网络安全日报 2026年05月28日
1、Ghost CMS漏洞致700余家教育科技网站遭ClickFix劫持
https://www.malwarebytes.com/blog/bugs/2026/05/700-education-and-tech-websites-hijacked-in-huge-clickfix-malware-campaign 安全厂商披露针对Ghost内容管理系统(CMS)的高危漏洞(CVE-2026-26980)已被大规模利用,超700家教育、科技类正规网站遭劫持,沦为Click恶意软件分发平台。该漏洞为未授权SQL注入缺陷,影响Ghost 3.24.0至6.19.0全版本,攻击者可无认证直接窃取管理员API密钥,批量向网站页面注入恶意JavaScript脚本。用户访问被
2、Laravel-Lang组件遭Git标签投毒植入恶意软件
https://securityaffairs.com/192697/security/malware-found-in-laravel-lang-composer-packages-after-git-tag-poisoning-attack.html 安全研究人员曝光Laravel生态第三方本地化组件Laravel-Lang遭遇Git标签投毒供应链攻击,四个核心Composer包遭篡改,超700个历史版本标签被恶意替换。攻击者篡改laravel-lang/lang、http-statuses、attributes、actions包的Git标签,将正常版本指向恶意分支,用户安装或更新时自动
3、VS Code高危漏洞可致开发者设备被完全接管
https://www.govinfosecurity.com/microsoft-code-editor-flaw-lets-attackers-hijack-developer-pcs-a-31775 微软代码编辑器Visual Studio Code曝出高危漏洞(CVE-2026-41613),攻击者可构造恶意MCP(模型上下文协议)安装链接,诱导开发者点击后接管设备。漏洞源于VS Code MCP安装界面隐藏字段未做校验,界面仅展示5个配置项,后台却支持10个隐藏字段,攻击者可嵌入恶意环境变量、HTTP头及Node.js --import参数,执行任意JavaScript代码。恶意代
4、Microsoft SharePoint曝高危远程代码执行漏洞
https://securityaffairs.com/192730/security/microsoft-sharepoint-has-a-new-rce-flaw-if-you-havent-patched-yet-go-do-that.html 微软SharePoint服务器曝出高危远程代码执行漏洞(CVE-2026-45659,CVSS 8.8),低权限用户即可利用漏洞接管服务器。漏洞成因是SharePoint反序列化未验证的不可信数据,拥有站点成员级最低权限的攻击者,可构造恶意数据包,通过网络发起远程代码执行攻击,控制服务器全权限。该漏洞影响SharePoint Server 20
5、Mission社区医院数据泄露案达成154万美元和解
https://www.hipaajournal.com/mission-community-hospital-data-breach-settlement/ 美国加州Mission社区医院运营方Deanco Healthcare就2023年勒索攻击数据泄露事件,达成154.6万美元集体诉讼和解。2023年5月1日,医院遭Ransomhouse勒索软件组织攻击,2.5TB患者数据被窃取,包含姓名、社保号、驾照号、财务信息等,波及26.9万名患者。事件曝光后引发集体诉讼,指控医院安全防护失职。和解协议约定,医院支付和解金用于患者赔偿、律师费及行政费用,患者可申请两年医疗数据监控服务,加州居民额
6、英国签证第三方平台泄露大量申请人敏感证件数据
https://techcrunch.com/2026/05/26/uk-visa-portal-spilled-thousands-of-applicants-passports-and-selfies-online-and-hasnt-fixed-the-leak/ 非官方英国签证申请第三方平台UK Visa Portal发生严重数据泄露,超10万份申请人护照照片、自拍证件照、个人信息遭公开暴露。该平台并非英国政府官方渠道,部分用户误将其当作官方网站提交签证材料,上传的护照、自拍等高度敏感证件数据未加密存储,直接公网可访问。安全研究员发现漏洞后多次联系平台方,仅收到法务与公关回复,泄露问
7、 Anthropic放宽Claude Mythos限制
https://cybersecuritynews.com/claude-mythos-moves-toward-public/ Anthropic将发布商用AI模型Claude Mythos 1,集成至Claude Code和Security产品,先面向企业客户,逐步扩大开放。该模型在网络安全等领域表现卓越,已发现大量高危漏洞,采取分层策略确保安全后推向公众。
8、 Apache CXF 曝出三处新漏洞 官方发布修复补丁
https://securityonline.info/apache-cxf-vulnerabilities-patch-guide/ Apache CXF框架修复三个高危漏洞,包括LDAP注入、XXE攻击和远程代码执行风险,影响多个版本。建议用户立即升级至4.2.1、4.1.6或3.6.11版本以确保安全。
9、Detectify推出MCP服务器 让AI Agent实时发现并修复漏洞
https://siliconangle.com/2026/05/26/detectify-debuts-mcp-server-let-ai-agents-find-fix-vulnerabilities-real-time/ Detectify发布MCP服务器,基于行业标准协议将安全测试引擎集成至AI编码工作流,实现漏洞自动化发现与修复,解决AI代码产出速度远超人工审查的痛点,提供确定性验证层确保生产安全,适应AI原生应用安全趋势。
10、Windows 内核本地提权漏洞技术细节披露
https://www.freebuf.com/articles/system/482969.html 微软近期修复了其核心操作系统组件中的一个重大安全问题。研究人员发现了一个危险的 Windows 内核本地提权漏洞(CVE-2026-40369),该漏洞允许已授权攻击者提升本地权限,使本地用户能够在受影响的机器上获取有限的 SYSTEM 权限。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年05月27日
1、美国CISA将微软和Adobe漏洞纳入已知可利用漏洞目录
https://securityaffairs.com/192508/security/u-s-cisa-adds-microsoft-and-adobe-flaws-to-its-known-exploited-vulnerabilities-catalog.html CISA将多个高危漏洞纳入已知可利用漏洞目录,包括Windows Shell、ConnectWise ScreenConnect及Adobe漏洞,要求联邦机构2026年6月3日前修复。私营机构也应尽快修补这些可导致远程代码执行、权限提升和拒绝服务的漏洞。
2、"Mini Shai-Hulud"攻击迫使npm重置绕过双因素认证的发布令牌
https://cybersecuritynews.com/mini-shai-hulud-attack-forces-npm/ npm因"Mini Shai-Hulud"供应链攻击紧急重置绕过2FA的发布令牌,影响323个软件包。攻击者窃取凭证发布恶意版本,波及@antv和TanStack等热门库。npm推出分阶段发布功能防御,建议维护者启用MFA并轮换所有凭证。
3、PuTTY 0.84发布:修复 SSH 密钥交换崩溃与Telnet提示欺骗漏洞
https://www.freebuf.com/articles/endpoint/482746.html PuTTY 0.84 版本已发布,修复了多个低危安全漏洞,包括可能触发 SSH 密钥交换崩溃的问题以及 Telnet 提示欺骗缺陷。虽然这些漏洞严重性较低,但它们表明即使加密处理和会话逻辑中的微小缺陷,也可能被恶意服务器或中间人(MITM)攻击者在特定攻击场景中利用。
4、Kali365钓鱼工具包针对Microsoft 365用户实施攻击
https://cyberscoop.com/fbi-phishing-kali365-microsoft365-access-tokens/ FBI发布公开预警,一款名为Kali365的钓鱼即服务(PaaS)平台正在快速扩散,专门针对Microsoft 365用户实施攻击。该工具滥用微软合法设备授权页面,通过设备代码钓鱼技术绕过多因素认证(MFA),为攻击者应用授予持久访问权限。Kali365集成AI生成钓鱼诱饵、自动化攻击模板、实时追踪面板及OAuth令牌捕获能力,大幅降低攻击门槛。服务按月收费250美元、年费2000美元,捕获的访问令牌可共享复用,使攻击者无需密码即可长期访问邮箱、文档
5、iOS 16设备遭遇WhatsApp账户零点击盗取攻击
https://securityaffairs.com/192627/security/zero-click-whatsapp-account-takeover-hits-iphone-users-running-ios-16-no-linked-devices-no-warning.html 安全研究人员曝光针对iOS 16系统用户的WhatsApp高危零点击劫持漏洞,该攻击无需用户点击、授权、确认任何操作,即可在无感知状态下接管用户社交账号,风险覆盖面极广。此次攻击链依托CVE-2025-43300内存越界缺陷与CVE-2025-55177链接解析漏洞组合利用,攻击者可远程窃取设备本地W
