PART 01

　　漏洞情报

　　1.Linux Kernel CIFSwitch本地权限提升漏洞安全风险通告

　　5月29日，奇安信CERT监测到官方修复Linux Kernel CIFSwitch 本地权限提升漏洞(QVD-2026-29453)，该漏洞源于内核未对 cifs.spnego 类型密钥的描述信息做来源合法性校验，未实现 vet_description 钩子验证密钥是否由内核 CIFS 生成；cifs.upcall 以 root 权限运行时无条件信任密钥描述中的 pid、uid、creduid、upcall_target 等攻击者可控字段。本地低权限用户可构造伪造 cifs.spnego 密钥描述发起 request_key 调用，触发 root 权限 cifs.upcall，通过命名空间切换与 NSS 模块加载实现 root 代码执行，获取系统最高权限。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

　　2.Apache PyFory反序列化策略绕过漏洞安全风险通告

　　5月28日，奇安信CERT监测到官方修复Apache PyFory 反序列化策略绕过漏洞(CVE-2026-48207)，该漏洞源于 ReduceSerializer 组件在 Python-native 模式下（strict=False）处理反序列化数据时，未能正确调用 DeserializationPolicy 的验证钩子。在 reduce 状态恢复和全局名称解析过程中，ReduceSerializer 绕过了用户自定义的 DeserializationPolicy 中对不安全类、函数或模块属性的限制检查。攻击者可利用该漏洞，通过构造特制的恶意序列化数据流绕过安全策略限制，加载被禁止的危险类、函数或模块属性，从而实现远程代码执行、数据窃取或系统接管。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

　　3.NGINX ngx_http_rewrite_module堆缓冲区溢出漏洞安全风险通告

　　5月26日，奇安信CERT监测到官方修复NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-9256)，该漏洞源于 rewrite 指令使用含重叠捕获组的 PCRE 正则表达式，且替换字符串在重定向或参数上下文引用多个重叠捕获组时，模块未正确计算输出缓冲区大小，导致内存拷贝越界。未经身份认证的攻击者可通过发送构造的 HTTP 请求触发漏洞，造成 Worker 进程崩溃，在 ASLR 被禁用或被绕过的情况下，攻击者可能进一步实现任意代码执行。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

　　4.LiteLLM权限提升漏洞安全风险通告

　　5月26日，奇安信CERT监测到官方修复LiteLLM 权限提升漏洞(CVE-2026-47101)，该漏洞源于 /key/generate 接口在创建虚拟 API 密钥时，未对 allowed_routes 字段做权限校验，直接存储用户指定的路由配置，未验证这些路由是否在当前用户的权限范围内。攻击者可利用该漏洞，通过构造包含管理员专属路由的 API 密钥，绕过用户本身的角色限制，将普通内部用户（internal_user）权限提升至管理员（proxy_admin），从而完全接管代理服务器的管理权限。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为8437个，关联IP总数为2570个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

　　5.Drupal Core PostgreSQL SQL注入漏洞安全风险通告

　　5月22日，奇安信CERT监测到官方修复Drupal Core PostgreSQL SQL注入漏洞(CVE-2026-9082)，该漏洞源于 PostgreSQL 对应的 EntityQuery 条件处理逻辑错误，用户可控的 PHP 关联数组键名未经过滤直接流入 SQL 占位符拼接流程，导致攻击者可构造恶意键名突破占位符语法，执行任意 SQL 语句。攻击者可利用该漏洞，通过构造特殊请求实现任意 SQL 注入，进而导致信息泄露、数据篡改或删除，在特定配置下还可实现权限提升和远程代码执行。该漏洞可被匿名用户远程利用，仅影响使用 PostgreSQL 数据库的站点。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为8871个，关联IP总数为2690个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

　　PART 02

　　新增在野利用

　　1.DAEMON Tools Lite 嵌入式恶意代码漏洞(CVE-2026-8398)

　　5月27日，CISA 已将 CVE-2026-8398 添加到其已知已利用漏洞 (KEV) 目录中。该漏洞涉及 Daemon Tools Lite，具体来说是 Daemon Tools Lite 嵌入式恶意代码漏洞。

　　该漏洞被描述为 Daemon Tools 中的一个未指明缺陷，会对机密性、完整性和可用性造成严重影响。其 CVSS v3.1 评分为 9.8，被评为“严重”级别。

