网络空间安全动态(202617期)
编者按:网安动向热讯,本期有九点值得关注:一是李强在北京调研时强调:推动人工智能与先进制造业深度融合,加快培育塑造经济发展新动能新优势;二是2026年中国网络文明大会网络文明国际交流互鉴论坛在南宁举行;三是全国网安标委发布《人工智能应用伦理安全指引1.0》;四是美CISA与七国集团发布人工智能软件物料清单框架;五是美众议院推进国土安全部情报改革法案;六是美网络司令部加速推进联合网络作战架构的集成与创新;七是美战略能力办公室披露三大能力组合与八大重点领域;八是美军启用AI信息分析工具IRIS,实时追踪网络叙事以支撑认知战决策;九是美国家科学基金会启动“X-Labs”计划,拟十年投入15亿美元推动突破性科研。
数据前沿快讯,本期有四点建议关注:一是2026年全民数字素养与技能提升月启动;二是中国国家信息光电子创新中心研发超宽带光子芯片,为高速数据传输提供技术支撑;三是美能源部投入9400万美元支持小型核反应堆,服务AI与数据中心电力需求;四是美Cowboy Space公司拟将火箭上面级改造为在轨数据中心,部署于低轨提供AI算力。
网安事件聚焦,本期有两方面内容建议关注:一是网络攻击无孔不入,从关键基础设施到用户终端设备,数字安全防线正面临前所未有的严峻挑战。本期介绍:美国多州加油站监测系统遭入侵后数据被篡改;疑似伊朗背景的黑客组织发动大规模网络间谍活动;OpenAI再遭网络攻击,敏感密钥和证书被泄露;富士康多家工厂遭勒索攻击,8TB超千万份客户敏感文件疑被窃取。二是因内部管理疏漏导致的数据泄露事件时有发生,给组织机构本身和用户信息安全带来巨大隐患。本期介绍:美CISA外部承包商将核心凭证在GitHub暴露数月之久;美上市银行Community Bank将大量客户隐私数据上传给未授权AI;美国西氏医药服务公司遭黑客攻击致数据泄露;酒店集团BWH称黑客获取部分客人预订数据;英国南斯塔福德郡水务公司因泄露数据被罚96.39万英镑。
网安风险警示,本期有五点建议关注:一是美CISA警告思科满分漏洞对全球企业网络基础设施构成严重威胁;二是Microsoft Windows DNS客户端中存在高危漏洞;三是微软Exchange Server高危XSS漏洞已遭在野利用;四是n8n自动化平台惊现三重漏洞链,攻击面已蔓延至供应链核心节点;五是PostgreSQL pgcrypto堆缓冲区溢出漏洞安全风险通告。
一、网安动向热讯
(一)李强在北京调研时强调:推动人工智能与先进制造业深度融合,加快培育塑造经济发展新动能新优势
5月18日,中共中央政治局常委、国务院总理李强在北京调研时强调,要深入贯彻落实习近平总书记关于发展新质生产力、建设现代化产业体系的重要论述和指示精神,推动人工智能与先进制造业深度融合,坚持创新发展,突出应用导向,积极促进智能机器人迭代升级,大力推进人工智能全方位、深层次赋能制造业,加快培育塑造经济发展新动能新优势。李强指出,当前人工智能加速与先进制造业深度融合,正深刻改变生产制造模式和产业形态。要深入实施制造业领域“人工智能+”行动,改造提升传统产业,不断壮大新兴产业,努力培育未来产业。要加快发展新一代智能制造,强化标准引领、人才支撑、安全保障,支持行业大模型和智能体开发应用,鼓励研发新一代智能装备和产品,加强软硬件适配,分类推进重点行业数智化转型,发展赋能应用服务商,促进产业体系实现整体跃升。(信息来源:新华社)
(二)2026年中国网络文明大会网络文明国际交流互鉴论坛在南宁举行
5月19日,2026年中国网络文明大会网络文明国际交流互鉴论坛在广西南宁举行。论坛以“大道同行 和合共生”为主题,旨在打造网络文明国际交流互鉴平台,为携手构建网络空间命运共同体贡献力量。论坛上,中外嘉宾通过主题演讲、案例分享等形式,交流网络文明国际交流互鉴的新实践。中央重点新闻网站负责人分享“华流”出海的创新实践及跨国传播的方法路径;互联网企业代表介绍搭建线上互动平台、创建全球青年数字社区的生动案例;网络文艺工作者聚焦中华优秀传统文化的创造性转化,探讨如何创作高质量跨文化作品;国内外内容创作者讲述在中国社交平台分享生活、追寻梦想的真实故事。与会嘉宾一致认为,网络文明是新形势下社会文明的重要内容,是建设网络强国的重要领域。要坚定文化自信、秉持开放包容、坚持守正创新,推动不同文明在交流互鉴中共同发展,让网络文明成果更好惠及世界各国人民。论坛还发布了2026年网络文明国际交流互鉴城市十大典型案例,并启动中国—东盟商贸资讯平台。(信息来源:中国网信网)