6、Trump Mobile发生数据泄露暴露用户隐私信息
https://techcrunch.com/2026/05/22/trump-mobile-confirms-it-exposed-customers-personal-data-including-phone-numbers-and-home-addresses/ 美国电信运营商Trump Mobile官方确认发生大规模用户数据泄露事件,大量用户核心隐私数据对外公开暴露。经官方核查,本次事件并非核心系统被入侵,而是合作第三方服务平台出现严重配置漏洞,导致存储的用户明文数据无防护公网曝光。泄露数据范围覆盖全面,包含用户真实姓名、注册邮箱、家庭住址、手机号码、消费订单编号等高度敏感个人信息。
7、荷兰警方捣毁长期活跃的大型防弹托管平台
https://hackread.com/netherlands-busts-bulletproof-hosting-disinfo-cybercrime/ 荷兰财政情报调查局(FIOD)联合多国跨境执法机构开展专项打击行动,成功捣毁一个长期活跃的大型“防弹托管”服务平台,抓捕两名核心运营嫌疑人。该平台是黑产圈知名匿名基础设施服务商,长期无视网络安全法规与滥用投诉,专门为勒索软件团伙、网络诈骗组织、虚假信息传播团队、跨境黑灰产机构提供隐匿服务器、匿名域名与隐蔽网络托管服务,服务器节点遍布全球多个国家,可有效规避溯源追踪与司法制裁。此次执法行动成功查封全部涉案服务器、关停关联域名与IP资源,彻
8、GitHub为npm引入分阶段发布机制,抵御自动化供应链攻击
https://www.freebuf.com/articles/development/482605.html GitHub宣布为npm生态系统推出重大安全升级,正式上线分阶段发布功能与全新安装时控制机制,旨在减少针对开源软件包的自动化供应链攻击。这项新发布的分阶段功能彻底改变了npm软件包的发布与分发方式。
9、越南两个部委系统发生严重数据泄露,数百万用户受影响
https://www.secrss.com/articles/90698 越南国家网络安全中心主管称,两个存有数百万用户数据的部级机构系统遭受了严重网络攻击;据悉,两个机构均已部署SOC平台,但未能发现此攻击;该主管称,这暴露了越南大型政企机构的普遍问题,即花了大价钱投资安全系统,但缺乏足够的合规安全人才去操作使用,管理层对安全风险的认知也非常薄弱。
10、欧盟GDPR对数据违规“一案多查”,Meta又被罚4.3亿欧元
https://www.secrss.com/articles/90682 “一案双查”是一个非常经典的行业术语,一般是说办一个案子时得查另一方面的问题。比如,在侦办网络违法犯罪案件的同时,对涉案网络服务提供者法定网络安全义务履行情况进行监督检查。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年05月26日
1、Ghostwriter组织利用乌克兰学习平台发起钓鱼攻击
https://securityaffairs.com/192538/apt/ghostwriter-is-back-using-a-ukrainian-learning-platform-as-bait-to-hit-government-targets.html 白俄罗斯关联APT组织Ghostwriter(UAC-0057/UNC1151)重启攻击,以乌克兰官方在线学习平台Prometheus为诱饵,瞄准乌克兰政府机构。攻击始于2026年春季,通过已攻陷账号发送钓鱼邮件,内含PDF附件,链接指向含JS文件的ZIP压缩包。JS文件运行时显示诱饵文档,同时在注册表植入加密的OYSTERBL
2、伊朗黑客伪造招聘网站渗透国防企业
https://www.govinfosecurity.com/iranian-hackers-using-fake-job-sites-to-breach-defense-firms-a-31762 伊朗关联APT组织Screening Serpens(Smoke Sandstorm/UNC1549)发起大规模社工攻击,伪造航空航天、国防企业招聘网站,针对中东及全球政府、军工、卫星通信行业。攻击者通过LinkedIn或邮件联系求职者,发送含恶意简历、申请表的附件,部分带合法数字签名。植入恶意软件后,利用远控工具横向移动,窃取凭证、部署后门并销毁痕迹,疑似受伊朗伊斯兰革命卫队支持。
3、Megalodon供应链攻击6小时攻陷5561个GitHub仓库
https://hackread.com/github-repositories-megalodon-supply-chain-attack/ 安全厂商披露Megalodon供应链攻击,6小时内攻陷5561个GitHub仓库,推送5718条恶意代码更新。攻击者用8位随机假名注册账号,伪装为build-bot、ci-bot等自动化服务,植入两类恶意工作流:SysDiag自动窃取云凭证;Optimize-Build潜伏后门,可通过GitHub API激活。受害项目含Tiledesk,其开发者发布7个感染版本至npm,窃取AWS、谷歌云、Azure密钥及30类密码。
4、Drupal高危漏洞遭野外大规模利用
https://securityaffairs.com/192566/uncategorized/u-s-cisa-adds-a-flaw-in-drupal-core-to-its-known-exploited-vulnerabilities-catalog.html 美国CISA将Drupal核心高危漏洞(CVE-2026-9082,CVSS 9.8)列入KEV目录。该漏洞为SQL注入缺陷,存在于数据库查询净化API,未认证攻击者可构造请求注入任意SQL,接管PostgreSQL数据库站点,造成数据泄露、提权甚至远程代码执行。漏洞修复后48小时内,Imperva监测到15000次攻击,
5、黑客出售3.4亿条OnlyFans用户数据
https://hackread.com/hacker-selling-onlyfans-user-records-old-breaches/ 黑产论坛出现售价约7.6万美元(0.313 BTC)的OnlyFans用户数据库,号称含3.4亿条记录。卖家承认数据非直接入侵所得,而是整合Twitter、Instagram、Spotify等旧泄露数据与公开资料匹配生成,含用户名、邮箱、手机号、粉丝数、支付卡后四位等信息。样本显示数据存在占位符、格式混乱等问题,但可关联真实身份,引发钓鱼、勒索、跟踪等风险。
6、Datavant集团数据泄露案达成90万美元和解
https://www.hipaajournal.com/datavant-group-class-action-data-breach-settlement/ 美国医疗IT企业Datavant Group(原Ciox Health)就2024年5月数据泄露案达成90万美元和解。事件源于员工点击钓鱼邮件致账号被盗,32万余人的姓名、社保号、健康信息等敏感数据泄露。和解金用于律师费、行政成本及受害者补偿,受害者可申请最高5000美元损失报销或一次性现金补偿,另享一年身份盗用监控服务,索赔截止8月18日,该案为医疗数据泄露典型追责案例。
7、Bugcrowd推出强化学习环境,基于真实软件漏洞训练AI模型
https://siliconangle.com/2026/05/21/bugcrowd-launches-reinforcement-learning-environments-train-ai-real-software-vulnerabilities/ Bugcrowd推出强化学习环境服务,利用真实漏洞软件训练AI模型,解决合成数据不足问题。该服务基于收购Mayhem的技术,大幅缩短开发周期,已被多家大语言模型供应商采用。平台提供数十万真实环境,评估AI漏洞定位与修复能力,推动安全AI发展。
8、微软紧急修复 Defender 中两个 0Day 漏洞
https://www.csoonline.com/article/4175970/microsoft-patches-two-zero-day-flaws-in-defender.html 微软紧急修复Defender反恶意软件平台两个0Day漏洞(CVE-2026-41091和CVE-2026-45498),已被黑客利用,可提权或禁用防护。CISA将其列入已知漏洞目录,建议用户立即更新至最新版本。
9、谷歌公开未修复Chromium漏洞利用代码 数百万用户面临风险
https://cybersecuritynews.com/google-publishes-chromium-exploit-code/ 谷歌公开Chromium高危漏洞PoC代码,影响Chrome、Edge等浏览器,可致用户设备被秘密纳入僵尸网络。漏洞42个月未修复,仅访问恶意网站即可触发攻击,风险包括DDoS、流量劫持等。目前无补丁,建议禁用相关功能防范。
10、黑客可利用联想签名驱动强制终止EDR进程
https://cybersecuritynews.com/lenovo-driver-terminate-edr-processes/ 联想签名驱动BootRepair.sys存在漏洞,可被黑客利用终止安全进程,实现BYOVD攻击。建议企业监控驱动加载、限制权限并部署EDR防护,以应对滥用可信组件的威胁。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年05月25日
1、Android恶意软件伪装成主流应用自动订阅付费服务
https://hackread.com/android-malware-subscribe-services-without-consent/ 研究人员披露一起持续10个月的全球Android恶意软件诈骗活动,约250个恶意应用伪装成Facebook Messenger、Instagram Threads、TikTok、Minecraft、Grand Theft Auto (GTA)等热门软件,诱导用户安装。该恶意软件精准针对泰国、克罗地亚、罗马尼亚、马来西亚四国主流移动运营商,安装后自动禁用Wi-Fi,强制走蜂窝数据流量,拦截短信OTP验证码,自动触发付费订阅流程。其包含三个变种,分别负
