网络空间安全动态（202619期）

       编者按：网安动向热讯，本期有十一点值得关注：一是《求是》杂志发表习近平总书记重要文章《前瞻布局和发展未来产业》；二是李强签署国务院令公布《国务院关于对外投资的规定》；三是国家网信办等五部门联合公布《互联网信息内容多渠道分发服务管理规定》；四是特朗普签署《促进先进人工智能创新与安全》行政令；五是美全面收紧对华AI芯片出口管制；六是美NIST将原人工智能安全研究所联盟更名为人工智能联盟，专注于人工智能的创新和应用；七是美国国防高级研究计划局与美国国家科学基金会联合启动“人工智能锻造”计划；八是美GAO发布《关键基础设施保护：应对水和废水部门持续网络安全威胁所需的行动》；九是英国公布2026-2027年度科技预算，重点面向AI、量子与生命科学；十是西班牙发布《人工智能正当使用和治理组织法》草案；十一是马来西亚发布新规，限制未成年人使用社交媒体。

     数据前沿快讯，本期有三点建议关注：一是中央网信办等四部门印发《2026年提升全民数字素养与技能工作要点》；二是工信部组织开展2026年“数字适老中国行”活动；三是《商业秘密保护规定》施行，首次将数据、算法等数字资产纳入商业秘密保护范围。

      网安事件聚焦，本期有两方面内容建议关注：一是生成式人工智能在方便用户提高效率的同时大幅降低了攻击门槛。本期介绍：Meta的AI客服服务系统遭黑客攻击，奥巴马等名人Instagram账号被盗。二是数据泄露事件频发，给用户和企业带来巨大安全隐患和经济损失。本期介绍：美大型私营食品公司Rich因供应商遭钓鱼攻击致数据泄露；美电信公司Charter遭网络攻击致4200万条记录被泄露；国际顶级律所支付约1.2亿元赎金，以避免被盗的客户数据被公开泄露；邮轮巨头发生重大数据泄露影响约600万人，中国用户需警惕跨境钓鱼诈骗。

     网安风险警示，本期有六点建议关注：一是CNCERT：关于家用路由器DNS被恶意篡改导致异常跳转风险的提示；二是美CISA预警：一款两年前已修复的Oracle漏洞正被黑客实战利用；三是Windows Netlogon零点击远程代码执行漏洞安全风险通告；四是XCharge C6电动汽车充电桩存在多个严重漏洞，可导致任意代码执行；五是Apache ActiveMQ存在远程代码执行漏洞；六是Redis Lua脚本远程代码执行漏洞安全风险通告。

      一、网安动向热讯

      （一）《求是》杂志发表习近平总书记重要文章《前瞻布局和发展未来产业》

      6月1日，《求是》杂志发表中共中央总书记、国家主席、中央军委主席习近平的重要文章《前瞻布局和发展未来产业》。文章强调，培育发展未来产业，对于抢占科技和产业制高点、牢牢把握发展主动权，对于发展新质生产力、建设现代化产业体系，对于提高人民生活品质、促进人的全面发展和社会全面进步，都具有重要意义。要站在推进强国建设、民族复兴伟业的战略高度，立足客观条件，发挥比较优势，坚持稳中求进、梯度培育，推动我国未来产业发展不断取得新突破。文章指出，要加强统筹谋划，把准发展方向，在量子科技、生物制造等领域聚焦发力、精准施策。科学论证技术路线，提升前沿技术战略预判能力。把握发展节奏，综合考虑国家战略需求、技术成熟程度、要素支撑条件等因素，因地制宜、错位发展。强化产业协同，坚持联动发展，推动未来产业同新兴产业、传统产业相得益彰。文章指出，要健全治理体系。加强协同治理，统筹发展和安全，探索科学有效的监管方式，构建技术监测、风险预警、应急响应体系，确保既“放得活”又“管得好”。（信息来源：新华社）