(三)全国网安标委发布《人工智能应用伦理安全指引1.0》
5月19日,全国网安标委发布《人工智能应用伦理安全指引1.0》(以下简称《指引》)。为进一步引导人工智能应用坚持以人为本、智能向善,推动人工智能应用相关方正确认识和妥善应对应用活动中的伦理安全影响,促进人工智能应用在规范有序、安全可控的轨道上健康发展,《指引》给出了人工智能应用伦理安全理念与原则,明确了人工智能应用开发、服务提供和应用使用等安全指引,可为组织和个人开展人工智能应用活动提供指导,也可为相关指导部门、行业组织和有关机构推进人工智能伦理安全治理提供参考。网安标委秘书处相关负责同志表示,《指引》的发布,正是对引导人工智能应用尊重人的主体地位、维护公平正义、保障合法权益、促进社会信任,推动人工智能技术始终朝着有益、安全、公平方向发展这一时代课题的积极回应,体现了人工智能治理坚持积极稳妥、开放包容、协同共治的实践导向,也体现了网络文明建设对人工智能时代技术向善、价值引领和秩序塑造的主动回应。(信息来源:全国网安标委网站)
(四)美CISA与七国集团发布人工智能软件物料清单框架
5月12日,美CISA与德国、加拿大、法国、意大利、日本、英国和欧盟联合发布《人工智能软件物料清单最低要素》文件,提出面向人工智能供应链的SBOM框架,旨在加强人工智能供应链的透明度和网络安全,帮助公共和私营部门组织识别人工智能专用的SBOM应包含的核心信息。文件提出“元数据、系统级属性、模型、数据集属性、关键绩效指标、基础设施、安全属性”七大核心模块,涵盖模型来源、数据溯源、软硬件依赖关系及安全措施等内容。文件同时指出,人工智能SBOM本身不足以单独保障供应链安全,需与漏洞扫描、漏洞管理、安全通报等网络安全工具结合使用,推动形成可持续演进的人工智能供应链安全机制。(信息来源:美CISA网站)
(五)美众议院推进国土安全部情报改革法案
5月15日消息,美众议院国土安全委员会通过七项两党支持的改革法案,拟重塑国土安全部情报与分析办公室(I&A)职能,加强联邦政府与州、地方、部落及领地机构之间的威胁情报共享能力,并提升应对恐怖主义、外国间谍活动等安全威胁的能力。法案内容包括明确I&A在《国土安全法》框架下的信息共享职责、升级国家恐怖主义预警系统、强化对地方官员的反间谍支持,以及完善情报分析人员在隐私与公民自由保护方面的标准化培训。相关改革正值I&A因“政治化”“监控越权”等争议持续受到国会审查之际,与同期围绕国土安全部“停摆”和拨款的政治僵局并行但不重合。特朗普政府此前还提出整合I&A及国土安全部多个部门,并推进大规模裁员计划,导致该机构人员规模已由约1000人缩减至约550人。(信息来源:Nextgov网)
(六)美网络司令部加速推进联合网络作战架构的集成与创新
5月18日消息,美网络司令部2027财年专项申请7332.5万美元,用于推进“联合网络作战架构”(JCWA)所需的关键集成、研究、开发和创新活动,旨在确保将JCWA子项目协调整合为一个连贯、可互操作体系系统,从而使美军网络部队能够快速、大规模地开展全方位网络空间作战。集成资金使美网络司令部能够对所有JCWA组件行使中央技术权威,以强制执行标准、接口和架构一致性;开发并部署跨职能部门的体系级服务,包括身份服务、数据传输、安全服务和通用开发环境;开展集成测试与评估,以验证整个架构的互操作性、性能和任务适用性;通过提供集成途径和减少技术摩擦,加快科技原型向实际应用的过渡;通过与行业、学术界和政府合作伙伴合作,保持持续的创新渠道,完善新兴技术并将其转化为JCWA正式列编项目。(信息来源:奇安网情局)
(七)美战争部战略能力办公室披露三大能力组合与八大重点领域