2、Microsoft Defender漏洞遭野外持续攻击
https://www.malwarebytes.com/blog/bugs/2026/05/microsoft-defender-vulnerabilities-are-being-exploited 美国网络安全和基础设施安全局(CISA)将Microsoft Defender两个高危漏洞列入已知被利用漏洞(KEV)目录,确认漏洞正遭野外持续攻击。其中CVE‑2026‑41091漏洞(CVSS评分7.8)为本地提权漏洞,攻击者获取基础权限后,可借此突破防护获取SYSTEM级完全控制权限;CVE‑2026‑45498漏洞(CVSS评分4.0)为拒绝服务漏洞,可干扰甚至禁用Defender防
3、PinTheft漏洞导致Arch Linux面临提权攻击
https://securityaffairs.com/192456/security/pintheft-another-linux-privilege-escalation-another-working-exploit-this-time-targeting-arch.html 安全团队披露Linux内核RDS(Reliable Datagram S)子系统本地提权漏洞PinTheft,已公开可用的漏洞利用代码,暂无CVE编号。漏洞源于zerocopy双释放缺陷,攻击者可通过io_uring篡改页面缓存,获取root权限。该漏洞仅默认影响Arch Linux,Ubuntu、Fedora、
4、暗网大型卡商平台泄露460万条支付卡信息
https://securityaffairs.com/192415/cyber-carding-site-b1acks-stash-dumps-4-6-million-stolen-cards-for-free.html 暗网大型卡商平台B1ack's Stash公开泄露460万条支付卡记录,此举为惩罚违规转卖数据的卖家。泄露数据包含卡号、CVV2码、有效期、持卡人姓名、账单地址、邮箱、电话、IP等完整信息,经筛选后约430万条有效,70%来自美国,其余集中在加拿大、英国、法国、马来西亚。该平台自2023年运营,多次以免费泄露数据引流,此次泄露或引发大规模盗刷、身份盗用、精准钓鱼诈骗,用户
5、加拿大警方逮捕Kimwolf僵尸网络运营人员
https://cyberscoop.com/kimwolf-botnet-alleged-administrator-jacob-butler-arrested-canada/ 加拿大警方逮捕23岁男子Jacob Butler,其为大型DDoS僵尸网络Kimwolf核心管理员,绰号Dort。Kimwolf自2025年起活跃,控制超200万台Android TV设备,作为DDoS租赁服务发起2.5万次攻击,造成数百万美元损失,还曾攻击美国国防部网络。今年3月,相关僵尸网络基础设施被查封,但Kimwolf仍持续运作,Butler因操作IP重叠被溯源锁定,面临引渡美国,最高可判10年监禁,事件暴
6、诈骗者利用微软内部账户批量发送垃圾邮件
https://techcrunch.com/2026/05/21/scammers-are-abusing-an-internal-microsoft-account-to-send-spam/ 安全监测机构发现不法分子冒用微软官方认证内部账号批量推送垃圾诈骗邮件,发件账号具备平台官方核验标识,具备极高迷惑性,能够轻易绕过主流邮箱的反垃圾过滤机制。诈骗邮件假借虚假交易通知、私信提醒等名义诱导收件人点击内嵌链接,跳转至高度仿制的微软官方登录页面,借机盗取用户账号、登录密码等核心凭证。微软正在积极调查并采取行动,以保护客户安全,包括进一步加强检测和屏蔽机制,同时移除违反使用条款的账户。安全人员
7、思科修复Secure Workload产品高危漏洞
https://securityaffairs.com/192473/security/cisco-fixed-maximum-severity-flaw-cve-2026-20223-in-secure-workload.html 思科官方发布安全更新补丁,修复旗下Secure Workload安全产品中一处高危漏洞,漏洞编号为CVE-2026-20223,危险评级CVSS 分数达到10.0(最高危)。该漏洞属于身份认证绕过缺陷,未取得访问权限的远程攻击者,可构造恶意接口请求突破系统防护,非法新建管理员账号、篡改设备运行参数,甚至在业务服务器中执行任意恶意指令。Secure Workloa
8、社交媒体为人工智能网络钓鱼活动提供了原始素材
https://www.helpnetsecurity.com/2026/05/19/social-media-phishing-ai-generated-emails/ 研究显示攻击者可仅凭社交媒体公开动态,结合生成式AI制作极具可信度的定制钓鱼邮件,无需盗取数据库信息或是开展大规模情报搜集。科研人员选取200名用户的社交公开内容,运用GPT-4、Claude 3 Haiku等五款主流大模型,共计生成18000封钓鱼邮件。攻击话术涵盖诱饵诱导、恐吓欺骗、情感陷阱、身份仿冒等七类社工手段,邮件中嵌入生日、旅行爱好、地域活动等个人细节,贴合用户真实生活场景。对比网络犯罪数据库内的传统钓鱼邮件,
9、多国联合执法行动关停二十余个勒索团伙使用的V*PN服务
https://techcrunch.com/2026/05/21/law-enforcement-shuts-down-vpn-service-used-by-two-dozen-ransomware-gangs/ 多国联合执法部门采取专项行动,依法关停名为First VPN的网络代理服务平台。长期以来,该VPN服务被至少25个知名勒索软件犯罪团伙频繁使用,包括BlackCat、Royal、Conti等组织,犯罪分子借助服务隐藏真实网络地址,跨境开展数据窃取、系统加密勒索等违法活动。执法团队经过长期侦查取证,取得司法审批授权后,查封涉案服务器、关停相关域名站点,直接切断大批勒索团伙的隐蔽上
10、ChromaDB存在未修复高危漏洞可致服务器被完全接管
https://www.securityweek.com/unpatched-chromadb-vulnerability-can-lead-to-server-takeover/ 安全厂商披露开源向量数据库ChromaDB存在未修复高危远程代码执行漏洞(CVE-2026-45829),未认证攻击者可接管服务器。漏洞因服务器信任客户端模型标识、认证前执行代码,攻击者提交恶意HuggingFace模型即可触发,执行任意命令、窃取API密钥等敏感数据。漏洞影响1.0.0后所有版本,73%公网暴露实例受影响。厂商多次反馈未获响应,临时防护需限制网络访问,暂无官方补丁,企业需尽快加固边界防护。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年05月22日
1、纽约公立医疗系统遭第三方入侵泄露180万患者敏感数据
https://www.govinfosecurity.com/public-nyc-health-system-notifying-18m-hack-a-31726 美国纽约市大型公立医疗体系NYC Health + Hospitals披露一起大规模数据泄露事件,因合作第三方供应商存在安全漏洞,导致近180万名患者的隐私数据遭到泄露。该医疗系统覆盖纽约五大区七十余家诊疗机构,服务海量基层病患,此次泄露数据范围极广,包含医保参保信息、诊疗记录、账单凭证、社保编号、银行卡信息,以及指纹、掌纹等不可重置的生物识别数据,长期隐私与财产风险极高。安全专家表示,生物识别数据无法像密码一样修改,一旦泄露
2、GitHub遭遇供应链攻击泄露3800个内部代码库数据
https://www.varonis.com/blog/github-breach 微软旗下代码托管平台GitHub确认遭遇针对性供应链攻击,威胁组织TeamPCP利用员工终端安装的恶意VS Code扩展突破内部防护,非法窃取平台内部核心源码资源,共计3800个内部仓库数据遭外泄。TeamPCP是专注供应链攻击的知名黑产团伙,此前曾多次入侵开源安全项目与开发工具平台。此次攻击中,攻击者依托恶意开发工具实现无感知渗透,全程规避常规安全检测,窃取的核心源码涵盖平台多项核心业务模块。攻击得逞后,该团伙在黑产论坛挂牌售卖数据,底价5万美元,并威胁若无买家将全网公开泄露。事件发生后,GitHub迅速
3、OpenClaw AI框架曝高危漏洞可劫持AI代理
https://www.govinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720 安全厂商披露开源智能代理框架OpenClaw存在一组高危漏洞,被命名为Claw Chain,包含四组可联动利用的安全缺陷,最高漏洞评分达9.6分,影响4月23日前发布的全部版本。该框架因功能强大、开源免费,上线短期内成为GitHub热门项目,全网暴露公网实例最高达24.5万台。四类漏洞分别对应CVE-2026-44112、CVE-2026-44115、CVE-2026-44118、CVE-2026-44113,涵
4、CISA监管机构不慎公开大量明文密钥与系统凭证
https://techcrunch.com/2026/05/19/us-cyber-agency-cisa-exposed-reams-of-passwords-and-cloud-keys-to-the-open-web/ 美国网络安全和基础设施安全局(CISA)曝出严重内部安全事故,其合作承包商员工不慎将大量明文密码、云访问密钥、系统令牌等核心敏感凭证,上传至公开GitHub仓库,导致美国国土安全部(Department of Homeland Security)及CISA内部系统访问权限暴露。这些凭证可直接对接政府云资源与内部业务系统,风险等级极高。该漏洞由GitGuardian安全