　　DAEMON Tools Lite（Windows 版本 12.5.0.2421 至 12.5.0.2434）的官方安装包遭到供应链攻击，这些安装包通过合法网站 daemon-tools.cc 分发。攻击者未经授权访问了供应商（AVB Disc Soft）的构建或分发基础设施，并对三个二进制文件：DTHelper.exe、DiscSoftBusServiceLite.exe 和 DTShellHlp.exe 植入了木马。这些文件使用了 AVB Disc Soft 的合法代码签名证书进行数字签名，使得恶意安装程序能够伪装成可信程序，从而绕过基于签名的检测。

　　建议受影响客户尽快升级到 DAEMON Tools Lite 12.6 版本，该版本不包含疑似被入侵的文件。

　　参考链接：

　　https://blog.daemon-tools.cc/chn/post/security-incident

　　2.TanStack npm包供应链投毒漏洞(CVE-2026-45321)

　　5月27日，CISA 已将 CVE-2026-45321 添加到其已知已利用漏洞 (KEV) 目录中。CVE-2026-45321 描述了 TanStack GitHub Actions CI/CD 配置中三个漏洞的链式利用。攻击者使用重命名的账户创建了 TanStack/router 仓库的一个分支以规避检测，然后发起了一个拉取请求，触发了 pull_request_target 工作流。该工作流在基础仓库的受信任上下文中执行了攻击者分支中的代码，从而允许攻击者使用恶意二进制文件污染 GitHub Actions 缓存。当合法的维护者拉取请求随后合并时，发布工作流恢复了被污染的缓存。攻击者控制的代码随后直接从运行器的进程内存中提取 OpenID Connect (OIDC) 令牌，并将其与 npm 的联合端点交换以获取完整的发布凭据。

　　结果是，在不到六分钟的时间内，42 个 TanStack 软件包中发布了 84 个恶意软件包版本，所有这些版本都带有来自 Sigstore 的有效 SLSA 构建级别 3 来源证明。

　　目前仅分配了 CVE-2026-45321 漏洞编号。该漏洞专门针对 TanStack 攻击活动。而更广泛的 Mini Shai-Hulud 攻击活动则利用 CI/CD 信任关系和被盗凭证，而非传统的软件漏洞。

　　多家独立安全公司将此次攻击活动归咎于 TeamPCP，这是一个以经济利益为驱动的网络犯罪团伙，于2025年末出现。谷歌威胁情报小组将该团伙追踪为 UNC6780。据 Snyk 和 Palo Alto Networks Unit 42 称，其他被追踪到的别名包括 DeadCatx3、PCPcat、ShellForce 和 CipherForce。

　　建议受影响客户1.立即扫描依赖关系树，检查 @tanstack、@uipath、@mistralai、@opensearch-project、@antv 和 @squawk 命名空间中受影响的软件包版本，包括 lockfiles 和 CI 日志。2.撤销令牌前，请检查令牌是否持久存在。3.轮换所有可能受影响系统上的凭证。4.强化 CI/CD 流水线配置。5.实施结构化依赖控制。6.对开发人员机器上的凭证存储进行审计。7.监控攻击活动指标。

　　参考链接：

　　https://www.tenable.com/blog/mini-shai-hulud-frequently-asked-questions

　　3.Nx Console 嵌入恶意代码漏洞(CVE-2026-48027)

　　5月27日，CISA已将 CVE-2026-48027 添加到其已知已利用漏洞 (KEV) 目录中。Nx Console 是 Nx 和 Lerna 的用户界面。

　　2026年5月19日，GitHub 公开披露，一名员工的设备因安装了恶意 VS Code 扩展程序而遭到入侵，导致其约 3800 个内部源代码库被窃取。虽然 GitHub 并未正式公布该扩展程序的名称，但 Nx 首席执行官 Jeff Cross 证实，Nx 正在与微软和 GitHub 合作，调查恶意 Nx Console 18.95.0 版本的影响，并指出实际安装量可能超过6000，远高于微软最初公布的28个。TeamPCP 是此次 GitHub 数据泄露事件的幕后黑手，并试图出售被盗数据。

　　2026年5月18日，一个被篡改的 Nx Console VS Code 扩展程序（nrwl.angular-console版本18.95.0）被发布到 Visual Studio Code Marketplace。该扩展程序的安装量超过220万。开发者打开任何工作区后，只需几秒钟，被篡改的扩展程序就会悄无声息地从官方 GitHub 仓库中一个隐藏的孤立提交中获取并执行一个498 KB的混淆有效载荷 nrwl/nx。

