网络空间安全动态(202557期)
编者按:网安动向热讯,本期有十三点值得关注:一是《中华人民共和国国民经济和社会发展第十五个五年规划纲要(草案)》摘要发布;二是8项公共安全行业标准获批发布;三是首个人形机器人与具身智能标准体系发布;四是美白宫发布新版《美国网络战略》;五是美总统特朗普签署“打击针对美国公民的网络犯罪、欺诈和掠夺性计划”行政令;六是约书亚·鲁德出任美网络司令部司令兼国家安全局长;七是美政府问责局发布行业视角网络安全监管报告;八是美商务部拟将AI芯片出口管制扩展至全球,几乎所有AI芯片出口均需获美政府许可;九是美智库SCSP宣布成立美国量子优势委员会,旨在制定全面的国家量子战略;十是欧盟发布《通用人工智能模型安全测试与合规评估标准》;十一是瑞士发布《瑞士量子战略》拟构建国家级量子枢纽;十二是越南宣布制定国家网络安全防火墙计划;十三是全球电信联盟发布《6G安全与韧性原则》。
数据前沿快讯,本期有三点建议关注:一是2026年政府工作报告中出现的“数据”元素;二是工信部启动工业数据筑基行动,依托四类主体打造四大数据资源库;三是欧盟与加拿大启动数字贸易协议谈判。
网安事件聚焦,本期有两方面内容建议关注:一是美以针对伊朗的军事行动正在蔓延至网络空间,双方黑客组织发起的网络攻击愈演愈烈。本期介绍:伊朗MuddyWater APT组织对美机构发动混合攻击;美FBI监听系统遭入侵,国家安全机密或已泄露;阿联酋人工智能航天科技公司Space42疑遭黑客毁灭性网络攻击;14国联合执法摧毁最大网络犯罪论坛LeakBase。二是用户信息泄露应引起高度警惕。本期介绍:法国发生大规模医疗数据泄露,超1500万人受影响;爱立信美国子公司超4000名德州用户信息被窃。
网安风险警示,本期有六点建议关注:一是关于OpenClaw多个安全漏洞的通报;二是关于Cisco Catalyst SD—WAN Manager/Controller授权问题漏洞的通报;三是FreeScout严重漏洞可导致服务器遭完全接管;四是Nginx UI信息泄露漏洞安全风险通告;五是OpenEMR MedEx未授权访问导致API令牌泄露漏洞;六是电动汽车充电网络Everon OCCP后端系统存在严重漏洞。
一、网安动向热讯
(一)《中华人民共和国国民经济和社会发展第十五个五年规划纲要(草案)》摘要发布
3月5日,《中华人民共和国国民经济和社会发展第十五个五年规划纲要(草案)》摘要发布。“十五五”规划纲要草案在建设现代化产业体系、巩固壮大实体经济根基方面,明确提出坚持智能化、绿色化、融合化方向,加快建设网络强国,强化数智绿色技术赋能;针对构建现代化基础设施体系,明确要求适度超前建设新型基础设施。在加快高水平科技自立自强、引领发展新质生产力方面,提出全面增强自主创新能力,抢占科技发展制高点,推动科技创新和产业创新深度融合,不断催生新质生产力;明确加强原始创新和关键核心技术攻关,坚持技术驱动和需求拉动相结合、锻长板和补短板相结合;强化战略前沿领域科技布局;全面提升基础研究水平。在深入推进数字中国建设、提升数智化发展水平方面,强调要把握数字化、网络化、智能化发展大势,充分发挥我国数据资源丰富、产业体系完备、应用场景广阔优势,激活数据要素潜能,加快数智技术创新,深化拓展“人工智能+”,赋能经济社会发展和治理能力提升,促进生产方式深层次变革和生产力革命性跃迁;强化算力算法数据高效供给,加强算力设施支撑,促进模型算法迭代创新,深化数据资源开发利用;全方位推进数智技术赋能,全面实施“人工智能+”行动,促进实体经济和数字经济深度融合,创造美好数智生活,提高政府治理数智化水平。(信息来源:新华社)
(二)8项公共安全行业标准获批发布
