漏洞

Citrix修补6个NetScaler高危漏洞:可致文件读取和拒绝服务
Citrix发布NetScaler ADC与Gateway安全更新,修补6个高危漏洞,部分可被远程利用实现未授权文件读取或触发拒绝服务。官方已提供修复版本,并提醒HTTP/2相关问题需同步调整配置。

RustDuck Botnet 以 Rust 重写,劫持路由器和服务器发起 DDoS
新出现的两阶段 malware family RustDuck 正在入侵家用 router、IP camera、Android box 和防护不足的 server,组网用于 DDoS。它自 2026 年 2 月起被观察到,扩散手法结合弱口令、未修补漏洞与 Web 软件缺口。

Oracle E-Business Suite 缺陷 CVE-2026-46817 正在被实战利用
Defused Cyber 指出,影响 Oracle E-Business Suite 的高危漏洞 CVE-2026-46817 已在野外被主动利用,攻击者可经 HTTP 在未认证情况下接管 Oracle Payments。Oracle 另有相关漏洞也曾被武器化。

Langflow RCE 遭利用在暴露 AI 应用端点部署 Monero 矿工
威胁行为者正利用 Langflow 的高危 RCE 漏洞 CVE-2026-33017,对暴露的 AI 应用端点发动新一轮攻击,投放 Monero 挖矿程序,并借助 SSH 复用键横向传播,尝试关闭防护、清除痕迹并维持持久化。

AirDrop 和 Quick Share 缺陷可让附近攻击者触发崩溃并绕过检查
研究人员发现 AirDrop 与 Quick Share 共六个安全漏洞,可让无线范围内的攻击者在无需预先连接的情况下触发崩溃,甚至绕过会话检查。Apple、Google 与 Samsung 已开始修补部分问题。

Progress Kemp LoadMaster 高危漏洞可让攻击者免认证执行 root 命令
Progress Kemp LoadMaster 被披露一个高危漏洞,攻击者可在未认证情况下通过构造 API 请求以 root 身份执行任意命令。该问题已修补,受影响用户应尽快更新并检查 API 是否必须对外开放。

每周回顾:Linux Kernel 漏洞、AI 恶意软件手法、Turla 后门、Infostealer 等
本周回顾涵盖 DirtyClone Linux Kernel 漏洞、PTC Windchill PDMlink 与 PTC FlexPLM 的在野利用、OpenAI 新模型、Gaslight macOS 恶意软件、Turla 的 STOCKSTAY 后门,以及多起 infostealer、钓鱼与供应链相关事件。

Public PoC 已发布:Critical libssh2 CVE-2026-55200 客户端 SSH 漏洞
针对 libssh2 的 CVE-2026-55200 现已公开 PoC。该缺陷可让恶意或遭入侵的 SSH server 在连接中的 client 上触发 memory corruption,甚至可能执行 code。受影响版本至 1.11.1,CVSS 4.0 为 9.2。

CISA 将已被利用的 PTC Windchill RCE 漏洞加入 KEV,Web shell 攻击持续
CISA 将影响 PTC Windchill PDMlink 与 PTC FlexPLM 的关键远程代码执行漏洞 CVE-2026-12569 加入 KEV,因已有活跃利用证据。PTC 指出攻击者正借此投放 JSP web shell,受影响系统需立即排查 IoC 并加强缓解措施。

New DirtyClone Linux Kernel Flaw Lets Local Users Gain Root via Cloned Packets
DirtyClone 是一项新的 Linux kernel privilege escalation 漏洞,属于 DirtyFrag family。它可让本地用户透过 cloned network packet 篡改 file-backed memory 并取得 root。JFrog 在 6 月 25 日公开工作 exploit,受影响系统应尽快更新。

新 Linux pedit COW 漏洞可借缓存二进制提权拿 root
Linux kernel 的 traffic-control 子系统出现 out-of-bounds write 漏洞 CVE-2026-46331,攻击者可在本地未提权情况下借助 act_pedit 污染 page-cache,篡改 /bin/su 等缓存二进制并取得 root。

Amazon Q Developer 缺陷可让恶意 repo 通过 MCP 配置运行代码
Amazon Q Developer 的高严重性漏洞可让恶意 repository 借助 MCP 配置执行命令并窃取开发者的 cloud credentials。Wiz Research 发现,只要在 repo 放入一个 config file,配合 workspace trust,就可能从 git clone 走到 cloud compromise。Amazon 已修补。

新发现 SharkLoader 恶意软件在 StrikeShark 攻击中部署 Cobalt Strike
Kaspersky 发现名为 StrikeShark 的攻击活动正利用 SharkLoader 作为加载器,在受害主机上部署 Cobalt Strike Beacon。该活动瞄准多个国家与行业,结合公开 PoC、web shell、DLL side-loading 和多种漏洞利用,显示出广泛而机会主义的攻击特征。

ThreatsDay Bulletin:Smart TV 代理软件、24 年 curl 漏洞、AI 犯罪论坛等 13 则
本期 ThreatsDay 汇总多个网络安全热点:Cloudflare 推出 PACT、curl 发现六个漏洞、Hoppscotch 高危缺陷可致完全接管,以及 Smart TV 被滥用为 residential proxy。还包括 Teams 诱骗投递恶意扩展、AI 犯罪论坛、REDCap 暴露与多起执法和政策动态。

Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 被利用取得 root 访问
Google-owned Mandiant 发现,未知威胁行为者在 CVE-2026-20245 公布前至少两个月,将其作为 zero-day 利用,借此提升权限并取得 Cisco Catalyst SD-WAN 设备的 root 访问。

CISA 警告 Lantronix EDS5000 严重漏洞正被主动利用
CISA 警告,Lantronix EDS5000 Series 设备中的严重漏洞 CVE-2025-67038 正被主动利用,要求 FCEB 机构在 2026-06-26 前完成修补。Forescout 也披露相关 N-day 攻击、暴力破解活动与受影响的 OpenWRT LuCI 设备情况。

Cisco Unified CM 漏洞被利用,PoC 公开后可写文件并提权到 root
Cisco Unified Communications Manager 与 Unified CM SME 近日披露的高危漏洞 CVE-2026-20230 已被威胁行为者利用。该缺陷可让未认证远程攻击者发起 SSRF,并在启用 WebDialer 时写入文件,进一步可能提权到 root。

研究人员披露 DifyTap 漏洞,Dify 可能让 AI 聊天跨租户泄露
研究人员披露 Dify 中四个漏洞,统称 DifyTap,可能让未认证攻击者读取其他客户应用中的 AI 对话,并触发跨租户内部 API 调用、文件预览与泄露。相关问题已在部分版本修复。