部分MCP設定,但實際寫入工作區的內容還包含未顯示的組態項目,由於VS Code也不會檢查內容或提醒使用者,因此,攻擊者可把惡意內容藏入未顯示的組態項目,讓使用者在安裝前無從察覺。
Veeam Backup & Replication推出13.0.2版,修補可能導致權限提升與寫入任意檔案的重大漏洞
備份與資料保護軟體廠商Veeam,日前發布主力備份軟體產品Veeam Backup & Replication最新13.0.2版,除強化高可用性、遠端控制臺等功能外,也修補2項重大漏洞CVE-2026-32996、CVE-2026-32997。這兩項漏洞存在於Veeam的Windows代理程式與Linux版Veeam備份伺服器(Linux-based Veeam Backup & Replication server),影響13.0.1.2067版以前,所有Veeam Backup & Replication 13.x版,用戶應儘速更新已完成修補的13.0.2版。
開源AI代理框架PraisonAI公布高風險漏洞數小時後,即遭遇駭客鎖定掃描
駭客利用漏洞的速度越來越快,企業修補漏洞以免曝險的時間窗口也越來越短,AI代理應用框架PraisonAI近日修補高風險漏洞CVE-2026-44338的事件,便是例證,在PraisonAI發布修補漏洞公告後,資安公司Sysdig發現僅僅相隔3小時44分,就偵測到稱作CVE-Detector/1.0的工具,開始掃描暴露於網際網路上的PraisonAI主機端點,Sysdig認為此活動屬於偵測與驗證性質,確認漏洞是否存在,並標記主機,以便日後進行後續攻擊。
逾100萬個WordPress網站受影響,Avada Builder外掛程式修補執行任意程式碼與SQL注入漏洞
擁有百萬等級部署規模的WordPress網站主題工具Avada,其附屬的圖形化頁面建構外掛程式Avada Builder,近日修補4項安全漏洞CVE-2026-6279、CVE-2026-4798、CVE-2026-4782、CVE-2026-1543。考量到整個Avada生態系統擁有超過100萬個網站部署規模,因此,相關漏洞可能影響大量採用Avada的WordPress網站。Avada是WordPress平臺上具有高銷量的付費主題,很多用戶也會搭配圖形化頁面編輯外掛Avada Builder。
遊輪旅行業者Carnival、有線電視業者Charter證實資料被竊
在勒索軟體駭客組織ShinyHunters宣稱自己的戰果後,全球最大遊輪營運業者Carnival、美國第三大有線電視業者Charter先後證實發生資料外洩事件。ShinyHunters於4月份聲稱竊得Carnival子公司荷美遊輪(Holland America)客戶資料,本週Carnival向美國緬因州政府檢察長辦公室通報資料外洩事件;另一起駭客聲稱透過語音網釣,得手Charter員工Microsoft Entra帳號,於4月1日從Salesforce平臺匯出大批資料。
美物流業者SpeedX敏感資料庫網上曝光,內含8.4億筆消費者、司機資料
美國最後一哩(Last Mile)電商物流業者SpeedX(極速達)內含超過8.4億筆送貨資料的雲端儲存桶,被發現因配置問題曝露於網際網路,可能影響電商客戶、包裹及送貨司機。資安媒體Cybernews報導,該公司研究人員三月間發現,屬於SpeedX的Microsoft Azure儲存桶曝露於網際網路上。問題出於該公司的Azure Blob儲存桶配置設定為公開,任何只要知道該儲存桶名稱的人,無需特定權限或路徑即可直接存取。
因應AI加速網路攻擊,印度要求企業組織在漏洞公布12小時內完成修補
印度電腦緊急應變團隊(CERT-In)近日發布指導方針(CISG-2026-02)指出,AI輔助工具加速攻擊者尋找、武器化和濫用漏洞、曝露服務、弱點、不安全API和配置錯誤系統,漏洞公開後數小時內就被武器化會變成常態。其中,若得知風險值9.0的重大漏洞或是影響內部系統的已知漏洞,應於24小時內修補,已遭公開利用(Known Exploited)且暴露在網際網路上的「核心關鍵資產(Crown Jewel)」系統,更須在發現後12小時內進行修補、緩解或隔離。
IBM與Red Hat推出企業開源軟體供應鏈安全服務Project Lightwell,標榜AI輔助第三方套件漏洞修補
IBM與Red Hat(紅帽)合作推出企業開放原始碼軟體供應鏈安全服務Project Lightwell,標榜結合AI輔助漏洞分析,協助企業處理第三方開放原始碼套件漏洞,並將已驗證的修補整合至既有軟體供應鏈。這項服務延伸IBM與紅帽過去在Red Hat Enterprise Linux、OpenShift等企業開源平臺上的維護模式,將過去針對平臺內開放原始碼元件提供的生命週期管理、漏洞修補驗證與發布工程(release engineering),擴大到企業應用程式常用的第三方開放原始碼函式庫、程式語言工具鏈、AI框架與資料串流平臺。