3月6日消息,由公安部信息系统安全标准化技术委员会归口的8项公共安全行业标准正式发布:《信息安全技术 网络安全等级保护数据安全基本要求》规定了第一级到第四级等级保护对象的数据安全保护基本要求;《信息安全技术 网络安全等级保护数据安全测评机构能力要求》规定了网络安全等级保护数据安全测评机构能力要求;《信息安全技术 容器安全监测产品安全技术要求》规定了容器安全监测产品的安全功能要求、自身安全要求和安全保障要求;《信息安全技术 DNS安全监测防御产品安全技术要求》规定了DNS安全监测防御产品的安全功能要求、自身安全要求、安全保障要求及等级划分要求;《信息安全技术 软件源代码安全缺陷检测产品技术要求》规定了软件源代码安全缺陷检测产品的安全功能要求和安全保障要求;《信息安全技术 工业控制系统主机白名单产品安全技术要求》规定了工业控制系统主机白名单产品的安全功能要求、自身安全要求和安全保障要求;《互联网信息服务安全检查工具技术要求 第1部分:通用要求》规定了互联网信息服务安全检查工具通用的功能要求、自身安全要求和性能要求;《互联网信息服务安全检查工具技术要求 第2部分:互联网数据中心安全检查》规定了互联网信息服务安全检查工具中互联网数据中心安全检查工具的功能要求、自身安全要求和性能要求。(信息来源:公安信安标委)
(三)首个人形机器人与具身智能标准体系发布
3月6日消息,《人形机器人与具身智能标准体系(2026版)》正式发布,这是我国首个覆盖人形机器人与具身智能全产业链、全生命周期的标准顶层设计,标志着相关产业进入规范化发展新阶段。该标准体系由工业和信息化部人形机器人与具身智能标准化技术委员会组织领域内120余家科研院所、企业和行业用户单位研究编制,包括基础共性、类脑与智算、肢体与部组件、整机与系统、应用、安全伦理等6个部分。类脑与智算标准覆盖具身智能“大小脑”与智能计算等关键标准,规范数据全生命周期、模型训推部署全链路技术;应用标准规范人形机器人与具身智能体在不同应用场景的开发、运行和维护等。(信息来源:信息安全与通信保密杂志社)
(四)美白宫发布新版《美国网络战略》
3月6日,美白宫发布新版《美国网络战略》,明确将针对网络对手采取主动对抗策略,同时把关键基础设施防护、新兴技术领域优势把控列为核心方向,标志着其网络战略从防御转向全领域主动出击,旨在确保美国在网络空间的全球领先地位。该战略明确以“美国优先”为核心,提出六大政策支柱,包括塑造对手行为、倡导常识性监管、联邦政府网络的现代化与安全保护、关键基础设施的安全保护、保持关键与新兴技术优势、人才梯队与能力建设。针对关键基础设施,美国明确将识别并加固国防、能源、交通等领域的核心设施,摒弃敌对供应商,保障信息和运营技术供应链安全。在新兴技术领域,美国将重点保护AI技术栈安全,推动代理式人工智能的快速应用,以此强化网络防御与干扰能力,同时通过网络外交试图主导全球AI技术标准。此外,该战略强调联合盟友构建网络协同防御体系,动用外交、军事、金融等全维度国家力量提升对手网络行动成本。(信息来源:美白宫网站)
(五)美总统特朗普签署“打击针对美国公民的网络犯罪、欺诈和掠夺性计划”行政令
3月6日,美总统特朗普签署“打击针对美国公民的网络犯罪、欺诈和掠夺性计划”行政令,重点打击部署勒索软件和恶意软件、网络钓鱼、金融诈骗等跨国犯罪组织。该行政令要求向总统提交一份行动计划,明确负责诈骗中心和网络犯罪的外国组织,并提出预防、打击、调查和瓦解这些外国组织的解决方案。该行政令还要求在美国家协调中心内设立一个行动小组,负责统筹联邦政府为侦查、打击、瓦解和威慑外国组织及其相关网络等工作。(信息来源:美白宫网站)
(六)约书亚·鲁德出任美网络司令部司令兼国家安全局长