      （二）李强签署国务院令公布《国务院关于对外投资的规定》

      6月1日消息，国务院总理李强日前签署国务院令，公布《国务院关于对外投资的规定》（以下简称《规定》），自2026年7月1日起施行。《规定》旨在推进高水平对外开放，促进对外投资高质量发展，有效实施对外投资管理，保护投资者及其对外投资合法权益，维护国家主权、安全、发展利益。《规定》明确，对外投资工作贯彻总体国家安全观，健全对外投资管理服务体系，提升对外投资质量与水平。主动对接国际高标准经济贸易规则，推进高质量共建“一带一路”，推动产业链供应链国际合作。支持投资者按照市场化原则开展对外投资活动。完善调控措施，分类分级实施全过程监管，加强风险防控，提高对外投资科学性、安全性。国务院有关部门加强监测预警和风险评估，指导和帮助投资者做好安全风险防范。建立投资壁垒调查制度等，切实维护投资者及其对外投资的安全和正当权益以及国家的海外利益。（信息来源：新华社）

     （三）国家网信办等五部门联合公布《互联网信息内容多渠道分发服务管理规定》

      5月29日，国家网信办、公安部等五部门联合公布《互联网信息内容多渠道分发服务管理规定》（以下简称《规定》），旨在促进互联网信息内容多渠道分发服务规范健康发展，保障公民、法人和其他组织的合法权益，营造良好网络生态，自2026年9月1日起施行。《规定》明确，提供或者使用互联网信息内容多渠道分发服务，应当遵守法律、行政法规和国家有关规定，弘扬社会主义核心价值观；鼓励相关行业组织加强行业自律。《规定》要求，互联网信息内容多渠道分发服务机构应当依法办理经营主体登记，并依法取得相应行政许可；平台应当与互联网信息内容多渠道分发服务机构签订入驻协议，并及时将入驻情况报所在地省级网信部门备案；平台应当以显著方式在签约互联网用户公众账号信息页面展示该账号所属互联网信息内容多渠道分发服务机构名称。《规定》鼓励生产传播正能量信息内容，要求加强未成年人网络保护，加强网络直播营销活动管理等。《规定》还明确了相关违法行为的法律责任等。（信息来源：网信中国）

     （四）中央网信办组织召开未成年人网络保护协调机制工作会议

      6月2日，中央网信办组织召开未成年人网络保护协调机制工作会议，研究部署规范和管理未成年人使用网络相关工作。会议强调，要提高政治站位、把握形势任务，深刻认识规范和管理未成年人使用网络，是贯彻落实习近平总书记重要指示批示精神、推动党中央决策部署落地见效的重要任务。要明确目标、聚焦重点，扎实推进规范和管理未成年人使用网络的各项举措。坚持分级分类，严管中高风险功能服务，划定触网安全底线；坚持管建并举，全面推广未成年人模式；坚持技术赋能，聚焦未成年人身份识别问题加大技术攻关力度；坚持齐抓共管，充分发挥平台、学校、家庭、社会等多方力量，汇聚网络保护合力。（信息来源：网信中国）

      （五）两部门联合印发《人工智能计量体系和能力建设指引（2026版）》

      5月28日消息，市场监管总局、国家发展改革委联合印发《人工智能计量体系和能力建设指引（2026版）》，围绕基础支撑、通用技术、核心技术、计量技术规范、计量服务产业、智能赋能计量等六大部分系统布局。针对算法“黑箱”、决策可解释性差等痛点，部署AI系统内部状态监测与表征等关键技术攻关，推动建立人工智能可靠、安全、可信计量标准。推动计量技术深度融入智能制造、智慧医疗、智慧交通等14个重点领域，围绕AI诊断算法可靠性等关键参数开展计量技术研究，助力解决产业数字化转型中质量评估难题，切实增强人民群众对人工智能应用的安全感、获得感。（信息来源：新华社）