5、微软成功捣毁Fox Tempest恶意代码签名黑产团伙
https://cyberscoop.com/microsoft-digital-crimes-unit-disrupts-fox-tempest/ 微软数字犯罪部门(Microsoft Digital Crimes Unit)联合执法力量,成功瓦解长期活跃的Fox Tempest黑产团伙,捣毁其全套恶意代码签名非法服务体系。该团伙自2025年9月起持续运作,伪造正规企业身份滥用微软Artifact Signing系统,批量制作售卖虚假合法代码签名证书。各类勒索组织、信息窃取团伙可依托该证书为恶意软件赋能,规避系统安全校验、绕过终端防护,实现木马、勒索病毒、钓鱼程序的免杀传播。该团伙累计制作
6、存在九年的Linux内核漏洞可导致主流发行版root命令执行
https://thehackernews.com/2026/05/9-year-old-linux-kernel-flaw-enables.html Linux内核曝出潜伏九年的高危漏洞CVE-2026-46333,可让本地攻击者获取root权限并窃取敏感数据,影响主流发行版。补丁已发布,建议立即更新或临时调整安全参数。同时Arch Linux的PinTheft漏洞PoC也被公开,需警惕本地提权风险。
7、Claude Code网络沙箱漏洞暴露用户凭证与源代码
https://cybersecuritynews.com/claude-codes-network-sandbox-vulnerability/ Claude Code AI编程助手存在严重网络沙箱漏洞,攻击者可窃取凭证和源代码,漏洞持续5个月未被公开。Anthropic静默修复但未公告,用户需立即升级至v2.1.90+并轮换凭证。建议将沙箱视为防御措施而非安全边界。
8、暗网数据贩子将历史泄露事件重新包装为"新企业数据泄露"
https://cybersecuritynews.com/dark-web-brokers-repackage-old-breaches/ 暗网虚假数据泄露泛滥,黑客回收历史数据重新包装成"新情报"出售,消耗企业安全资源。中文暗网五大核心数据源每月发布600-1000条虚假声明,混合真实与伪造信息制造恐慌。企业需结构化验证数据真实性,避免分散对真实威胁的注意力。
9、黑客利用伪造所得税评估页面感染Windows系统
https://cybersecuritynews.com/hackers-use-fake-income-tax-assessment-pages/ 印度税务诈骗活动TAX#TRIDENT通过伪造税务文件攻击Windows用户,利用三条感染链部署恶意软件,包括远程控制工具和劫持合法企业软件,需警惕可疑税务链接并加强行为监控防御。
10、思科Secure Workload严重漏洞可导致未授权API访问
https://cybersecuritynews.com/cisco-secure-workload-vulnerability/ 思科Secure Workload平台曝严重漏洞(CVE-2026-20223,CVSS 10.0),攻击者可利用未认证API获取管理员权限,影响所有版本。思科已发布修复版本,建议立即升级,SaaS用户无需操作。该漏洞凸显内部API安全风险,需加强访问控制。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年05月21日
1、GitHub 遭入侵:员工设备遭恶意扩展攻击致内部源码仓库泄露
https://www.freebuf.com/articles/database/481971.html 2026年5月20日,GitHub通过系列官方声明证实,其检测到某员工设备因安装恶意Visual Studio Code扩展而遭入侵,导致内部代码仓库遭到未授权访问。这家微软旗下的代码托管平台表示,在发现某遭篡改的VS Code扩展被用于入侵员工终端后,已迅速识别并控制住此次入侵事件。
2、Apache Flink 高危漏洞可导致远程代码执行攻击
https://www.freebuf.com/articles/database/481799.html Apache Flink 近日披露一个编号为 CVE-2026-35194 的高危漏洞,该漏洞通过平台代码生成引擎中的 SQL 注入缺陷,使分布式数据处理环境面临远程代码执行(RCE)攻击风险。
3、严重n8n漏洞使自动化节点面临完整RCE风险
https://cybersecuritynews.com/n8n-rce-vulnerabilities/ n8n工作流自动化平台曝出三个严重漏洞(CVE-2026-44789至44791),可串联实现远程代码执行,影响HTTP、Git和XML节点。低权限用户即可利用,建议立即升级至修复版本或临时禁用相关节点。
4、Mythos Preview 实现自动化漏洞研究中PoC漏洞利用链构建
https://cybersecuritynews.com/mythos-preview-builds-poc-exploits/ Anthropic的AI模型Mythos Preview实现突破,能串联漏洞生成可验证的PoC利用链,填补漏洞发现与利用间的技术鸿沟。需定制化框架优化结果,但安全防护仍需额外措施,凸显攻防时间窗缩短的紧迫性。
5、攻击者利用旧版MSHTA程序发起大量攻击活动
https://www.bitdefender.com/en-us/blog/labs/microsofts-mshta-legacy-malware-windows Bitdefender安全研究人员发现,微软Windows系统自带的旧工具MSHTA虽为合法组件,但仍被攻击者大量滥用,成为常用的LOLBIN(Living-off-the-Land binary)工具,用于投递各类恶意软件。该工具可默认执行VBScript和JavaScript脚本,即便IE浏览器已退役,其相关功能仍被保留以保障兼容性,这也成为攻击者可利用的漏洞。攻击者借助MSHTA的合法进程身份,构建多阶段无文件执行链,通
6、波兰官员账户遭受网络攻击后停止使用Signal通讯应用
https://securityaffairs.com/192381/intelligence/poland-shifts-away-from-signal-following-cyberattacks-on-officials-accounts.html 波兰政府近期宣布,禁止官方人员使用Signal通讯应用处理敏感信息,转而采用国产加密通信工具mSzyfr及隔离系统SKR-Z,起因是多名政府官员遭遇针对性网络攻击,其Signal账号信息被窃取。经调查,此次攻击并非Signal加密机制被破解,而是亲俄APT组织采用社会工程学手段实施,攻击者冒充Signal平台客服,通过虚假通知诱骗用户泄露
7、全球连锁便利店7-11近期确认遭遇数据泄露事件
https://securityaffairs.com/192336/data-breach/shinyhunters-hack-7-eleven-franchisee-data-and-salesforce-records-exposed.html 全球连锁便利店7-11近期确认遭遇数据泄露事件,知名黑客组织ShinyHunters公开宣称,已成功入侵7-11存储加盟商信息的系统,窃取超60万条Salesforce相关记录及加盟商敏感数据,涵盖加盟商个人身份信息、经营数据、联系方式等,同时包含部分企业内部业务数据。据悉,此次攻击发生于4月8日,黑客组织通过漏洞入侵系统后,窃取数据并向7-1
8、PureLogs窃密木马通过钓鱼邮件传播窃取多类凭证
https://www.helpnetsecurity.com/2026/05/19/purelogs-infostealer-delivery-steganography/ 研究人员发现PureLogs新型信息窃取器正通过钓鱼邮件在全球范围内传播,其传播载体为附发票主题的TXZ压缩包,邮件以“逾期余额确认”为诱饵,伪造采购经理身份催促用户立即打开附件,利用用户的紧急心理实施攻击。该恶意软件采用先进隐写术技术,将加密后的恶意载荷隐藏在普通猫咪PNG照片中,成功规避多数安全软件检测。用户打开附件后,内置的JavaScript脚本会通过混淆手段隐藏恶意命令,启动隐藏的PowerShell会话,加
9、Endue Software同意支付87万美元达成数据泄露和解协议
https://www.hipaajournal.com/endue-software-data-breach-settlement/ 医疗SaaS企业Endue Software就2025年发生的数据泄露事件,与受害者达成87万美元的集体诉讼和解协议。据悉,该数据泄露事件发生于2025年2月,EndueSoftware系统遭黑客入侵,导致11.8万名患者的敏感信息泄露,泄露数据包括患者姓名、社保号、病历号、就诊记录等核心医疗及个人信息,可能被用于医疗诈骗、身份盗用等违法活动。事件发生后,多名受害者联合发起集体诉讼,指控该企业存在安全防护过失。尽管EndueSoftware否认自身存在安全过
10、DeepSeek泄露用户对话内容?回应:特殊字符引发幻觉
https://www.secrss.com/articles/90520 5月19日晚,DeepSeek官方账号发布《关于think字符触发模型异常回复的说明》称,近期有用户反馈,在与DeepSeek模型的对话中输入“think”这类特殊字符后,模型偶发返回不可预期的内容,使部分用户产生了“对话泄露”的疑虑。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年05月20日