3月10日,美参议院正式确认约书亚·鲁德出任美网络司令部司令兼国家安全局长,结束了上述两大机构近一年的领导层真空期。约书亚·鲁德当前的工作重点包括:一是支持军事行动。美网络司令部此前已参与针对伊朗的“史诗狂怒行动”“午夜之锤行动”以及在委内瑞拉开展的“绝对决心行动”。二是应对伊朗威胁。美网络司令部需要“严阵以待”,保护军事网络免受伊朗攻击。三是履行核心任务。除协助其他作战司令部和联合部队外,美网络司令部负责开展海外“前出狩猎”行动,保卫国防部信息网络,增强网络攻击的抵御和应对能力。四是推动网军改革。美网络司令部需要实施新的“网络司令部2.0”部队生成模型,并应对关于是否应创建一个独立网军的持续辩论。五是提振内部士气。美国家安全局需要应对受特朗普政府削减开支举措导致的大幅裁员所带来的冲击,以及机构内部士气低落问题。六是推动即将到期的《外国情报监视法》续签。(信息来源:奇安网情局)
(七)美政府问责局发布行业视角网络安全监管报告
3月5日,美政府问责局(GAO)发布《网络安全法规:行业视角下协调统一的影响、进展、挑战与机遇》报告,指出美联邦机构针对16类关键基础设施出台的网络安全监管规则存在重叠、矛盾、要求不统一等问题,给行业带来显著合规负担,且监管协调工作整体进展有限。行业参与者认为当前监管存在的问题主要包括:各行业受多重框架约束,合规要求重复繁琐;联邦框架管控和报告要求细节不一,导致重叠和混淆;各机构对网络事件报告的细节、时限、阈值要求各异,行业上报难度大、技术负担重。对此,行业参与者提出协调事件报告、更新修订相关法规、成立联邦机构工作组、建立监管效能评估指标、统一术语并建立网络安全共享信息保密机制等建议。(信息来源:美GAO网站)
(八)美商务部拟将AI芯片出口管制扩展至全球,几乎所有AI芯片出口均需获美政府许可
3月6日消息,美商务部工业与安全局已起草法规草案,拟将现行覆盖约40个国家的人工智能芯片出口管制扩展至全球范围。新规要求英伟达、AMD等企业出口几乎所有人工智能加速器芯片至全球任何地区,均需事先获得美国政府许可。审批按算力规模分级:1000颗以下小型部署简化审查,1000颗以上中型集群需预先批准,20万颗以上超大规模部署需所在国政府介入、作出安全承诺,并在美国AI领域进行“对等投资”。该草案目前正处于内部审议阶段。(信息来源:全球技术地图)
(九)美智库SCSP宣布成立美国量子优势委员会,旨在制定全面的国家量子战略
3月9日消息,美智库特别竞争研究计划(SCSP)宣布成立“美国量子优势委员会”(CUSP)。该委员会由美国两党成员组成,属于高级别机构,旨在制定全面的国家战略,推动量子技术的发展与扩散,强化美国国家安全的同时,促进技术进步并提升经济实力。CUSP将重点推进三项核心任务:建设安全的量子产业基础,打造由人才、硬件和供应链组成的韧性生态体系,以保持长期技术优势;维护信息优势,通过开发关键任务算法、架构和协议并保障信息流安全,巩固国家在数据领域的领先地位;推动融合与混合应用,加快量子技术与经典技术的结合,识别近期可部署的应用场景,确保美国的行动优势。(信息来源:量科网)
(十)美国防部发布《反无人机系统行动:保障自由和保护隐私》指南
3月9日消息,美国防部401联合跨部门特遣部队发布《反无人机系统行动:保障自由和保护隐私》指南。该指南全面介绍了用于探测和识别无人机威胁的传感器技术,包括被动式、非侵入式传感器技术(如雷达、光电/红外和射频探测)。此外,指南重点解释了反无人机技术使用管理的法律框架,包括须遵循《电子通信隐私法》关于禁止故意截取电子通信内容的规定等,要求反无人机硬件和软件应在接收到数据后立即过滤、截断或丢弃数据载荷。(信息来源:全球技术地图)
(十一)欧盟发布《通用人工智能模型安全测试与合规评估标准》
3月6日消息,欧盟人工智能办公室发布《通用人工智能模型安全测试与合规评估标准》,标志着全球首个人工智能模型强制性上市前审批制度正式落地。该标准是欧盟《人工智能法案》的核心执行细则,明确所有被列为高风险的人工智能系统、具备系统性风险的通用人工智能模型,在欧盟境内商业化部署前,必须通过TÜV、DEKRA等欧盟认证机构的第三方独立安全测试。未通过合规评估的模型将被禁止商用,违规企业最高面临全球年营业额7%的巨额罚款,甚至被勒令退出欧盟市场。(信息来源:启元洞见)