      （六）工信部就《民用无人驾驶航空器数据链路网络安全要求》强制性国家标准（征求意见稿）征求意见

      6月1日，工信部就《民用无人驾驶航空器数据链路网络安全要求》强制性国家标准（征求意见稿）征求意见，该标准针对民用无人驾驶航空器数据链路网络安全提出具体要求：一是通用安全要求，适用于所有类别的数据链路，包括实体鉴别、数据防伪造篡改、链路状态感知、抗拒绝服务、安全更新、日志记录、密钥存储等；二是上行链路安全要求，包括传输数据加密、抗重放、访问控制和备份链路安全等；三是前向链路安全要求，包括通用安全、中继安全和备份链路安全等；四是下行链路安全要求，包括遥测信息及任务载荷数据加密和备份链路安全等；五是反向链路安全要求，包括通用安全、中继安全和备份链路安全等，要求有关单位7月31日前反馈。（信息来源：工信部网站）

     （七）特朗普签署《促进先进人工智能创新与安全》行政令

      6月3日消息，美总统特朗普签署《促进先进人工智能创新与安全》行政令，重启两周前叫停的综合性AI计划中的网络安全条款。行政令要求NSA、CISA等部门在60天内制定机密评估流程，用于判定何时将AI系统列为“受监管的前沿模型”；要求国家安全系统委员会在30天内优先保障国家安全系统的网络防御，同时指示国防部加强其信息系统保护；要求CISA发布强化联邦民用网络的指令，为州/地方政府和关键基础设施运营商提供网络安全工具，特别指出农村医院、社区银行和地方公用事业应获得包括AI工具在内的网络安全资源，并加速采用AI防御技术；要求联邦机构加速部署AI驱动的网络安全能力，建立政企漏洞共享计划，并制定前沿AI模型网络能力评估流程；要求AI公司在模型正式发布前最多30天向政府提供相关模型进行测试和评估。行政令另一重要条款是建立AI网络安全信息中心，以改善政府机构、AI开发者和关键基础设施运营商间的协调。该中心将由财政部牵头成立，任务包括协调漏洞扫描、验证软件漏洞、确定修复优先级以及分发安全补丁。行政令保留了先前提案中的多项网络安全条款，同时强调不会对AI开发者设置强制性许可、预审或审批要求。（信息来源：美白宫网站）

      （八）美全面收紧对华AI芯片出口管制

      5月31日，美商务部工业与安全局（BIS）发布指导意见，明确收紧先进计算芯片出口管制，全面封堵中国。此次新规的监管对象为总部位于中国及中国澳门、或最终母公司注册于上述地区的实体。无论此类实体位于全球何处，向其出口英伟达Blackwell等高端AI芯片均需申请美国政府许可，未经许可不得开展交易。同时，合规运营的数据中心可继续使用、存储和维护已部署的相关设备，无需立即停用，直至BIS发布新通知。（信息来源：赛博研究院）

      （九）美NIST将原人工智能安全研究所联盟更名为人工智能联盟，专注于人工智能的创新和应用

      5月30日，美国家标准与技术研究院（NIST）宣布对其于2024年正式成立的人工智能安全研究所联盟实施重大重组，将联盟更名为“NIST人工智能联盟”，调整工作重心，并面向社会扩大成员招募。新联盟将延续此前的部分工作，但重点将转向人工智能的测量、创新与应用。重组后的联盟将设立六个工作组，包括人工智能测试、评估、验证与确认零草案工作组；人工智能风险与有效性标注工作组；人工智能评估与测量方法工作组；偏见效应与生成式人工智能显著局限性工作组；人工智能文档卡工作组和化学与生物安全工作组。此外，新联盟还将着力构建人工智能评估生态系统，投入人工智能赋能的科学研究，并推广美国自主研发的人工智能技术与系统的应用。（信息来源：美NIST网站）

      （十）美国防高级研究计划局与美国家科学基金会联合启动“人工智能锻造”计划

      6月1日消息，美国防高级研究计划局与美国家科学基金会联合启动“人工智能锻造”计划，旨在推动面向国家安全需求的下一代人工智能关键技术突破。该计划联合美国家标准与技术研究院人工智能标准与创新中心，重点围绕人工智能可解释性、人工智能管控和对抗鲁棒性三大方向，提出15项美国家安全关键人工智能研究课题。该计划将作为《美国人工智能行动计划》的重要组成部分，建立由高校、前沿AI企业、军方和情报机构共同参与的研究平台，加速推动AI基础研究。（信息来源：启元洞见）