1、疑似马来西亚政府支持黑客利用Cloudflare开展长期间谍行动
https://hackread.com/government-backed-hackers-cloudflare-malaysia-espionage/ Oasis Security最新研究显示,疑似马来西亚政府支持的黑客团队,长期利用隐藏的命令与控制(C2)系统开展间谍行动,并滥用Cloudflare的存储和内容分发服务托管恶意载荷、钓鱼材料,借助可信云平台规避安全检测。该行动基础设施设计隐蔽,通过灵活响应连接、限制公共扫描可见性等方式长期活跃,服务器定期轮换维护,聚焦情报收集,与区域网络间谍活动模式存在重叠。黑客还倾向使用临时基础设施降低成本,研究人员建议企业加强行为监测,而非仅依赖域
2、Reaper恶意软件利用伪造的微软域名窃取macOS密码
https://hackread.com/reaper-malware-fake-microsoft-domain-macos-passwords/ SentinelOne发现新型Reaper恶意软件(SHub变种),可绕过macOS Tahoe 26.4安全更新,伪装成系统更新及微信、Miro等常用软件,通过拼写错误的伪造微软域名(mlcrosoft.co.com)诱骗用户。攻击者通过虚假下载页触发恶意脚本,诱骗用户打开Script Editor并运行命令,索要设备登录密码,进而窃取浏览器、密码管理器、加密货币钱包数据,还会窃取指定大小的文件并分块上传,同时模仿谷歌软件更新路径安装永久后门
3、研究员披露Windows零日漏洞MiniPlasma
https://securityaffairs.com/192325/hacking/chaotic-eclipse-discloses-miniplasma-zero-day-suggesting-a-missing-or-undone-2020-windows-security-fix.html 研究员Chaotic Eclipse披露Windows零日漏洞MiniPlasma,该漏洞实为2020年上报并宣称已修复的CVE-2020-17103,因未被正确修复或补丁回滚,目前仍可在所有已打2026年5月更新的Windows 11上生效,可通过Windows云文件迷你筛选驱动漏洞提升至SY
4、攻击者利用NGINX高危漏洞实现DoS攻击及代码执行
https://www.helpnetsecurity.com/2026/05/18/ngnix-vulnerability-exploited-cve-2026-42945/ VulnCheck研究员披露,上周公开的NGINX高危漏洞CVE-2026-42945(绰号NGINX Rift)已被攻击者利用。该内存损坏漏洞影响NGINX开源及商业多个版本和相关产品,攻击者发送特制HTTP请求即可实现未授权拒绝服务(DoS),禁用地址空间布局随机化(ASLR)后还可远程执行代码。5月16日已出现利用尝试,全球约570万暴露NGINX服务器可能受影响,负责开发的F5公司已发布修复版本,同时提供临时
5、Tabiq酒店入住系统配置失误导致超百万份顾客数据遭泄露
https://securityaffairs.com/192302/data-breach/public-amazon-bucket-leaks-sensitive-guest-data-from-japanese-hotel-platform-tabiq.html Reqrea公司的Tabiq酒店入住系统因亚马逊S3云存储桶配置错误,导致超100万份旅客护照、驾照及自拍验证照片公开暴露在网上,任何人知晓“tabiq”桶名即可无需认证访问。该漏洞由安全研究员Anurag Sen发现并上报,经TechCrunch及日本JPCERT通知后,系统已被修复、存储桶被锁定。Reqrea表示尚不清楚存
6、国际刑警牵头在中东和北非的13个国家开展网络犯罪打击行动
https://cyberscoop.com/interpol-operation-ramz-middle-east-north-africa/ Interpol牵头13个中东、北非国家开展“Ramz行动”,这是该地区首次大规模网络犯罪打击行动。行动历时4个月,累计逮捕201人、查获53台服务器、识别382名嫌疑人,打击范围涵盖钓鱼服务、恶意软件及金融诈骗。期间还发现约旦有受害者被迫参与诈骗,多国同步开展服务器查封、设备扣押等行动,并有多家安全机构提供支持,目前相关调查仍在推进中。参与这项行动的机构收集了近8000条数据,这些数据在参与国之间共享,以支持正在进行的调查。
7、托瓦兹称AI漏洞报告导致Linux安全邮件列表不堪重负
https://cybersecuritynews.com/linus-torvalds-on-ai-bug-reports/ 林纳斯警告AI漏洞报告泛滥导致Linux安全邮件列表难以管理,新规要求AI报告必须公开处理并提高质量,强调需提供可验证影响和补丁,避免重复低效报告,同时认可AI工具价值但需优化流程。
8、微软确认 Windows 11 更新失败并报错 0x800f0922
https://cybersecuritynews.com/microsoft-windows-11-update/ 微软确认2026年5月更新KB5089549因EFI分区空间不足导致安装失败(错误0x800f0922),主要因Secure Boot变更新增文件。更新包含安全补丁、BitLocker修复等关键改进,企业可通过自动化脚本管理证书部署。微软正推出修复方案。
9、百万WordPress网站受Avada Builder文件读取与SQL注入漏洞影响
https://cybersecuritynews.com/avada-builder-plugin-vulnerability/ Avada Builder插件曝高危漏洞,允许攻击者窃取敏感数据和SQL注入,影响超百万站点。漏洞涉及文件读取和数据库攻击,CVSS评分最高7.5。建议立即升级至3.15.3版本并加强防护,凸显及时修补的重要性。
10、美国CISA将Exchange Server漏洞列入已知被利用漏洞目录
https://securityaffairs.com/192240/hacking/u-s-cisa-adds-a-flaw-in-microsoft-exchange-server-to-its-known-exploited-vulnerabilities-catalog.html CISA将Exchange Server高危漏洞(CVE-2026-42897)列入已知被利用目录,该0Day漏洞可致XSS攻击,通过OWA触发恶意代码,威胁企业邮件系统安全。微软已监测到在野利用,建议立即采取缓解措施。联邦机构须5月29日前修复。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年05月19日
1、Tycoon2FA新增设备码钓鱼劫持微软账户
https://www.esentire.com/blog/tycoon-2fa-operators-adopt-oauth-device-code-phishing 研究人员发现曾在3月遭国际执法行动打击的钓鱼平台Tycoon2FA已在新基础设施上恢复运行,并新增“设备码钓鱼”能力,目标指向Microsoft 365账户。研究人员发现,攻击者通过带有Trustifi点击跟踪链接的发票主题邮件,将受害者经由Trustifi、Cloudflare Workers及多层混淆脚本引导至伪造页面,再诱导其在微软合法的microsoft.com/devicelogin页面输入设备码并完成多因素认证。此
2、诈骗者寄送假信件诱骗Ledger用户泄露助记词
https://support.ledger.com/zh-CN/article/scams-targeting-crypto-holders 意大利有诈骗者通过邮寄实体钓鱼信件,冒充Ledger相关通知,诱导加密钱包用户泄露助记词。信件中包含二维码,收件人扫码后可能被引导至伪造页面,并被要求输入钱包恢复所需的seed phrase。一旦助记词泄露,攻击者即可控制受害者钱包中的加密资产。该事件表明,针对加密货币用户的钓鱼手法已从电子邮件等线上渠道扩展到线下邮寄场景,用户需对涉及助记词、恢复短语等敏感信息的任何请求保持警惕。
3、Grafana称源代码被盗后拒绝勒索要求
https://hackread.com/grafana-source-code-theft-rejected-ransom-demand/ Grafana表示,攻击者通过获取其GitHub令牌后访问了公司代码库,并窃取了部分源代码。公司称,在发现事件后已采取应对措施,并明确表示拒绝了对方提出的勒索要求。根据目前披露的信息,此次事件影响范围主要限于源代码层面,未波及客户数据,也没有证据表明其生产系统或客户环境受到影响。该事件再次凸显了代码托管平台访问凭证的重要性,以及企业在令牌管理、权限控制和事件响应方面面临的安全挑战。
4、思科SD-WAN控制器认证绕过漏洞正遭利用
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW 思科Catalyst SD-WAN Controller中一处认证绕过漏洞正被活跃利用。该漏洞编号为CVE-2026-20182,攻击者可通过设备上的DTLS 12346端口绕过身份验证,进而获得管理员级访问权限。根据已披露信息,相关利用活动发生在2026年5月之后,表明该漏洞已从安全风险演变为现实攻击面。报道指出,该问题影响思科SD-WAN控制器的访问控制机制,可能导致未授权人员
5、PraisonAI认证绕过漏洞披露后迅速遭定向利用