(十二)瑞士发布《瑞士量子战略》拟构建国家级量子枢纽
3月9日消息,瑞士发布《瑞士量子战略》,阐述了瑞士将通过在国际层面推动量子技术研发与市场化来巩固其在量子技术领域领先地位的总体思路。该战略强调,面向研究人员和企业建设关键技术基础设施与平台至关重要,其中包括专业洁净室和测试设施、量子传感与量子通信能力中心,以及国家级量子模拟设施。战略建议制定并实施积极的发展举措,由公共部门与私营部门共同推动和支持,并拟建设一个国家级量子枢纽,通过实施吸引人才和企业的策略,进一步强化瑞士的量子生态。(信息来源:量科网)
(十三)新加坡数字发展与信息部发布“人工智能影响计划”
3月8日消息,新加坡数字发展与信息部发布“国家人工智能影响计划”(NAIIP)。该计划在其《国家人工智能战略2.0》的基础上推出,旨在推动企业与劳动力群体的人工智能能力建设。NAIIP计划在未来三年内支持1万家企业推进AI应用与转型;同时,将支持10万名员工成为“AI双语人才”,即在自身专业领域中具备AI应用能力,并能够在日常工作流程中实际使用AI工具。在人才培养方面,信息通信媒体发展局将升级“数字领导者计划”,设立数字领导者加速器训练营,以增强企业在AI部署方面的决策能力。(信息来源:数据要素社)
(十四)越南宣布制定国家网络安全防火墙计划
3月9日消息,越南宣布将在其数字治理框架内重点建设国家网络安全防火墙。这一举措紧随2025年12月通过的越南新《网络安全法》,该法将在2026年7月1日生效,并首次在法律中明确提出“国家防火墙”的概念。新法的第十条第二款d项特别提到“推动国家防火墙系统的发展研究”,越南公安部随后发布了《国家网络安全技术标准—防火墙—基本技术要求》草案,规定防火墙将成为强制性基础设施,具备深度包检测和SSL/TLS解密功能,并利用黑名单来过滤网络活动。防火墙还将记录用户活动数据并进行风险评估,超出阈值时自动触发警报。此外,电信和互联网服务提供商将被要求保存至少12个月的用户信息数据,并在紧急情况下迅速提供给相关部门。(信息来源:信息安全与通信保密杂志社)
(十五)全球电信联盟发布《6G安全与韧性原则》
3月4日消息,全球电信联盟在世界移动通信大会上发布《6G安全与韧性原则》,为未来6G网络构建统一的两大核心原则:一是“安全原则”,强调推行设计即安全理念,通过引入零信任架构及强化的身份验证机制,将防御能力深度嵌入网络协议与软硬件底层;同时针对人工智能在网络中的深度集成制定了专门的安全框架,以防范自动化攻击与隐私数据泄漏风险。二是“韧性原则”,聚焦系统在遭受恶意攻击或自然灾难后的快速恢复能力,并倡导供应链多元化与多供应商互操作性,旨在消除对特定单一供应商的过度依赖,确保在极端环境下的全球通信业务连续性。(信息来源:SecurityWeek网)
二、数据前沿快讯
(十六)2026年政府工作报告中出现的“数据”元素
3月5日,十四届全国人大四次会议在人民大会堂开幕,国务院总理李强作政府工作报告。报告中出现了这些“数据元素”。2025年工作回顾中提到,要持续推进制造业数字化转型和“人工智能+”行动,行业应用加快落地,新型智能终端不断涌现。数据要素潜力加快释放,数字经济核心产业增加值占国内生产总值的比重提高到10.5%以上。《中华人民共和国国民经济和社会发展第十五个五年规划纲要(草案)》明确,要着眼高水平科技自立自强,加强原始创新和关键核心技术攻关,深入推进数字中国建设,数字经济核心产业增加值占国内生产总值比重达到12.5%;着眼增强高质量发展动力,充分激发各类经营主体活力,加快完善要素市场化配置体制机制。着眼畅通国内国际双循环,统筹用好全球要素和市场资源。(信息来源:国家数据局)
(十七)工信部启动工业数据筑基行动,依托四类主体打造四大数据资源库