      （十一）美GAO发布《关键基础设施保护：应对水和废水部门持续网络安全威胁所需的行动》

      5月29日消息，美政府问责局（GAO）发布《关键基础设施保护：应对水和废水部门持续网络安全威胁所需的行动》。报告指出，美国近17万个饮用水和废水系统正面临日益严峻的网络安全威胁，近期发生的多起网络事件和安全警报表明该部门整体脆弱性突出。报告强调，尽管已有部分应对措施，但水务部门在资金、技术、人员和法律授权等方面仍存在显著短板，亟需采取进一步行动以增强其网络韧性，保障公共卫生与国家安全。（信息来源：奇安网情局）

      （十二）美NSF启动技术加速器计划，加快关键技术向市场转化

      5月27日，美国家科学基金会（NSF）宣布启动NSF技术加速器计划，将基础研究的成果转化为可扩展且市场化的技术。目前，NSF已发布意见征询文件，征求对NSF技术加速器计划模式、NSF提议的主题的适用性以及适合NSF技术加速器框架的其他主题的反馈意见，并确定潜在的组织来领导与农业技术、材料技术、海洋技术和科学仪器四个提议主题相一致的NSF技术加速器。（信息来源：美NSF网站）

      （十三）美阿贡国家实验室推出首个AI推理平台，推进“创世纪计划”

      5月27日消息，美阿贡国家实验室推出新型AI推理平台，为美国家实验室体系科研人员提供远程访问先进AI模型的服务，以加速科学发现与技术创新。该平台基于阿贡实验室“极光”超级计算机，可调用谷歌Gemma、MetaLLaMA及OpenAIGPT-OSS等模型，同时支持实验室自研的AuroraGPT模型。该平台已向洛斯阿拉莫斯、劳伦斯利弗莫尔、橡树岭等多家国家实验室开放，并被纳入美国能源部“创世纪计划”等国家级科研计划。（信息来源：全球技术地图）

      （十四）美国防部与戴尔公司签署97亿美元合同，加速AI与联合全域指挥体系建设

      5月28日消息，美国防部宣布与美国戴尔公司签署总额97亿美元的“核心企业技术协议”，统一采购软件、云订阅及相关服务。协议为期五年，整合Windows Enterprise、Office Professional Plus及Microsoft 365等多种系统，服务国防部各机构与情报部门。该协议将为“联合全域指挥控制”提供数字基础设施，为战场数据实时共享、人工智能与数据分析应用以及敏感环境下的持续作战提供支撑，预计每年可节省约4.22亿美元的成本。（信息来源：启元洞见）

      （十五）英国公布2026-2027年度科技预算，重点面向AI、量子与生命科学

      5月27日，英国科学、创新与技术部（DSIT）发布《2026-2027财年主要预算备忘录》，公布了总额超161亿英镑的年度部门预算，其中科技研发投入达140.56亿英镑，占总预算的86.7%。本财年预算将重点投向人工智能、量子技术、生命科学、半导体和数字基础设施与通信等全球竞争前沿领域，同时加速数字基础设施全覆盖与公共服务数字化转型，构建安全可信的科技体系，巩固英国在全球科技创新格局中的领先地位。（信息来源：英国政府网站）

     （十六）西班牙发布《人工智能正当使用和治理组织法》草案

      5月26日，西班牙部长会议批准将《人工智能正当使用和治理组织法》草案提交众议院审议。根据西班牙数字化转型和公共管理部发布的信息，该草案的正式名称为《人工智能正当使用和治理组织法》草案。其核心功能是将已经生效的欧盟《人工智能法》嵌入西班牙国内执行体系之中，重点解决监管机关指定、市场监管权限配置、处罚机制、公共部门人工智能使用以及人工智能监管沙盒等问题。西班牙政府官方明确指出，该草案旨在适配已经生效的欧盟人工智能条例，并使西班牙具备保障“人类监督”和“可信使用人工智能”的法律工具。（信息来源：清华大学智能法治研究院）