https://github.com/advisories/GHSA-6rmh-7xcm-cpxj PraisonAI的一个认证绕过漏洞(CVE-2026-44338)在5月11日公开披露后不久即被攻击者关注并利用。该漏洞会暴露/agents接口,使未授权访问成为可能。根据文中信息,从漏洞披露到出现针对该漏洞的利用探测,仅间隔约3小时44分钟,显示出攻击者对新披露高风险漏洞的响应速度极快。现有内容主要说明了受影响接口、漏洞类型以及被尝试利用的时间窗口,未进一步披露更详细的技术成因、影响范围或攻击后果。整体来看,此事件再次反映出公开披露后的短时间内即可能出现实战化探测与攻击活动。
6、FunnelBuilder漏洞致四万余商店结账数据被窃
https://sansec.io/research/funnelkit-woocommerce-vulnerability-exploited WooCommerce相关插件Funnel Builder存在一个已被攻击者利用的安全漏洞,影响超过4万家在线商店。攻击者借助该缺陷在受影响站点中植入伪造的Google Tag Manager(GTM)代码,从而在用户结账过程中窃取支付信息,形成典型的结账页面信用卡盗刷链路。报道指出,相关风险在修复版本3.15.0.3发布前尤为突出,未及时更新的商店面临较高暴露风险。该事件再次表明,电商站点插件一旦存在漏洞,可能直接危及支付数据安全,运营方应尽快完
7、Claude Code RCE漏洞允许攻击者通过恶意深度链接执行命令
https://cybersecuritynews.com/claude-code-rce-flaw/ Anthropic的Claude Code CLI工具存在严重RCE漏洞,攻击者通过特制深度链接可执行任意命令。漏洞源于参数解析缺陷,允许注入恶意钩子命令。2.1.118版本已修复,建议用户立即更新。
8、NGINX CVE-2026-42945漏洞遭野外利用
https://thehackernews.com/2026/05/nginx-cve-2026-42945-exploited-in-wild.html NGINX Plus和开源版爆出堆缓冲区溢出漏洞(CVE-2026-42945),可致服务崩溃或特定条件下远程代码执行,野外攻击已现。openDCIM同期曝高危漏洞链,攻击者组合利用可远程执行代码。建议用户紧急更新补丁。
9、Fast16恶意软件篡改核武器模拟数据以破坏测试结果
https://cybersecuritynews.com/fast16-malware-manipulated-nuclear-weapons/ Fast16恶意软件通过篡改核武器模拟数据误导工程师,延缓武器研发而非直接破坏。针对流体动力学软件精密设计,仅微调关键参数制造合理误差,消耗资源并加剧内部矛盾。与震网病毒形成数字战略互补,开辟新型认知战战场。
10、Linux内核漏洞"ssh-keysign-pwn"允许窃取SSH密钥与密码文件
https://cybersecuritynews.com/linux-kernel-vulnerability-ssh-keysign-pwn/ Linux内核漏洞CVE-2026-46333(ssh-keysign-pwn)允许攻击者窃取SSH私钥和密码哈希,影响多个主流发行版。漏洞源于ptrace访问控制缺陷,利用进程退出时的短暂时间窗口窃取文件描述符。建议立即打补丁、轮换SSH密钥并监控敏感文件访问。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
CVE-2026-42945 深度解析 NGINX Rift :潜伏18年的堆溢出漏洞分析与防御指南
在全球互联网基础设施的底层架构中,NGINX 凭借其极致的异步非阻塞事件驱动模型和极低的内存消耗,长期占据着 Web 服务器、反向代理、负载均衡器以及 API 网关领域的统治地位。NGINX的安全性影响全球数以千万计在线服务。2026年5月13日,一项被正式命名为 “NGINX Rift” 的严重内存破坏漏洞(CVE-2026-42945)的公开披露,在网络安全业界引发了强烈的震动。
该漏洞极其罕见地在 NGINX 的核心源码库中潜伏了大约 18 年之久(据溯源分析,该缺陷最早在 2008 年左右的提交中被引入),波及了从 0.6.27 早期版本一路延伸至 1.30.0 的几乎所有 NGINX Open Source 迭代分支,同时 NGINX Plus 商业版也未能幸免 。作为一个潜藏极深的基于堆的缓冲区溢出漏洞,它存在于被极为高频使用的 URL 重写模块(ngx_http_rewrite_module)中 。在极具普遍性的特定配置模式下,未经身份验证的远程攻击者仅需发送一个精心构造的单一 HTTP 请求,即可稳定触发该溢出漏洞,导致 NGINX 工作进程(Worker
漏洞分析
根据 F5 官方安全公告(K000161019)以及美国国家漏洞数据库(NVD)的权威评估,NGINX Rift 漏洞在最新的通用漏洞评分系统(CVSS)4.0 标准下获得了 9.2 分的极危(Critical)评级,在 CVSS 3.1 标准下亦达到了 8.1 分的高危(High)水平 。这一评分的内在逻辑深刻反映了该漏洞的破坏力。
受影响版本
该漏洞的波及范围不仅局限于独立部署的 NGINX 服务,更深刻影响了全球主要 Linux 发行版的官方软件源以及基于 Kubernetes 的云原生网络入口控制器。由于该缺陷代码早在 2008 年便已合入主线,这意味着过去 18 年间发布的大量长期支持(LTS)版本均携带此隐患 。
值得高度警惕的是,众多 Kubernetes 集群仍在使用官方主线停止维护的 kubernetes/ingress-nginx 控制器。由于该控制器的底层镜像硬编码并静态嵌入了NGINX 1.27.1 版本,集群管理员无法通过简单地升级宿主机的 NGINX 安装包来解决此问题,必须更换或重新编译入口控制器镜像。这种容器化带来的底层依赖固化,在遇到此类持续时间极长、潜藏极深的超期漏洞时,暴露出供应链安全响应的迟滞风险。
NGINX底层请求处理架构与漏洞产生的原因
为了彻底解析 NGINX Rift 漏洞的技术肌理,有必要深入剖析 NGINX 处理 HTTP 流量的内部架构及其精妙的内存管理哲学。NGINX 并不为每一个传入的连接生成新的线程或进程,而是采用单线程的事件循环(Event Loop)配合非阻塞 I/O 来处理成千上万的并发连接。
在这种架构下,配置文件的解析与请求路由成为至关重要的一环。ngx_http_rewrite_module 是 NGINX 体系中最复杂、最强大的核心模块之一。它允许管理员利用 PCRE(Perl-Compatible Regular Expressions)正则表达式在请求处理的极早期阶段(Server Rewrite Phase 和 Rewrite Phase)动态拦截、修改、重写传入的统一资源标识符(URI),甚至改变后续的处理走向 。在处理如 PHP 前端控制器(Front Controller)模式、WordPress 伪静态永久链接(Permalinks),或是作为 API 网关桥接
在内存分配策略上,NGINX 摒弃了频繁调用操作系统层面 malloc 和 free 的低效做法,转而实现了一套基于内存池(Memory Pool, ngx_pool_t)的高效机制。当一个新的 HTTP 请求接入时,NGINX 会为其创建一个独立的请求内存池。在处理该请求生命周期内的所有小块内存分配(如保存解析后的 HTTP 头、动态生成的 URI 字符串等),都会直接从这个预先申请的大块连续内存页中切割。这种设计极大地降低了内存碎片和分配开销。然而,正是这种将多次分配集中在一个连续内存空间中的设计,使得一旦发生逻辑上的计算谬误导致缓冲区越界写入,溢出的字节会直接覆盖并污染同一内存池中紧邻的
CVE-2026-42945 核心成因
DepthFirst团队在漏洞研究报告中详细揭示了 NGINX Rift 的根本原因。这是一个典型且极其复杂的计算逻辑脱节漏洞,其核心在于 NGINX 的内部脚本引擎(Script Engine)在处理特定的变量重组时,对目标内存长度的“预判(Estimation)”与最终的“执行写入(Execution)”之间,存在基于上下文标志位(Context Flags)的严重不对等。
触发路径的特定“配置”
漏洞并非在 NGINX 的常规运行中随机产生,它宛如一把必须通过特定配置齿轮才能咬合转动的复杂暗锁。研究表明,必须同时满足以下三个配置维度的条件,漏洞代码路径才会被激活 :
存在未命名的 PCRE 正则捕获:在 rewrite 指令的正则表达式中,使用了未命名的捕获组,随后在配置逻辑中通过系统自动分配的数字变量(如 $1, $2)进行引用。
替换字符串引入查询参数机制:在目标替换字符串(Replacement String)中嵌入了问号(?)。在 NGINX 的路由语义中,这标志着 URI 路径与查询参数(Query String)的分界,NGINX 会据此改变对后续字符的转义处理逻辑。
同一作用域下的指令链式调用:在这个存在隐患的 rewrite 指令之后,在同一个配置块(Scope)内,必须紧跟另一个触发脚本引擎重新评估的指令,通常是另一个 rewrite,或者是 if 逻辑判断,亦或是 set 变量赋值指令 。
一个能够精准命中上述所有脆弱条件的真实生产环境配置切片如下所示:
# 典型的 API 网关或应用重写逻辑
location /api/v1/ {
# 步骤一与二:正则表达式使用 (.*) 产生未命名捕获 $1,替换字符串包含? 号
rewrite ^/api/v1/(.*)$ /internal_router.php?route=$1;
# 步骤三:紧跟一个 set 指令,触发双重遍历引擎的上下文混乱
set $backend_cluster "legacy_nodes";
}
双重遍历引擎的逻辑错误
当攻击者向具备上述配置的 NGINX 节点发送包含特殊荷载的 HTTP 请求时,NGINX 将进入其内置的脚本求值流程。位于 src/http/ngx_http_script.c 源码文件中的底层机制被唤醒。由于指令链条的复杂性,NGINX 需要对重写目标进行两次遍历操作 :
