网络空间安全动态（202620期）

       编者按：网安动向热讯，本期有十一点值得关注：一是国家网信办、市场监管总局联合印发《网络测评活动规范》；二是工信部印发《“人工智能+信息通信”创新发展实施意见（2026—2028年）》；三是工信部组织开展6G创新发展部省协同试点专项行动；四是美战争部更新1260H涉军企业清单，新增阿里巴巴、百度等多家中国科技公司；五是特朗普签署“国家安全体系中的人工智能”备忘录；六是美战争部启动“爱国者人才通道”计划，整合军民人才支撑国防工业；七是美国家安全局被曝正使用Mythos模型开展进攻性网络行动；八是欧盟提出“技术主权”一揽子方案，旨在增强欧洲数字自主性和韧性；九是英政府公布15亿英镑AI硬件计划，推动本土算力和芯片研发能力建设；十是俄罗斯Sberbank面向全球南方推广“主权AI”，以本地化模型争取新兴市场；十一是日本出资5亿美元加入美国“创世纪计划”。

      数据前沿快讯，本期有四点建议关注：一是国家数据局印发《关于推进行业高质量数据集建设行动的实施方案》；二是国家数据局发布《数字中国发展报告（2025年）》；三是英伟达与多家韩国科技企业达成合作，建设人工智能数据中心；四是Meta推出“劳动力学院”培训数据中心建设人员，AI基础设施竞争延伸至技能工人供给。

      网安事件聚焦，本期有两方面内容建议关注：一是网络攻击事件呈现出‌手段多样化、技术智能化、目标关键化‌的严峻态势。本期介绍：法政府加密通讯平台Tchap遭黑客入侵；Meta指控NSO Group再度攻击WhatsApp；美知名分销商遭勒索软件组织ShinyHunters攻击；NFCShare恶意软件新变种瞄准欧洲金融机构。二是数据泄露态势正从单一的、偶发的事件向‌常态化、规模化、链条化‌演变。本期介绍：微软多个开源AI工具遭供应链攻击，大量开发者凭证被窃；Meta漏洞频发，多位知名用户隐私信息遭曝光；美金融科技公司SoFi因供应商数据库遭入侵致香港用户数据泄露。

      网安风险警示，本期有五点建议关注：一是CNCERT：关于部分智能体技能包存在越狱和挖矿风险的安全公告；二是开源Web服务器软件Apache mod_http2存在远程拒绝服务漏洞；三是Samba打印子系统存在远程代码执行漏洞；四是Google Chrome V8越界读写漏洞安全风险通告；五是搜索平台Apache Solr被曝存在硬编码凭据漏洞。

      一、网安动向热讯

      （一）国家网信办、市场监管总局联合印发《网络测评活动规范》

      6月8日消息，国家网信办、市场监管总局联合印发《网络测评活动规范》（以下简称《规范》），旨在规范网络测评活动，维护公平市场竞争秩序，保护公民、法人和其他组织合法权益。《规范》明确，从事网络测评活动，应当遵守法律、行政法规和国家有关规定，遵循商业道德、公序良俗，坚持客观、公正、全面、准确原则。《规范》要求，从事网络测评活动，涉及对产品功能、性能等项目测试，应当委托具有法定检验检测资质许可的检验检测机构按照相关标准以及技术规范开展测试。对食品开展检验检测的，测试方应当具备相应资质，不得使用非标方法，不得测评无国家标准检验方法的项目。不得采取不同标准、不同方法对同类产品进行横向、纵向比较。《规范》提出，未对产品开展测试，仅凭主观感受对产品进行评价，应当进行说明。网站平台要加强对网络测评信息内容管理，及时受理处置相关投诉举报。下一步，网信部门、市场监管部门将加强对网络测评活动监管，依法查处违法违规行为。（信息来源：网信中国）

      （二）工信部印发《“人工智能+信息通信”创新发展实施意见（2026—2028年）》

      6月10日消息，工业和信息化部印发《“人工智能+信息通信”创新发展实施意见（2026—2028年）》（以下简称《实施意见》）。《实施意见》坚持智能化、绿色化、融合化方向，围绕推动信息通信行业智能化升级、夯实人工智能发展底座、深化融合应用创新推广、增强信息通信行业治理能力等四个方面部署17项具体任务，进一步促进人工智能与信息通信融合创新发展，为扎实推进新型工业化，加快建设制造强国、网络强国提供有力支撑。到2028年，人工智能与信息通信初步构建融合互促的创新发展格局。信息通信智能运营和服务能力达到国际先进水平，信息通信网络初步实现高等级自智，形成30个以上高价值典型场景，打造一批典型应用和特色智能体。网络、算力等信息基础设施支撑人工智能能力进一步提升。（信息来源：工信微报）