     （十七）马来西亚发布新规，限制未成年人使用社交媒体

      6月1日，马来西亚通信和多媒体委员发表声明，正式实施《风险缓解准则》和《儿童保护准则》两项网络安全新规，要求各大社交媒体平台建立用户年龄验证机制，禁止16岁以下未成年人注册账号，并采取措施保护青少年免受网络霸凌等，两项准则于6月1日起正式生效。上述两项新规适用于脸书、照片墙、优兔等在马用户数量不少于800万的社交媒体平台。其中，《风险缓解准则》要求相关平台降低有害内容传播风险，包括开展内容管理和审核、儿童用户在线安全、服务的安全设计等。《儿童保护准则》则明确规定，相关持牌服务提供商需采取多项措施，确保儿童用户安全使用相关服务。（信息来源：新华社）

      二、数据前沿快讯

      （十八）中央网信办等四部门印发《2026年提升全民数字素养与技能工作要点》

      5月29日，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2026年提升全民数字素养与技能工作要点》（以下简称《工作要点》）。《工作要点》部署了6个方面15项重点任务。一是完善数字素养培育体系，包括强化数字资源供给开放、拓宽数字素养提升渠道。二是深化数字应用场景建设，包括提升数字生活品质、提升数字工作能力、激发数字创新活力。三是提升全民人工智能素养，包括强化人工智能赋能教育、加快人工智能人才培育、深化人工智能普及应用。四是促进数字普惠包容发展，包括深化信息无障碍环境建设、打造数字助老惠民公益项目。五是营造安全有序网络空间，包括引导全民文明依法上网用网、筑牢全民网络安全防护意识、促进人工智能安全规范发展。六是健全协同联动工作机制，包括完善多方协作机制、深化国际交流合作。（信息来源：网信中国）

      （十九）工信部组织开展2026年“数字适老中国行”活动

      5月15日，工业和信息化部印发通知，计划2026年5月—12月组织开展2026年“数字适老中国行”活动。活动主题为“数字适老 智享生活”，将采用“1+3+N”模式系统推进，即打造1个“数字适老中国行”品牌形象、开展3个系列主题活动和多个区域特色专场活动，通过专题宣传、典型推广、服务创新、交流互动等不同形式，系统化塑造“数字适老中国行”知名度影响力，多样化推广数字技术适老化优秀成果，构建全国统筹、区域示范、多层联动的适老化发展生态。（信息来源：工信微报）

      （二十）《商业秘密保护规定》施行，首次将数据、算法等数字资产纳入商业秘密保护范围

      6月1日，国家市场监管总局出台的《商业秘密保护规定》正式施行。新规首次在法律层面将“数据”、“算法”、“计算机程序”和“代码”等数字资产纳入商业秘密保护范畴，并细化了远程办公、跨境协作场景下的保密要求，明确“权限分级、数据脱敏、操作日志留痕”等隐藏敏感细节并追踪用户活动的手段为合理保密措施。配合新规实施，中国国家市场监管总局启动第四届“企业商业秘密保护能力提升服务月”专项执法行动，聚焦生物医药、集成电路、人工智能等重点领域；展开集中执法，严厉打击“携密跳槽”与“恶意挖角”行为；深化多部门协作，紧盯人才流动、投融资、技术交易等高风险环节，推动行业自律。（信息来源：彭博社）

      三、网安事件聚焦

      （二十一）Meta的AI客服服务系统遭黑客攻击，奥巴马等名人Instagram账号被盗

      6月2日消息，社交媒体巨头Meta的AI客户服务系统遭攻击，黑客通过诱导和欺骗其AI支持聊天机器人，成功劫持多个知名用户的Instagram账号，包括美前总统奥巴马的白宫官方账号、美太空军总军士长以及美妆零售巨头丝芙兰的官方页面等。被盗期间，相关账号甚至被恶意发布了具有宣传性质的特定政治内容。此次事件源于Meta今年3月推出的AI驱动支持助手，该工具原本旨在协助用户自助完成重置密码、设置双重身份验证以及找回账号等操作。黑客发现只需要求该机器人更改账号绑定的电子邮箱地址，并使用VPN隐藏真实位置，即可实施攻击。Meta称，目前该漏洞已被紧急修复，技术团队正在全力协助受影响用户恢复并确保账号安全。（信息来源：安全内参）