Google Cloud推出AI資安防禦平臺,整合Gemini、Wiz與Mandiant處理漏洞風險排序與修補
Google Cloud宣布推出Google AI Threat Defense,定位為AI驅動的自主式資安防禦平臺,目標是協助企業因應AI加速漏洞發現與攻擊自動化的趨勢,從曝險盤點、風險排序、漏洞修補到持續監控,提升漏洞管理流程的自動化與處理速度。Google AI Threat Defense並非只著重於以AI找出漏洞,而是進一步納入實際曝險情境,判斷哪些風險最可能影響企業環境,協助資安與工程團隊排定修補優先順序,並縮短後續處理時間。
Hadrian開源AI漏洞研究框架OpenHack,可搭配Claude Code與Cursor執行白箱安全審查
荷蘭資安公司Hadrian宣布開源AI漏洞研究框架OpenHack,協助研究人員自動化執行原始碼安全審查與白箱滲透測試(White-box Pentesting)。OpenHack採用以情境(Scenario)為核心的多代理人工作流程。系統先由偵察代理人(Recon Agent)找出可能的攻擊面,再由路由代理人(Router Agent)將其轉換為特定測試情境,接著交由專門負責不同漏洞類型的專家代理人(Expert Agent)進行驗證,最後再由獨立的複核代理人(Triage Agent)重新審查結果。
GitLab 19.0推出SBOM相依性掃描,鎖定間接相依套件的漏洞風險
第三方套件與AI產生的程式碼大量進入企業專案,也讓軟體供應鏈風險更難追蹤。DevSecOps平臺業者GitLab於5月26日說明GitLab 19.0的新功能,正式推出以軟體物料清單(SBOM)為基礎的相依性掃描(dependency scanning),協助企業盤點直接與間接相依套件,將專案使用的第三方函式庫與套件整理成SBOM,並以CycloneDX格式輸出SBOM檔案,再與GitLab維護的漏洞資料庫GitLab Advisory Database比對,標示已知漏洞。
Anthropic公布自管代理人沙箱、Claude安全指引外掛、治理工具
Anthropic於5月27日公布Claude Managed Agents新功能,包括可讓代理人執行在企業內部建置雲端平臺的自管沙箱(self-hosted)及MCP隧道(MCP tunnel)。這兩項安全功能可允許Claude託管的代理,執行在由企業控制的沙箱,並以MCP隧連結到私有MCP伺服器。新推出的自管沙箱功能,可將協同作業留在Anthropic端,但工具執行端可搬到企業用戶控制的基礎架構上,使代理人程式碼、檔案系統及網路出口(egress)都留在用戶環境內。
NetApp擴展Red Hat OpenShift平臺的資料保護支援,強化容器與VM工作負載的備份與還原能力
隨著Broadcom併購VMware後的銷售政策調整,也促成虛擬化應用領域的重大變化,原本圍繞著VMware生態系建立的虛擬化相關備份、復原等資料保護應用,也逐漸擴增至其他雲端原生平臺,NetApp與Red Hat近日共同發布的OpenShift平臺備份復原解決方案,便是典型的案例。本次NetApp宣布擴展兩款解決方案,其中一款是NetApp Backup and Recovery解決方案支援OpenShift與OpenShift Virtualization環境。
NIST公布PQC數位簽章標準化新進展,9款候選演算法挺進第三輪
美國國家標準與技術研究院(NIST)近日宣布「額外數位簽章方案(Additional Digital Signature Schemes)」的PQC競賽,共有9項演算法晉級第三輪標準化評選,以避免單一數學基礎遭破解而產生系統性的風險。NIST表示,本次入選第三輪的演算法包含:FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign與UOV,預計接下來將展開為期兩年的評估,檢驗各演算法的計算效率、簽章大小、驗證速度,以及對於旁路攻擊的抵禦能力。
【臺灣資安大會直擊】面對開發速度暴衝引發的新挑戰,中華電信建構ChainStrike AI驗證閘門,加速資安檢測
善用生成式AI強化資安已非口號,近年國內外科技大廠陸續分享早期實務經驗,今年臺灣資安大會(CYBERSEC 2026)亦有不少臺灣企業公開AI資安應用成果,其中,作為國內電信與資通訊服務龍頭的中華電信,其發展進度亦受外界關注。中華電信資訊技術分公司資訊安全應用處資安產品股股長吳明峰針對AI驅動日常工作提出實務經驗,並針對資安檢測難以跟上開發速度的挑戰,揭露團隊打造AI資安驗證閘門的新作法。
近期資安日報