5月14日消息,美战争部战略能力办公室主任在“人工智能+”博览会上透露,该办本年度预算17亿美元,聚焦可快速样机化的颠覆性技术以应对近期挑战。该办将围绕三大能力组合推进工作:远程火力(攻防动能系统)、自主与人工智能(指挥控制与辅助决策)、特殊与赋能能力(网络、电子战、太空及特种作战)。在此基础上细分为八个重点领域:精确火力与致命效应、对抗环境中后勤保障、新型协同系统、欺骗与奇袭、先进杀伤网、破坏对手杀伤链、扩展射程与生存能力、低成本防空。该办公室主任强调,核心是赋能己方杀伤链,同时破坏对手杀伤链,并防御己方资产、干扰对手后勤。(信息来源:国防科技要闻)
(八)美军启用AI信息分析工具IRIS,实时追踪网络叙事以支撑认知战决策
5月12日消息,美国防科技公司Peraton推出名为IRIS的AI平台,帮助美军近实时监控在线影响力活动与信息环境。该平台整合五个大语言模型,可聚合社交媒体、传统媒体及网络活动等多源数据,辅助实时追踪信息环境中的叙事变化与情绪趋势,支持语义搜索、信息作战与心理作战规划。目前,IRIS已投入美作战司令部使用,成为美军认知战决策的重要支撑工具。(信息来源:Defensepost网)
(九)美国家科学基金会启动“X-Labs”计划,拟十年投入15亿美元推动突破性科研
5月14日消息,美国家科学基金会宣布启动“X-Labs”计划,未来十年将投入15亿美元,支持科研人员、工程师和企业家组成的独立研究团队围绕重大科技问题开展跨学科攻关。该计划旨在建立“21世纪科研机构新模式”,以推动美在关键前沿技术领域保持领先。首批项目聚焦两大方向:一是结合量子传感、AI计算成像等技术开发下一代科学探测与成像仪器;二是研发量子系统互联与集成光子学关键组件,以支撑后经典计算时代的量子计算基础设施。(信息来源:美国家科学基金会网站)
(十)谷歌计划联手黑石集团组建人工智能云公司
5月19日消息,谷歌联手私募股权黑石集团,计划在美设立一家人工智能云公司,黑石将先投入50亿美元股权资本,后续结合杠杆的总计算投资规模预计约250亿美元。据悉,新公司核心目标是依托谷歌自研芯片和云能力,对标CoreWeave等人工智能算力服务商。按照双方披露的计划,这家云公司争取在2027年上线500兆瓦容量。这个电力规模大致相当于一座中等城市的用电需求,后续容量还会继续扩大。(信息来源:启元洞见)
二、数据前沿快讯
(十一)2026年全民数字素养与技能提升月启动
5月19日,2026年全民数字素养与技能提升月启动,本届提升月以“数智赋能 全民共享”为主题,由中央网信办、教育部、工业和信息化部等共同举办,为期一个月左右。提升月期间,将围绕数字生活、数字工作、数字学习、数字创新等典型场景,组织举办全民数字素养与技能提升论坛、“数智赋能 全民共享”网络主题宣传项目启动仪式、全社会人工智能通识教育系列活动、人工智能赋能教育专项行动、全民共享美好数字生活宣传活动、数字工作能力提升专题培训、数字领域高素质人才培育计划、人工智能安全标准宣贯行动、全民共建安全有序网络空间系列活动等,进一步推动数智技术普及应用,促进互联网发展成果普惠共享,不断提升全民数智化适应力、胜任力、创造力,为网络强国建设注入强大动力。(信息来源:网信中国)
(十二)中国国家信息光电子创新中心研发超宽带光子芯片,为高速数据传输提供技术支撑
5月18日消息,中国国家信息光电子创新中心成功研发出超宽带光子芯片。该芯片带宽成功突破至250吉赫兹,将为高速数据传输提供技术支撑。目前,依托该芯片,项目团队率先实现光纤通信和无线通信系统间的跨网络融合:光纤有线传输速率突破512吉比特每秒,相当于一秒钟传完十几部高清电影;太赫兹无线传输速率达到400吉比特每秒,可同时为86个用户提供8K超高清视频流。据悉,基于该芯片技术,国家信息光电子创新中心已开发出全球首款170吉赫兹强度调制器并应用于国产化光电子测量设备。未来,这款芯片将为6G“空天地一体化”通信提供底层支撑,并有望延伸应用于星载通信。(信息来源:半导体产业网)
(十三)美能源部投入9400万美元支持小型核反应堆,服务AI与数据中心电力需求