      （二十二）美大型私营食品公司Rich因供应商遭钓鱼攻击致数据泄露

      5月30日消息，美大型私营食品公司Rich Products Corporation披露一起数据泄露事件，由于其供应商First Advantage遭网络钓鱼攻击，未经授权的第三方访问了其药物和职业健康筛查部门一名员工的账户，并下载了该员工电子邮件收件箱的全部内容，导致约200名员工数据被泄露，包括姓名、电话号码、住址、社会保障号码和驾驶执照信息等。此类信息敏感性极高，受影响个人可能面临身份盗窃、金融诈骗和定向网络钓鱼攻击的风险。First Advantage表示已禁用被盗用账户，并在系统中实施了额外安全防护措施以防止类似事件再次发生。（信息来源：HackerNews网）

     （二十三）美电信公司Charter遭网络攻击致4200万条记录被泄露

      5月30日，美电信公司Charter Communications遭网络攻击。在Charter拒绝支付赎金后，ShinyHunters勒索组织公布了从该公司窃取的数据，包括超过4200万条客户记录和客户专有网络信息，490万个唯一的电子邮件地址，以及姓名、电话号码和实际地址等，其中约有8.5万条记录来自内部员工名录，还包含职位信息。Charter旗下Spectrum品牌为数千万住宅和商业用户提供互联网、有线电视、移动和电话服务。Charter公司已确认安全事件并展开调查，但表示敏感个人信息未被泄露。（信息来源：SecurityAffairs网）

     （二十四）国际顶级律所支付约1.2亿元赎金，以避免被盗的客户数据被公开泄露

      6月1日消息，国际顶级律所威嘉律师事务所向网络勒索组织支付1800万至2000万美元（约合人民币1.21至1.35亿元），以阻止被窃取的客户数据被公开。威嘉律所确认近期发生网络安全事件，导致少量客户文件被未经授权上传至外部云存储网站，在发现事件后，立即启动事件响应协议，聘请第三方网络安全专业人员介入，并已通知执法部门。调查确认，攻击者并未获得律所内部网络的访问权限，此次事件也未对律所运营造成影响，目前尚未发现任何未经授权的活动。尽管威嘉尚未确认是否支付了赎金，但外媒The Insurer报道称，相关款项在收到勒索要求后的3天内便已支付。（信息来源：安全内参）

      (二十五)    邮轮巨头发生重大数据泄露影响约600万人，中国用户需警惕跨境钓鱼诈骗

      6月1日消息，全球最大邮轮运营商嘉年华集团确认发生数据泄露事件，约600万客户个人信息遭泄露，涉及姓名、出生日期、电子邮箱、地理位置、邮轮预定记录、驾驶证号码或护照号码等。ShinyHunters勒索组织声称已窃取该公司大量数据。据估算，近年乘坐过嘉年华旗下品牌邮轮、注册过会员、或通过官网预订过的中国游客可能在数万至十万人级别，相关用户需注意警惕陌生电话或邮件，防范跨境钓鱼诈骗。（信息来源：e安全）

     四、网安风险警示

      （二十六）CNCERT：关于家用路由器DNS被恶意篡改导致异常跳转风险的提示

      6月1日消息，国家互联网应急中心（CNCERT）发现，部分家庭用户连接家用路由器Wi-Fi后，访问正常网站或触发终端网络连通性检测时，会异常跳转至色情、赌博等非法页面。经研判，该事件主要由家用路由器等家庭网络设备DNS服务器配置被篡改导致。截至目前，CNCERT已累计监测数十个专门提供域名恶意解析服务的DNS服务器和异常跳转服务的Web服务器，单日恶意解析次数超过数亿次，单日影响境内独立IP最高超过70余万个，相关风险对用户正常上网秩序和网络安全造成影响。建议用户和路由器厂商和相关网络服务单位尽快检查DNS配置、修改弱口令、关闭高风险功能，及时升级固件。（信息来源：国家互联网应急中心）