3月11日,工业和信息化部发布《关于启动工业数据筑基行动 开展面向人工智能赋能的高质量行业数据集建设先行先试的通知》,启动工业数据筑基行动,组织开展面向人工智能赋能的高质量行业数据集建设先行先试,着力突破工业数据“采”“集”“用”瓶颈。通知提出到2026年底,培育一批行业数据合作联合体,建设重点行业数据可信互联平台,汇聚一批行业数据资源,攻关一批数据关键技术,研制一批工业数据标准,打造一批高质量、标准化、可流通的行业数据集,赋能一批行业大模型、工业智能体等应用落地,总结形成工业数据高效采集处理、可信流通汇集、深度融合应用的有效路径、创新机制和经验模式,赋能行业提质降本增效,探索工业领域高质量数据集建设和数据开发利用模式。通知提出依托重点行业企业、平台机构、先进制造业集群、中小企业数字化转型城市试点四类主体,推动成立一批联合体开展先行先试,打造行业数据资源库、数据技术攻关库、工业数据标准库、高质量行业数据集库等四大资源库。(信息来源:国家数据局)
(十八)欧盟与加拿大启动数字贸易协议谈判
3月6日消息,欧盟与加拿大启动欧盟—加拿大数字贸易协议的谈判,将通过使企业跨境数字化交易更便捷、更安全,并为消费者在线提供更强有力的保护,提升欧盟—加拿大贸易水平。该协议预计将为从事数字贸易的企业和消费者制定明确且可预测的规则,同时确保欧盟和加拿大保留制定和实施应对新数字经济挑战政策的权利,具体目标是:打造一个安全的在线环境,提供具约束力且高标准的个人数据和隐私保护,防止未经请求的商业信息,以提升消费者对数字交易的信心。通过推广无纸化贸易提升企业的法律确定性;确保电子签名、合同和发票的有效性;并禁止对电子传输征收关税,以实现更高效和可预测的数字交易。通过禁止无理的数据本地化要求和强制软件源代码转让,促进公平数字贸易,从而保护企业免受保护主义行为,增强对数字市场的信心。(信息来源:欧盟委员会网站)
三、网安事件聚焦
(十九)伊朗MuddyWater APT组织对美机构发动混合攻击
3月6日消息,博通赛门铁克团队披露,与伊朗情报和安全部关联的MuddyWater APT组织正对美国多家机构发动持续攻击,目标涵盖美国银行、机场、非营利组织及一家以色列国防航空航天软件供应商。此次攻击中,MuddyWater部署了新型后门Dindoor,其依赖Deno运行时执行JavaScript/TypeScript代码,并使用“Amy Cherne”证书签名。同时,研究人员发现攻击者试图通过Rclone工具将目标软件公司数据窃取至Wasabi云存储桶,但传输结果未明。美国机场和非营利组织网络中还出现了独立的Python后门Fakeset,该恶意软件使用与Seedworm关联的证书签名,托管于Backblaze服务器,进一步印证伊朗背景。(信息来源:Cyberban News网)
(二十)美FBI监听系统遭入侵,国家安全机密或已泄露
3月9日消息,美联邦调查局(FBI)一个数字平台系统遭入侵,该平台用于管理监听行动和外国情报监视令状,此事引发美国家安全官员对机密执法数据可能泄露的严重担忧。监听系统高度敏感,包含活跃案件数据、授权监视目标、情报收集方法,以及可能涉及机密线人或外国情报人员的身份信息。该事件被视为高度优先事项。美FBI网络部门与取证团队正在分析日志、访问记录和网络遥测数据,以确定攻击媒介、驻留时间以及是否有数据外泄。目前,FBI尚未公布完成调查的时间表,也未归因于任何威胁行为者。(信息来源:FreeBuf网)
(二十一)阿联酋人工智能航天科技公司Space42疑遭黑客毁灭性网络攻击
3月8日消息,阿联酋人工智能航天科技公司Space42疑遭黑客毁灭性网络攻击。自称“Mobir”(或称“Misir”)的亲巴勒斯坦黑客组织对阿联酋航天通信公司Space42及其前身企业Yahsat、Bayanat发动了系统性网络攻击。攻击者声称已进入公司内部系统,并发布服务器管理仪表盘截图作为入侵证据。攻击导致数TB数据被删除、关键服务中断,同时敏感商业合同文件遭泄露。Space42由阿联酋两家企业Yahsat(卫星通信公司)和Bayanat(通信企业)合并成立,主要从事卫星服务与空间通信业务,具有明确的国防与航天背景。攻击者宣称,此次行动旨在对被视为“支持以色列”的阿联酋实体进行报复性网络攻击。(信息来源:Cyberban News网)