5月15日消息,美能源部宣布向8家公司提供总计9400万美元联邦配套资金,支持小型模块化反应堆部署,以扩大美未来电力供应能力并满足AI带动的能源需求增长。该资金属于总规模9亿美元的“第三代+小型模块化反应堆部署计划”一部分,重点推动先进轻水反应堆在2030年代实现商业化应用。获得资助的企业包括美国Constellation公司、Nebraska Public Power District公司和BWXT核能公司等。该计划配合特朗普政府2025年签署的核能行政令,目标是在未来25年内将美核能发展速度提升至当前水平的四倍。(信息来源:Meritalk网站)
(十四)美Cowboy Space公司拟将火箭上面级改造为在轨数据中心,部署于低轨提供AI算力
5月12日消息,美国Cowboy Space公司拟将火箭上面级改造为在轨数据中心,部署于低轨提供AI算力。Cowboy的核心创新在于“载荷一体化”,在不分离火箭上面级的情况下,将其转化为功能完整的轨道计算节点,利用级体结构本身作为散热器。据披露,每个节点重约2万至2.5万千克,可提供1兆瓦电力,搭载近800块GPU。(信息来源:SpaceNews网站)
(十五)谷歌与SpaceX洽谈轨道AI数据中心合作,以太空算力布局助推SpaceX上市与AI云拓展
5月12日消息,谷歌与SpaceX洽谈合作,计划利用SpaceX火箭将“追日者计划”部署至太空,建设轨道AI云数据中心。该项目拟在晨昏轨道部署搭载TPU芯片的太阳能卫星网络,通过激光链路组成太空AI算力集群,以突破地面数据中心面临的能源与土地瓶颈。SpaceX则借此为其今夏IPO讲述“太空算力”新故事,冲刺1.75万亿美元估值。(信息来源:华尔街日报)
三、网安事件聚焦
(十六)美国多州加油站监测系统遭入侵后数据被篡改
5月19日消息,美国多州用于监测加油站储油罐燃油储量系统遭入侵。消息人士表示,相关黑客利用了自动油罐计量(ATG)系统未设置密码保护且暴露在互联网中的漏洞,在某些情况下篡改了油罐显示读数,但并未改变实际燃油储量。据部分专家和美官员称,目前尚未发现这些网络入侵造成物理损坏或人员伤亡,但相关事件已引发安全担忧,黑客组织一旦获得ATG系统访问权限,就可能使燃油泄漏无法被察觉。外媒CNN已就ATG黑客攻击事件向美CISA请求置评。美联邦调查局则拒绝发表评论。(信息来源:安全内参)
(十七)疑似伊朗背景的黑客组织发动大规模网络间谍活动
5月16日消息,赛门铁克研究人员表示疑似伊朗背景的黑客组织MuddyWater发起大规模网络间谍活动,目标至少涉及多个行业和国家的9家知名机构,包括韩国一家大型电子制造商,中东一个国际机场,亚洲工业制造商以及教育机构等。研究人员表示,MuddyWater的攻击活动严重依赖DLL侧加载技术,这是一种常见手段,即让经过签名的合法软件加载恶意DLL文件。此次攻击范围在地域上有所扩大,行动更加成熟,且对合法工具和服务的滥用表明攻击者正转向更为隐蔽的攻击方式,其攻击目的重点在于窃取工业和知识产权、开展政府间谍活动以及获取对下游客户或企业网络的访问权限。(信息来源:HackerNews网)
(十八)OpenAI再遭网络攻击,敏感密钥和证书被泄露
5月18日消息,OpenAI披露其企业环境中的两台员工设备遭针对TanStack的Mini Shai-Hulud供应链攻击影响,部分公司代码仓库的密钥、证书等敏感信息泄露,攻击者或可借此进一步窃取信息,或伪造ChatGPT、Codex官方客户端实施二次攻击等。但该公司强调,没有任何用户数据、生产系统或知识产权遭到未经授权的访问、破坏或篡改。OpenAI表示,在发现恶意活动后迅速展开调查并实施遏制措施。(信息来源:e安在线)
(十九)富士康多家工厂遭勒索攻击,8TB超千万份客户敏感文件疑被窃取
5月14日消息,富士康被挂上暗网勒索门户,攻击者声称已窃取8TB敏感数据,共计约1100万个文件,包括来自英特尔、苹果、谷歌、戴尔、英伟达以及许多其他项目的机密说明、项目资料和图纸等。此前有报道称,富士康位于美威斯康星州的园区遭遇网络中断停产多天,当时该公司称IT系统出现技术问题并影响运营。研究人员表示,如果事件得到证实,此次泄露可能会对富士康客户造成严重影响,遭泄露的文档可能会被全球竞争对手或造假者利用,潜在攻击者可能会利用泄露的原理图和组件信息寻找零日漏洞,并在无人察觉的情况下加以利用。富士康表示,已启动紧急响应机制,并实施一系列应急措施,以确保生产和交付的连续性以及数据安全。(信息来源:安全内参)