      （二十七）美CISA预警：一款两年前已修复的Oracle漏洞正被黑客实战利用

      6月2日，美CISA要求各级政府机构紧急加固系统，封堵一款高危Oracle WebLogic Server漏洞CVE-2024-21182（CVSS评分7.5），影响12.2.1.4.0、14.1.1.0.0两个版本。攻击者无需账号权限、利用门槛极低，即可远程发起攻击、攻陷目标服务器。该漏洞早在两年前就已发布官方补丁，但黑产组织已在真实攻击中频繁利用此漏洞入侵系统。Oracle WebLogic Server是企业级Java应用中间件服务器，多用于搭建大型多层分布式业务系统。CISA已将该漏洞录入已知在野利用漏洞目录，勒令美联邦机构在6月4日前完成全量漏洞修复。（信息来源：美CISA网站）

     （二十八）Windows Netlogon零点击远程代码执行漏洞安全风险通告

      6月1日消息，奇安信CERT监测到Windows Netlogon零点击远程代码执行漏洞CVE-2026-41089（CVSS评分9.8）在野利用，该漏洞源于Netlogon服务在处理CLDAP查询时，NlGetLocalPingResponse函数分配的528字节栈缓冲区通过BuildSamLogonResponse和NetpLogonPutUnicodeString处理攻击者可控的用户名等字段时，存在字节/WCHAR长度计算混淆，导致缓冲区溢出。攻击者可利用该漏洞，向目标域控制器的UDP 389端口发送特制的CLDAP网络请求触发溢出，进而以SYSTEM权限执行任意代码，无需身份凭证、无需本地访问、无需用户交互，可直接实现域控完全接管、权限提升和横向移动。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞已发现在野利用，建议用户做好自查及防护。（信息来源：奇安信CERT）

      （二十九）XCharge C6电动汽车充电桩存在多个严重漏洞，可导致任意代码执行

      6月2日消息，安全研究人员在Xcharge公司的电动汽车充电桩产品C6中发现多个严重漏洞。其中，最严重的为固件更新机制中的漏洞CVE-2026-9037（CVSS评分9.3），由于未验证加密签名，攻击者若能干扰或冒充管理通道，便可导致设备安装未经授权的固件包，从而远程劫持系统；存在于控制器信号处理逻辑中的栈缓冲溢出漏洞CVE-2026-9038可导致拥有物理访问权限的攻击者，提供过大的消息字段破坏系统内存；默认凭据弱点漏洞CVE-2026-9039影响信令通道，由于系统错误接受通过车辆与充电桩之间通信路径传输的默认管理凭据，攻击者可借此获得完整的管理员访问权限。上述漏洞对本地基础设施安全构成直接威胁，建议网络运营商必须立即核实硬件补丁状态，防止设备遭远程攻击。（信息来源：代码卫士）

      （三十）Apache ActiveMQ存在远程代码执行漏洞

      6月2日，启明星辰安全应急响应中心监测到Apache ActiveMQ远程代码执行漏洞CVE-2026-42588（CVSS评分8.1）。该漏洞源于Web Console默认暴露的/api/jolokia/JMX-HTTP桥接接口对输入参数校验不足，且默认Jolokia访问策略允许调用org.apache.activemq:*相关MBean的exec操作。攻击者可利用该漏洞控制消息服务、窃取业务数据或横向渗透内部系统。Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件，支持JMS、AMQP、MQTT、STOMP等多种消息协议。目前，官方已发布修复补丁，建议用户尽快升级版本。（信息来源：启明星辰）

      （三十一）Redis Lua脚本远程代码执行漏洞安全风险通告

      6月3日消息，奇安信CERT监测到官方修复Redis Lua脚本远程代码执行漏洞CVE-2026-23631（CVSS评分8.1），该漏洞源于Lua脚本功能启用时，经过身份验证的攻击者可以利用主从数据同步机制，在禁用只读模式的副本服务器上触发内存管理缺陷，通过构造特定的脚本操作导致内存错误引用，最终可能实现远程代码执行并完全控制目标系统。Redis是一款开源的高性能键值对内存数据库，广泛应用于缓存、消息队列、实时分析、会话存储等场景。目前该漏洞PoC和技术细节已公开，鉴于该漏洞影响范围较大，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）