(二十二)14国联合执法摧毁最大网络犯罪论坛LeakBase
3月5日消息,由美司法部牵头、欧洲刑警组织协调、全球14国参与的跨国执法行动,成功摧毁了活跃五年之久的英语网络犯罪交易平台LeakBase。执法部门查封了该论坛的域名、服务器及后台数据库,锁定超过14.2万名注册会员,对37名“高价值目标”采取强制措施,并在全球范围内执行约100次搜查、逮捕及“敲门访谈”行动。此次行动斩断了一条庞大的个人信息黑产链条,并通过“情报共享—实体打击—技术接管—公众警示”的全链条战法,为跨国网络犯罪治理提供了新范式。(信息来源:CyberScoop网)
(二十三)法国发生大规模医疗数据泄露,超1500万人受影响
3月5日消息,法国医疗软件厂商Cegedim Sante被黑,导致约1500家使用该公司软件的医院诊所发生数据泄露,1580万份患者档案文件遭泄露,主要包括患者姓名、电话号码和邮寄地址,其中还涉及高级政要档案、患者敏感病情及性取向等信息。法国卫生部表示,此次事件并未涉及任何处方信息或生物学检测结果,已有个人或组织宣称对这起黑客事件负责,但未披露相关组织的具体细节。Cegedim Sante公司已就此事件提起刑事诉讼。(信息来源:安全内参)
(二十四)爱立信美国子公司超4000名德州用户信息被窃
3月9日消息,瑞典通信巨头爱立信美国子公司于2025年4月17日至22日期间遭攻击,攻击者未经授权访问或获取了部分文件,涉及姓名、地址、社会保障号码、驾照号、护照等政府ID、银行账号、信用卡信息、医疗记录及出生日期等敏感信息。此次事件在德克萨斯州已确认影响4377人,但全球受影响总人数尚未公开。爱立信强调,尽管数据被窃取,但目前尚未发现信息被滥用的证据。为保护受影响用户,该公司提供为期一年的免费IDX身份保护服务,包括信用监控、暗网监控、身份盗窃恢复支持及最高100万美元的欺诈损失赔偿,用户需在2026年6月9日前注册。截至目前,无任何网络犯罪组织宣称对此负责。(信息来源:BleepingComputer网)
四、网安风险警示
(二十五)关于OpenClaw多个安全漏洞的通报
3月10日消息,根据国家信息安全漏洞库(CNNVD)统计,自2026年1月—2026年3月9日,共采集OpenClaw漏洞82个,其中超危漏洞12个,高危漏洞21个、中危漏洞47个、低危漏洞2个,包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw 2026.2.15及之前多个版本均受到漏洞影响。OpenClaw(曾用名Clawdbot、Moltbot)是一款开源AI智能体,其通过整合多渠道通信能力与大语言模型,构建具备持久记忆、主动执行能力的定制化AI助手,可在本地私有化部署。其可运行在PC或服务器等多种终端设备上,能够直接通过微信、Telegram、Discord、Slack、iMessage等聊天平台接收指令并执行操作。OpenClaw拥有大量用户群体,影响范围涉及多个行业和领域,攻击者利用漏洞可在未授权状态下获取目标敏感数据,提升权限或远程执行代码。目前,OpenClaw官方已发布了更新修复漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。(信息来源:综合CNNVD、CSTIS)
(二十六)关于Cisco Catalyst SD—WAN Manager/Controller授权问题漏洞的通报