　　该有效载荷是一个多阶段凭证窃取和供应链投毒工具。它从 GitHub、npm、AWS、HashiCorp Vault、Kubernetes 和 1Password 窃取令牌和密钥，然后通过三个独立的通道将其泄露：HTTPS、GitHub API 和 DNS 隧道。它还在 macOS 上安装一个持久性 Python 后门，该后门使用 GitHub Search API 作为死信箱，接收使用 4096 位 RSA 密钥签名的进一步命令。

　　这是不到一年内针对 Nx 生态系统的第二次供应链攻击。2025年8月的攻击直接针对 npm 包。而这次新的攻击则转向了 VS Code 扩展分发渠道，利用窃取的贡献者 GitHub 令牌作为初始访问途径。根据官方公告，恶意版本上线约11分钟后，Nx 团队将其从应用商店下架。

　　Nx Console 18.100.0 版本未受影响，用户可以通过升级到该版本来修复问题。

　　参考链接：

　　https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised

　　4.LiteSpeed cPanel 插件权限提升漏洞(CVE-2026-48172)

　　5月23日，LiteSpeed 用户端 cPanel 插件中的一个严重漏洞目前正被恶意利用，迫使安全团队紧急启动补丁修复程序。该漏洞（CVE-2026-48172）的 CVSS 评分高达 10.0，允许远程攻击者完全提权，甚至可能获得受影响系统的绝对 root 权限。

　　此次安全漏洞源于插件对 Redis 启用和禁用功能的错误处理。由于2026年5月已发现活跃的漏洞利用，因此对 cPanel 部署进行审计应被视为首要任务。

　　安全团队可以快速检查是否存在入侵迹象。在 Bash 中运行以下命令，扫描 cPanel 日志以查找恶意活动：

　　grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

　　如果无输出：目前安全；没有与此签名匹配的攻击尝试袭击您的服务器。活动输出：如果终端出现大量输出信息，则说明可能已成为攻击目标。请立即检查列出的 IP 地址，验证其合法性，并阻止任何未经授权的攻击者。为了评估攻击范围，请检查系统日志，以追踪这些特定 IP 地址在与插件交互后的具体操作。

　　LiteSpeed 于5月21日发布了全面的修复程序。为了保护受影响用户的基础架构，必须升级到至少 cPanel 插件 v2.4.7（该插件与 WHM 插件 v5.3.1.0 捆绑在一起）。

　　参考链接：

　　https://securityonline.info/litespeed-cpanel-plugin-privilege-escalation-cve-2026-48172/

　　PART 03

　　安全事件

　　1.Evelyn Stealer恶意软件窃取国内开发者敏感数据，工信部漏洞平台发布预警

　　5月26日网络安全威胁和漏洞信息共享平台消息，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Evelyn Stealer恶意软件持续活跃，其主要攻击目标为开发者群体，可能导敏感信息泄露、系统受控等风险。Evelyn Stealer是一种针对开发者的信息窃取恶意程序，它借助VS Code恶意扩展进行传播。一旦部署成功，该恶意软件能够窃取浏览器密码、Cookie、加密货币钱包、即时通讯记录、VPN配置文件等敏感信息，并将这些数据压缩后上传至攻击者FTP服务器。建议相关单位和用户立即组织排查，及时卸载可疑的VS Code扩展，更新防病毒软件，实施全盘病毒查杀，并可通过及时修复系统安全漏洞、定期备份重要数据、加强开发者安全意识培训等措施，防范网络攻击风险。

　　原文链接：

　　https://www.secrss.com/articles/90701

　　2.未履行网络安全义务，河南两家公司遭网络攻击后被处罚

　　5月26日网信新乡消息，河南省新乡市网信办近期工作中发现两家公司存在违法行为，依法进行了处罚。据悉，第一家公司存在通联境外传输数据的情况，网络安全日志记录存储不足6个月，致使网络攻击行为无法溯源，同时还存在购买并使用非法信道链接国际网络的行为；第二家公司网络安全日志记录存储不足6个月，致使遭受网络攻击的行为无法溯源，防火墙特征库长期不更新，网络安全保护措施缺乏。依据《中华人民共和国网络安全法》第二十三条第三款、第六十一条第一款及网信部门裁量基准，责令两家公司限期整改，予以警告、罚款的行政处罚。