(二十)美CISA外部承包商将核心凭证在GitHub暴露数月之久
5月19日消息,美CISA外部承包商Nightwing将大量高度敏感的凭证和文件在GitHub公共存储库中暴露数月之久。该存储库名为“Private-CISA”,创建于2025年11月,直到研究人员发现问题并告知CISA后才被关闭。泄露的数据涵盖CISA及其上级机构国土安全部的海量机密信息,包括云密钥、明文密码、令牌、日志,以及CISA内部构建、测试和部署软件的详细文件。其中,一个名为“importantAWStokens”的文件包含了三个AWS GovCloud服务器的管理凭证;另一个名为“AWS-Workspace-Firefox-Passwords.csv”的文件则记录了数十个CISA内部系统的明文用户名和密码。美CISA表示,已锁定仓库并称无证据显示数据被外泄。(信息来源:Securityboulevard网)
(二十一)美上市银行Community Bank将大量客户隐私数据上传给未授权AI
5月15日消息,美上市银行Community Bank将大量客户数据输入一款未经授权的AI应用。目前该行已主动向美证券交易委员会报告相关问题,并已就此次事件展开调查。该行表示非公开信息数量庞大且性质敏感,包括客户姓名、出生日期以及社会安全号码等,但未说明这款“未经授权的AI软件应用”的具体情况和使用方式。Community Bank业务覆盖美宾夕法尼亚州西南部、俄亥俄州和西弗吉尼亚州。该银行确认,此次事件未对其运营造成影响,客户访问账户或使用支付服务也未受到阻碍,目前正在评估受影响的客户数据,并按照适用的联邦和州法律及监管指引要求开展通知工作。(信息来源:安全内参)
(二十二)美国西氏医药服务公司遭黑客攻击致数据泄露
5月16日消息,美国西氏医药服务公司确认遭黑客攻击,数据被未经授权泄露,部分系统被加密。该公司表示,在检测到入侵后迅速启动事件响应预案,包括为控制局面主动将全球范围内的系统下线,通知执法部门,并聘请外部网络取证专家。目前,已恢复支持运输和制造业务的核心企业系统,制造业务已部分重启,所有系统暂未完全恢复。(信息来源:BleepingComputer网)
(二十三)酒店集团BWH称黑客获取部分客人预订数据
5月15消息,酒店集团BWH正在以电子邮件方式通知受数据泄露影响的部分客人,称攻击者于2025年10月14日入侵一个存储部分客人预订数据的网络应用程序,并获取相关数据,包括姓名、电话号码、电子邮箱地址以及预订详情,但支付及其他财务信息并未存储在受影响系统中,因此未被访问。BWH酒店在发现入侵后已将受攻击的应用程序下线,并在外部安全专家协助下展开调查。目前尚不清楚具体受影响人数,尚无黑客组织宣称对此次攻击事件负责。(信息来源:SecurityWeek网)
(二十四)英国南斯塔福德郡水务公司因泄露数据被罚96.39万英镑
5月13日消息,英国信息专员办公室(ICO)对南斯塔福德郡水务公司处以96.39万英镑的罚款,原因是该公司在网络攻击事件中泄露约66.4万名客户和员工的个人数据,包括姓名、出生日期、电话号码、客户账户凭证、银行账户信息以及员工人力资源数据等。ICO称,此次数据泄露源于网络钓鱼攻击,攻击者在该公司系统中安装恶意软件,并在网络中提升权限且获得域管理员访问权限。ICO称该公司缺乏足够的控制措施、使用过时软件、缺少安全补丁,以及未定期进行内部和外部安全扫描。(信息来源:BleepingComputer网)
四、网安风险警示
(二十五)美CISA警告思科满分漏洞对全球企业网络基础设施构成严重威胁