3月9日消息,国家信息安全漏洞库(CNNVD)收到关于Cisco Catalyst SD—WAN Manager和Cisco Catalyst SD—WAN Controller授权问题漏洞CNNVD—202602—4275、CVE—2026—20127(CVSS评分均为10.0)情况的报送。该漏洞源于对等身份验证机制存在问题,未经身份验证的攻击者可通过发送特制数据包,绕过验证机制并获取管理权限。思科产品多个版本均受此漏洞影响。Cisco Catalyst SD—WAN Manager是一个高度可定制的仪表板,可简化和自动化Cisco SD—WAN 的部署、配置、管理和操作。Cisco Catalyst SD—WAN Controller是一个安全策略控制面板。目前,思科官方已发布更新修复了该漏洞,建议用户尽快采取修补措施。(信息来源:CNNVD)
(二十七)FreeScout严重漏洞可导致服务器遭完全接管
3月5日消息,开源帮助台、共享邮箱解决方案FreeScout中存在一个严重漏洞CVE—2026—28289(CVSS评分10.0),可用于零点击远程代码执行攻击。该漏洞是对近期已修复高危认证RCE漏洞CVE—2026—27636的补丁绕过,成功利用该漏洞可使攻击者完全控制易受攻击的服务器,从FreeScout中窃取帮助台工单、邮箱内容及其他敏感数据,并可能横向移动到网络上的其它系统。目前,FreeScout 1.8.207版本已修复该漏洞。建议用户尽快更新部署。(信息来源:SecurityWeek网)
(二十八)Nginx UI信息泄露漏洞安全风险通告
3月9日消息,奇安信CERT监测到官方修复Nginx UI信息泄露漏洞CVE—2026—27944(CVSS评分9.8),该漏洞源于/api/backup端点无需身份验证即可访问,并在X—Backup—Security响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据(用户凭据、会话令牌、SSL私钥、Nginx配置)的完整系统备份并解密。Nginx UI是一款基于Web的图形化管理工具,旨在简化Nginx服务器的配置、管理和监控。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十九)OpenEMR MedEx未授权访问导致API令牌泄露漏洞
3月9日,启明星辰监测到OpenEMR MedEx未授权访问导致API令牌泄露漏洞CVE—2026—24898(CVSS评分9.8)。该漏洞存在于library/MedEx/MedEx.php文件中,由于代码设置$ignoreAuth=true,导致接口在未进行身份认证的情况下即可被外部访问。攻击者可利用泄露的令牌直接访问MedEx平台API,获取患者相关数据、触发通知或修改事件配置,从而造成敏感医疗信息泄露,并可能违反HIPAA等医疗数据合规要求,对医疗机构和患者隐私安全造成严重影响。OpenEMR是一款开源电子病历和医疗信息管理系统,广泛应用于医疗机构的临床管理与患者信息管理。目前,官方已修复该漏洞,建议用户定期更新。(信息来源:启明星辰)
(三十)电动汽车充电网络Everon OCCP后端系统存在严重漏洞
3月6日消息,网络安全研究人员提醒称,用于管理电动汽车充电站的数字基础设施Everon OCPP后端系统中存在多个严重漏洞,可导致攻击者劫持充电会话、操纵基础设施数据,或使整个充电网络下线。这些漏洞影响所有版本的api.everon.io平台。其中最严重的漏洞CVE—2026—26288(CVSS评分为9.4)源自WebSocket端点上完全缺乏正确身份验证机制。未经身份验证的攻击者可使用任何已知或已发现充电站标识符连接到后端。一旦连接上,攻击者便可以像合法充电器一样发送或接收开放充电点协议命令,从而导致充电基础设施被未经授权控制、权限提升以及报告数据被篡改等后果。该公司已关闭了受影响的平台,从而有效消除了对电动汽车充电生态系统的威胁。(信息来源:代码卫士)