第一遍遍历:长度分配的短视计算 引擎必须首先计算出需要多大的目标缓冲区来容纳重写后的 URI。此时,系统调用了 ngx_http_script_complex_value_code 函数。至关重要的是,为了进行纯粹的长度评估,NGINX 在这一步实例化并传入了一个被完全清零初始化的“子引擎(Sub-engine)”结构体 。 在这个被清零的子引擎上下文中,一个名为 is_args 的关键标志位被默认为 0。当子引擎进一步调用 ngx_http_script_copy_capture_len_code 去测量正则表达式捕获的内容(即攻击者传入的恶意 $1 变量)时,由于 is_args 为 0,
第二遍遍历:数据写入的转义膨胀 一旦空间分配完毕,执行流程随即切换到第二遍的实际数据拷贝阶段。此时,操作权交还给了保留完整上下文状态的“主引擎(Main engine)”。 在主引擎的上下文中,由于之前的替换字符串中显式包含了 ? 符号,系统正确识别到当前正在处理 URI 的查询参数区域,因此 is_args 标志位被正确地保持为 1。 当程序执行到 ngx_http_script_copy_capture_code 准备将攻击者的数据拷贝入刚刚分配的缓冲区时,悲剧发生了。由于检测到 is_args 为 1,NGINX 强制介入了参数转义流程,调用了底层的 ngx_escape_uri 函数,
在 NGX_ESCAPE_ARGS 转义模式下,根据相关 RFC 标准,特定的字符必须被编码以保证安全传输。例如:
空格会被转化为 + 或 %20。
字符 +、% 和 & 等会被展开为三字节的十六进制表示形式(如 % 会被重新转义为 %25)。
致命的算术冲突与内存覆写:
假设攻击者发送的请求 URI 中包含了 1000 个连续的 % 字符。
计算阶段:子引擎认为这是一个长度为 1000 字节的数据块,向内存池申请了 1000 字节的目标缓冲区。
写入阶段:主引擎在拷贝过程中,对这 1000 个 % 字符执行 NGX_ESCAPE_ARGS 转义,每一个 % 都被转换成了长达 3 个字节的 %25 字符串。最终,主引擎试图将高达 3000 字节的数据强行塞入仅仅分配了 1000 字节的内存块中 。
这导致了多达 2000 字节的高强度越界写入。由于越界写入的字节流实质上是对攻击者原始输入的转义版本,这意味着内存覆写的内容并不是完全的乱码,而是由攻击者高度可控的数据载荷构成的,这种“可控的内存破坏(Controllable Corruption)”正是将其转化为严重安全漏洞的核心原因 。
漏洞利用进阶:从拒绝服务到远程代码执行
了解了 NGINX Rift 漏洞的根本成因后,有必要进一步剖析攻击者是如何在实战环境中运用这一缺陷的。根据底层操作系统环境的防御纵深配置不同,该漏洞能够造成的破坏程度呈现出巨大的两极分化态势。
拒绝服务(DoS)稳定利用
对于绝大多数开启了现代内存保护机制的系统而言,漏洞最直观和最可靠的表现形式是拒绝服务。由于 NGINX 采用 Master-Worker 多进程架构,工作进程(Worker)负责处理具体的网络请求连接。
当攻击者发送包含大量恶意字符膨胀载荷的请求时,堆缓冲区溢出瞬间发生。溢出的数据无情地践踏了紧邻其后的内存结构。如果该内存处于 NGINX 自定义的 ngx_pool_t 结构内,它会破坏下一个即将被使用的内存块的元数据头部;如果触发了针对大块内存的 malloc 退化,它将破坏底层 glibc(如 ptmalloc)管理堆块(Chunk)所必需的头部信息(例如覆盖了关键的 size 字段或是双向链表的 fd/bk 指针)。
当 NGINX 进程继续运行,试图释放该内存块或在同一池中进行下一次分配时,底层的内存完整性校验机制将被触发。系统侦测到堆数据损坏,会立即抛出 SIGSEGV(段错误)或 SIGABRT 异常中断,直接杀死当前正在处理该请求的 Worker 进程 。虽然 NGINX 的 Master 进程拥有强大的韧性,它会在监控到 Worker 退出(例如在日志中记录类似 worker process <PID> exited on signal 11 的信息)后迅速拉起一个新的替补 Worker,但为攻击者提供了一种极其廉价且高效的攻击途径 。
攻击者可以构建多线程发包工具,以每秒数百次的频率持续发送触发载荷。这种高频的精确打击将导致目标服务器上的所有 NGINX Worker 进程陷入永无止境的“崩溃-重启”死亡循环(Crash Loop)中 。合法的用户请求由于分配不到存活的 Worker 进程,或者连接在处理半途中因进程意外死亡而遭到系统强行重置(Connection reset by peer),从而导致目标 Web 业务或 API 服务呈现全面瘫痪的状态 。在 Alma Linux 团队的独立复现测试中,他们确认在 Alma Linux 8、9、10 及后续衍生版本上,针对目标 Worker 进程制造此类 DoS 攻击路径是
远程代码执行(RCE):受限环境下的服务器接管
多份深度研究报告明确指出,CVE-2026-42945 确实存在被转化为无身份验证 RCE 的完整潜能,然而这其中存在一个至关重要的先决门槛—目标主机的地址空间布局随机化(ASLR)状态 。
在默认开启 ASLR 的环境下,由于堆布局的不可预测性,且当前尚未发现能与此溢出相配合的稳定信息泄露(Info-leak)漏洞,攻击者通过盲目构造溢出载荷去精准覆盖如 NGINX 核心结构体中的 handler 回调函数指针,并将其重定向至有意义的执行链(ROP Chain)的成功率微乎其微。强行尝试的结果绝大多数情况下依然是引发不可恢复的段错误崩溃 。
然而,如果目标系统由于特定的历史遗留原因、兼容性约束、特殊的调试配置,或是某些极度精简的物联网(IoT)固件/老旧嵌入式环境中被人为或被迫禁用了 ASLR(例如配置了 sysctl kernel.randomize_va_space=0)。
在此类未受 ASLR 保护的脆弱环境中,内存的分配模式变得相对静态和确定。Depth First 平台发布的概念验证(PoC)代码成功展示了,在关闭 ASLR 后,攻击者可以通过高度复杂的堆风水(Heap Grooming)技巧,利用合法的请求预先占据特定的堆孔洞,使得目标被覆写的关键回调结构精确落在漏洞溢出覆盖的物理范围之内 。通过精确控制在 $1 捕获变量中输入的字符构成和序列,最终实现对 NGINX 执行控制流的精准劫持,顺利完成无需任何身份验证的底层 Shell 获取,实现了真正意义上的灾难性突破 。
NGINX 内部的衍生漏洞矩阵
除了 NGINX Rift,F5 和开源社区在同一批次的补丁更新中,还集中修补了其他多个同样涉及内存破坏和逻辑错乱的安全漏洞,形成了一个规模庞大的“漏洞补丁包”:
修复指南与纵深防御体系建设
一、核心加固:软件升级
根除 CVE-2026-42945 的唯一终极方案,是用修复了内部引擎转义差异缺陷的安全版本彻底替换脆弱代码。安全补丁通过引入更为一致的状态管理逻辑,确保在长度预估和实际拷贝阶段,对于 URI 逃逸字符的判定标准保持绝对统一。
对于原生的 NGINX Open Source 用户:必须将系统平滑升级至 1.30.1(稳定分支)或 1.31.0(主线分支)以上版本 。
对于使用 NGINX Plus 订阅的商业用户:根据生产环境当前固定的发行列车(Release Train),快速部署对应版本的官方安全修正包,包括 R32 P6、R35 P2 或 R36 P4 。
Linux 发行版软件包管理的跟进:对于通过 apt 或 yum 等包管理器直接从发行版软件库安装 NGINX 的服务器。各主流操作系统社区已迅速响应。例如,Ubuntu 已为 26.04 LTS (resolute) 推送了 1.28.3-2ubuntu1.1,为 24.04 LTS (noble) 提供了 1.24.0-2ubuntu7.8 的安全迭代 ;而 Alma Linux 生态圈内,版本 8、9、10 的用户需立刻更新到诸如 nginx-1.14.1-9.el8.10.alma.1 等包含了向上移植(Backport)代码的新编译包 。在利用包管理器升级后,必须手动执行重启命令(如
二、云原生治理:Kubernetes Ingress-NGINX
由于 Kubernetes 官方维护的 ingress-nginx 核心控制器项目当前处于已归档停止推进的状态,其最终正式版控制器镜像内部锁死并静态编译的仍然是易受攻击的 NGINX 1.27.1 版本 。这是极为危险的供应链安全陷阱:即使系统管理员在承载集群计算节点的宿主机操作系统上更新了 NGINX 的 RPM 或 DEB 包,也对运行在容器内部的控制器进程毫无帮助。
应急审计与规避措施:
集群管理员必须进入特定的 Pod 内部执行诊断命令,直接质询编译二进制文件的版本状态:kubectl exec -n ingress-nginx <controller-pod> -- /nginx-ingress-controller --version 。
战略性架构剥离:借此安全事件为契机,加速淘汰陈旧的 Ingress 架构,全面向更为现代、安全解耦的 Kubernetes Gateway API 实施规范演进 。
短效替代品(Fork 方案):在架构平移完成前,对于无法忍受业务断档的企业,建议将其入口控制器的基础镜像临时替换为由社区积极维护、并且及时合并了上游最新安全补丁(1.30.1+ 核心)的分支项目源(例如 Forkline 项目发布的分支镜像)。
三、不升级情况下的临时措施
核心思路:瓦解触发条件链。因为该溢出极其依赖特定语法符号的堆叠,破坏其中任何一环,都能让漏洞的“预分配与实际执行错位”现象不再发生。
全面使用命名捕获替代未命名系统捕获: 这是最为推荐且影响最小的手段。安全团队需要利用自动化脚本工具,对全网范围内所有的 nginx.conf 及其被包含子配置文件进行地毯式扫描,搜索类似 (.*) 这种依赖 $1, $2 被动赋值的原始正则表达式。 随后,将其全部重构为带有显式名称标识的捕获组,例如使用 (?<my_custom_name>.*) 语法,并在后续的重写路径中显式调用 $my_custom_name。这一语法层面的细微变化,足以改变内部脚本引擎在参数解析时的作用域边界和状态传递链条,完美规避底层缺陷 。