　　原文链接：

　　https://www.secrss.com/articles/90728

　　3.国家网安通报中心：主流JavaScript软件包管理平台npm遭供应链投毒攻击

　　5月25日国家网络安全通报中心消息，国家网络安全通报中心监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。当开发者安装恶意依赖包后，程序会自动在本地主机、CI/CD流水线环境执行恶意代码，窃取GitHub Token、npm Token、云服务密钥、SSH私钥、Kubernetes凭据、数据库连接字符串等敏感信息。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力，攻击者可利用窃取的npm发布权限篡改和二次发布开发者名下的其他软件包，造成供应链风险持续扩散、危害持续升级。

　　原文链接：

　　https://www.secrss.com/articles/90663

　　4.越南两个部委系统发生严重数据泄露，数百万用户受影响

　　5月22日越南网消息，越南国家网络空间应急响应中心（VNCERT）主任、国家网络安全中心副主任陈忠孝中校表示，两个存有数百万用户数据的部级机构系统遭受了严重网络攻击，攻击者已经入侵并访问了数据，VNCERT正在应对处置。据悉，两个机构均已部署SOC平台，但未能发现此攻击。该主管称，这暴露了越南大型政企机构的普遍问题，即花了大价钱投资安全系统，但缺乏足够的合规安全人才去操作使用，管理层对安全风险的认知也非常薄弱。

　　原文链接：

　　https://www.secrss.com/articles/90698

　　PART 04

　　政策法规

　　1.《网络安全技术 政务云安全配置基线要求》等18项网络安全国家标准发布

　　5月28日，根据2026年5月25日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2026年第23号），全国网络安全标准化技术委员会归口的18项国家标准正式发布。具体包括《网络安全技术 政务云安全配置基线要求》《网络安全技术 存储安全指南》、《网络安全技术 网络存储安全技术要求》、《网络安全技术 事件调查原则和过程》、《网络安全技术 网络安全等级保护测评机构能力要求和评估规范》《网络安全技术国家网络身份 认证公共服务应用接入要求》等。

　　原文链接：

　　https://www.secrss.com/articles/90764

　　2.印度CERT发布指南文件，应对AI辅助漏洞利用新趋势

　　5月25日，印度计算机应急响应团队（CERT-In）发布《减少数字化基础设施暴露面并防御 AI 辅助漏洞利用的蓝图》文件，指出大模型、智能体普及使得网络攻击发生颠覆性变化，攻击者正借助AI压缩从漏洞发现到实施利用之间的时间，进一步缩短防御方的响应窗口，传统静态合规防御已经失效，为此提出利用AI进行自适应防御，包括构建智能体SOC、自动化漏洞评估与暴露面管理、告警分诊降噪、主动威胁狩猎等。为匹配AI时代的攻击速度，该指南建议面向互联网的关键系统的已被利用漏洞（KEV）需在12小时内修复，可使用AI辅助漏洞/暴露面评估、动态优先级等手段加快修补速度。

　　原文链接：

　　https://www.secrss.com/articles/90729

　　3.国家数研院等发布《数据流通安全合规框架和指标体系1.0》

　　5月23日，国家数据发展研究院与中国电子技术标准化研究院、清华大学等多家机构联合发布《数据流通安全合规框架和指标体系1.0》，通过建立兼具通用性、行业场景适配性与落地性的合规框架和指标体系，为促进数据要素合规高效流通提供专业指引。框架和指标体系围绕流通主体、行业领域、流通场景、合规管理、安全保障等维度搭建，以促进数据合规高效流通为根本导向，以满足多元主体现实需求为基本原则，以贴合行业场景实践为核心特色，以提升全过程安全合规治理效能为根本目标，可为各类市场主体开展合规治理提供依据，为服务机构开展合规评估、咨询服务提供思路借鉴，有利于助力激活市场主体供数、用数的活力。

　　原文链接：

　　https://www.secrss.com/articles/90640

　　4.《公安机关电子数据取证规则》公开征求意见

　　5月22日，公安部对《公安机关办理刑事案件电子数据取证规则》进行修订，形成了《公安机关电子数据取证规则（征求意见稿）》，现向社会公开征求意见。该文件共六章61条，并附7类法律文书样式，整体结构较2019年规则更加完整，既保留了原有“取证—检查—检验鉴定”的基本流程，又将勘验、冻结、调取、抽样取证等内容按照侦查或调查取证流程加以展开，呈现出明显的体系化和精细化趋势。该文件相比旧版本主要做了四方面的修订，包括扩大了《取证规则》的适用范围，对电子数据取证相关概念进行规范，明确了获取密码、调取电子邮件等特殊程序，规范了电子数据取证相关文书。

　　原文链接：

　　https://www.secrss.com/articles/90623