5月16日消息,全球网络设备巨头思科紧急修复一个认证绕过漏洞CVE-2026-20182(CVSS评分10.0),该漏洞已遭“有限性”的主动攻击利用,对全球企业网络基础设施构成严重威胁。该漏洞允许未经授权的远程攻击者轻松获取设备的最高管理员权限,只需向目标系统发送一个精心构造的网络请求,即可完全绕过所有身份验证,并以一个高权限的内部用户账户登录,获得此立足点后,攻击者便能进一步利用NETCONF接口,任意操控整个SD-WAN网络的配置。该漏洞影响范围极大,涵盖多种部署模式,包括本地部署的思科SD-WAN Cloud-Pro及思科托管的云服务,以及面向政府客户的FedRAMP授权系统。美CISA已将该漏洞正式纳入其“已知被利用漏洞”目录,并要求所有受影响机构即刻部署安全补丁。思科已发布安全更新,强烈敦促所有客户立即应用补丁。(信息来源:美CISA网站)
(二十六)Microsoft Windows DNS客户端中存在高危漏洞
5月17日消息,研究人员发现Microsoft Windows DNS客户端中存在一个高危漏洞CVE-2026-41096(CVSS评分9.8分),可能让攻击者在企业网络中执行恶意代码。该漏洞的核心是一个深藏于Windows操作系统架构中的基于堆的缓冲区溢出,通过普通且不可避免的活动触发,每当浏览器加载网页、VPN建立安全隧道,或后台服务检查更新时,系统都会发送标准DNS查询。当易受攻击的机器收到恶意结构的响应时,软件会误算内存边界,错误处理网络负载。攻击者可通过被攻破的路由器、流氓本地网络服务器、被污染的DNS解析器,甚至敌对的公共Wi-Fi连接,来发送恶意响应。Microsoft已发布安全更新指南,建议用户立即打补丁。(信息来源:FreeBuf网)
(二十七)微软Exchange Server高危XSS漏洞已遭在野利用
5月18日消息,微软披露一个影响广泛的高危零日漏洞CVE-2026-42897(CVSS评分8.1)已遭在野积极利用,影响Microsoft Exchange Server的多个版本,包括Subscription Edition、2016版和2019版的本地部署版本。该漏洞属于典型的欺骗类漏洞,同时具备跨站脚本攻击能力。攻击者无需特殊权限,即可通过精心构造的恶意邮件触发漏洞,在目标用户的浏览器上下文中执行任意JavaScript代码。国内使用微软Exchange Server本地部署版本的用户群体主要集中大型企业、部分党政机关、金融机构、高校和科研单位等。建议用户确认当前Exchange Server版本,并对管理员账户实施额外的多因素认证;加强邮件网关的入站检查规则;加速Exchange Server向云端Exchange Online或国产邮件系统的迁移。(信息来源:奇安信威胁情报中心)
(二十八)n8n自动化平台惊现三重漏洞链,攻击面已蔓延至供应链核心节点
5月19日消息,安全研究人员披露了n8n平台中一组可串联利用的三个高危漏洞(CVE-2026-44789、CVE-2026-44790、CVE-2026-44791)分布在HTTP Request节点、Git节点和XML节点中,组合后可实现完整的远程代码执行,且利用门槛极低。攻击者仅需拥有创建或编辑工作流程的基本权限,即可触发整条攻击链,完成从权限提升到服务器接管的全流程。n8n作为一款开源工作流程自动化平台,其架构设计允许用户通过可视化方式串联API、数据库、云服务和内部工具,构建高度自动化的业务流程。一旦平台本身被攻陷,攻击者即可横向染指整个数据处理链。目前,官方已在修复版本中完成补丁推送,建议所有使用n8n的用户立即完成升级。(信息来源:奇安信威胁情报中心)
(二十九)PostgreSQL pgcrypto堆缓冲区溢出漏洞安全风险通告
5月19日消息,奇安信CERT监测到官方修复PostgreSQL pgcrypto堆缓冲区溢出漏洞CVE-2026-2005(CVSS评分8.8分),该漏洞源于pgp_pub_decrypt_bytea()函数解析OpenPGP公钥加密会话密钥包时,未对会话密钥长度做边界校验。攻击者通过构造恶意PGP密文,触发堆溢出,可实现信息泄露、任意内存读写,进而提升至超级权限,在数据库进程内执行任意操作系统命令,获取数据库服务权限,窃取密钥、凭证并横向渗透内网。PostgreSQL是一款开源的高级关系型数据库管理系统,广泛应用于云计算、企业核心业务、Web应用等。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