脆弱的配置模式(切勿再使用):
rewrite ^/api/(.*)$ /v2/api.php?query=$1;
set $endpoint "api_v2";
安全配置模式:
# 将被动的 $1 升级为具有隔离性的命名捕获 <apipath>
rewrite ^/api/(?<apipath>.*)$ /v2/api.php?query=$apipath;
set $endpoint "api_v2";
打破指令链枷锁:如果业务重写规则的复杂度允许,可以直接将替换字符串中的问号(?)剔除,或者拆解紧接在其后的 set 或 if 指令,彻底阻断触发执行第二次评估渲染环境所需的“连击(Combo)”条件 。
四、动态监测
如果组织环境内部依然存留着使用脆弱配置且未及更新的 NGINX 实例,那么在被动防御系统上建立高敏态势感知规则是抵御攻击的最后一道壁垒。
建立高敏感的崩溃信标(Crash Beacons):基于此漏洞极其稳定地引发进程终止的特性,防守方应在 SIEM(安全信息和事件管理系统)、Logstash 或集中式的可观测性平台上部署特殊的检测启发式规则。一旦通过模式匹配识别到 NGINX 错误日志中开始大量、规律性地浮现诸如 worker process exited on signal 11 或类似指向 SIGSEGV 断流的关键事件报错,且同一时间维度的 HTTP 访问日志中伴随出现源自特定 IP 范围、含有大量超常编码字符(如冗长的未编码 % 或 + 串列)的异常请求,应当立即触发红色预警响应协议,拉黑关联攻击源,防止针对目标基础设
系统底层防御基线红线审查:安全运维工程师必须针对所有承载着对公网暴露(Internet-facing)NGINX 实例的核心服务器及虚机容器,执行底层的基线回溯审查。重点审查操作系统的地址空间布局随机化(ASLR)核心状态(通过确认 sysctl kernel.randomize_va_space 返回值是否为默认的安全值 2)。如若发现任何因特殊的兼容性诉求、早期的环境隔离配置或是由于承载于不规范硬件上而人为导致 ASLR 完全禁用或被削弱的主机节点,必须将其安全修复优先级上提至最高紧急(P0)级别,因为只有在这类脆弱且无防护伞的环境下,NGINX Rift 漏洞才有可能被实打实地转化为接管
网络安全日报 2026年05月18日
1、Turla将Kazuar改造为模块化P2P僵尸网络
https://www.microsoft.com/en-us/security/blog/2026/05/14/kazuar-anatomy-of-a-nation-state-botnet/研究人员发现Turla已将Kazuar后门改造为由三个模块组成的P2P僵尸网络,以提升隐蔽控制、任务分发韧性和长期驻留能力。该架构通过点对点通信替代或弱化传统中心化指挥控制模式,使受感染节点之间能够转发指令与数据,从而降低单点失效风险并增强抗侦测性。报道指出,此次改造的重点在于实现更隐蔽的C2通信、更稳健的任务下发机制,以及在受害环境中的持续访问能力,体现出相关威胁活动在模块化和持久化方向上的演进。
2、REMUS窃密木马加速演化并强化会话窃取
https://www.bleepingcomputer.com/news/security/inside-the-remus-infostealer-session-theft-maas-and-rapid-evolution/研究人员称,REMUS作为新兴信息窃取木马,正从单一恶意程序快速演变为高度商业化的恶意软件即服务平台。研究基于2026年2月12日至5月8日期间与该地下运营相关的128条帖子,显示其在数月内持续发布功能更新、运营优化和面向客户的支持内容,发展节奏类似正规软件产品。REMUS早期主打浏览器凭证、Cookie、Discord令牌窃取及Telegram投递,随后扩展到恢复令
3、伪装面试应用传播JobStealer恶意程序
https://hackread.com/fake-job-interview-jobstealer-malware-windows-macos/攻击者正利用伪装成求职面试软件的应用,在Windows和macOS系统上传播JobStealer恶意程序。该恶意软件的主要目标是窃取受害者设备中的敏感信息,包括加密货币钱包数据、浏览器中的账户与会话信息,以及保存的密码等。此类攻击借助求职和面试场景进行伪装,具有较强迷惑性,可能诱导用户主动下载安装恶意应用。报道表明,相关威胁同时影响主流桌面平台,显示出攻击者在跨平台投放和信息窃取方面的活跃趋势。
4、Exim关键漏洞可致远程代码执行
https://xbow.com/blog/dead-letter-cve-2026-45185-xbow-found-rce-exim开源邮件传输代理Exim曝出高危漏洞CVE-2026-45185,未认证远程攻击者在特定配置下可实现任意代码执行。该问题影响4.97至4.99.2版本中采用GnuTLS构建、并启用STARTTLS与CHUNKING通告的Exim实例,OpenSSL构建不受影响。漏洞本质为TLS关闭过程中处理BDAT分块SMTP流量时触发的释放后使用(UAF),可能导致向已释放内存写入数据。成功利用后,攻击者可在服务器上执行命令、访问Exim数据及邮件内容,并可能进一步横向移动
5、微软MDASH发现16个已修复的Windows漏洞
https://thehackernews.com/2026/05/microsofts-mdash-ai-system-finds-16.html微软披露,其新推出的MDASH人工智能系统发现了16个已在本月“补丁星期二”更新中修复的Windows漏洞。相关漏洞中包括两个可导致远程代码执行的高危问题,分别涉及IKEv2和TCP/IP组件。该消息表明,微软正在将AI能力应用于漏洞挖掘与安全防护流程,以辅助发现系统中潜在的高风险缺陷。现有信息主要指出漏洞数量、修复时间点以及其中两类关键受影响组件,未进一步公开每个漏洞的详细技术细节、利用条件或影响范围。
6、AvadaBuilder漏洞可致网站凭据被窃取
https://www.wordfence.com/blog/2026/05/1000000-wordpress-sites-affected-by-arbitrary-file-read-and-sql-injection-vulnerabilities-in-avada-builder-wordpress-plugin/WordPress插件Avada Builder曝出两处安全漏洞,可能导致任意文件读取和数据库敏感信息泄露,影响约100万活跃安装。其一为CVE-2026-4782,影响3.15.2及以下版本,具备至少订阅者权限的认证用户可借助shortcode渲染功能中的custom_s
7、三个node-ipc版本被发现含窃密后门代码
https://www.stepsecurity.io/blog/node-ipc-npm-supply-chain-attack三个node-ipc版本中被发现包含窃密程序和后门代码,可能导致开发者与云环境中的敏感信息被非法获取和外传。受影响内容主要涉及开发过程中常见的凭据、密钥及相关机密数据,这意味着使用相关版本的项目或构建环境可能面临供应链安全风险。该事件再次凸显开源依赖被植入恶意代码后,对开发流程、CI/CD 环境以及云资产安全带来的潜在威胁。对于依赖 node-ipc 的用户而言,应尽快核查所使用版本并评估暴露范围,及时采取替换、清理和凭据轮换等措施以降低风险。
8、本地部署Exchange漏洞遭恶意邮件利用
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897CVE-2026-42897正影响本地部署的Microsoft Exchange Server,攻击者可通过特制电子邮件对该漏洞进行利用。现有信息显示,此类邮件可被用于实施欺骗相关攻击,给企业邮件系统与通信可信度带来风险。报道强调该问题已处于被利用状态,因此受影响环境需要尽快采取缓解措施。对于仍运行本地Exchange服务器的组织而言,应立即核查资产与版本情况,关注微软后续安全通告与补丁信息,并结合邮件安全策略、日志监测和访问控制等手段降低被攻击面,避免威胁进
9、OpenClaw四个漏洞可被链式利用
https://www.cyera.com/blog/claw-chain-cyera-research-unveil-four-chainable-vulnerabilities-in-openclawOpenClaw 2026.4.22版本中存在四个被称为“Claw Chain”的安全漏洞。这些漏洞在单独存在时影响有限,但一旦被攻击者进行链式组合利用,可能造成更严重的安全后果,包括数据被窃取、权限提升以及在受影响系统中建立持久化控制。现有信息表明,问题集中于OpenClaw 2026.4.22版本,说明该版本用户面临较高风险。报道摘要未披露每个漏洞的具体技术细节、利用条件、受影响范围及修复
10、Ghostwriter借PDF钓鱼攻击乌克兰政府目标
https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans/研究人员发现Ghostwriter在2026年3月针对乌克兰政府目标发起攻击,攻击链以PDF文件作为诱饵,并结合地理围栏技术提升命中率与隐蔽性。报道指出,该行动的最终目的是在受害环境中投放Cobalt Strike,这是一类常被用于后渗透控制、横向移动和维持访问的工具。现有信息表明,此次攻击主要面向乌克兰政府机构,体现出针对性较强的定向钓鱼特征。报道未披露更多关于诱饵内容、投递方式或受害范围的细节,但
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