      （三）工信部组织开展6G创新发展部省协同试点专项行动

      6月4日消息，工信部印发通知，组织开展6G创新发展部省协同试点专项行动。通知提出，将完成加强技术攻关协同、加强产业研发协同、加强应用培育协同、加强项目布局协同等四项重点任务。到2029年，通过实施专项行动，进一步激发地方和企业创新活力，形成一批自主创新的6G技术方案，培育一批前景可观的新型业务应用场景，涌现一批丰富多样的新型终端产品，为6G商用落地提供有力支撑。（信息来源：工信微报）

      （四）工信部指导规范APP信息窗口跳转行为

      6月9日消息，工信部组织召开专题会议，指导督促相关互联网平台和智能终端企业，强化APP信息窗口呈现方式的规范管理，严禁违规呈现信息窗口。随着“618”各类电子商务促销活动不断增多，部分App在开屏和弹出的信息窗口中，采用违规方式诱导用户点击，或通过高灵敏度“摇一摇”等方式误导触发跳转。会议通报了在日常巡查中发现的相关问题线索，要求各相关企业立即开展自查整改，对已上线或即将上线的各类信息窗口样式进行全面审核。建立完善在线巡查机制，及时下线违规信息窗口样式。会议要求，坚持严守合规边界，完善内部审核和合规管理机制，规范服务行为，优化用户体验，有效杜绝违规行为的发生，切实保护用户合法权益。后续将持续开展常态化检测监测，对发现的违规行为，依法予以约谈、通报、下架APP等处置，全力营造放心安全的消费环境。（信息来源：工信微报）

      （五）国家密码管理局公布新修订《电子认证服务使用密码管理办法》

      6月4日消息，国家密码管理局公布新修订的《电子认证服务使用密码管理办法》（以下简称《办法》）。本《办法》共二十五条，自2026年7月1日起施行。办法明确，在中华人民共和国境内的电子认证服务使用密码及其监督管理，适用本办法。采用商用密码技术提供电子认证服务，应当依法取得国家密码管理局颁发的《电子认证服务使用密码许可证》。国家密码管理局对全国电子认证服务使用密码行为实施监督管理。《办法》对申请《电子认证服务使用密码许可证》应当具备的条件、提交的材料、受理部门及时间、违规处罚等进行了明确规定。（信息来源：国家密码管理局）

     （六）美战争部更新1260H涉军企业清单，新增阿里巴巴、百度等多家中国科技公司

      6月8日消息，美战争部更新“中国军事企业清单”，新增中国阿里巴巴、比亚迪、百度、宇树科技、蔚来汽车等16家企业，总数增加至188家。美战争部认定阿里巴巴、比亚迪等企业与中国工业和信息化部、国有资产监管体系存在关联，属于中国国防工业基础的“军民融合贡献者”。据悉，根据相关法案，美战争部将从2026年6月30日起禁止与相关企业直接签署采购合同；自2027年6月30日起，禁止采购包含这些企业产品或服务的供应链间接合同。外交部发言人林剑表示，中方一贯坚决反对美方泛化国家安全概念，划设各类名目的歧视性清单，无理打压中国企业。我们敦促美方纠正错误做法，停止对中国企业的无理打压行径。中方将采取必要措施，坚定维护中国企业的正当合法权益。（信息来源：综合美战争部网站、北京日报）

     （七）特朗普签署《国家安全领域的人工智能》备忘录

      6月5日，美总统特朗普签署第11号国家安全总统备忘录（NSPM-11）《国家安全领域的人工智能》，正式废除并替代拜登政府时期的第25号国家安全备忘录（NSM-25）及相关指导文件。备忘录以四根支柱搭建政策框架：采用、适应、保证、问责制。其中，“采用”强调尽快让最先进的前沿大模型进入国家安全领域，消除部署障碍。“适应”要求从多元供应商获取商业或开源AI能力，仅在安全或任务限制使商用方案不可行时才允许内部开发。“保证”要求确保所采用的所有人工智能技术设计具备可靠性、鲁棒性、可操控性和可控性。“问责制”划出三条红线：不得用AI审查言论自由，不得嵌入意识形态偏见，不得进行未经授权或违法的监控。其中，“保证”部分包含一条在采购层面具有实质影响力的条款：美国政府必须通过合同条款或其他方式，确保没有任何商业实体或对手，在联邦政府不知情且未批准的情况下，有能力阻止、禁用、降级或实质性修改国家安全人员所依赖的AI系统。有分析指出，该条规定指向两类风险：一是外国对手在冲突中切断AI供应链，二是国内供应商单方面限制或撤回已部署系统的功能。（信息来源：美白宫网站）

      （八）美战争部启动“爱国者人才通道”计划，整合军民人才支撑国防工业

      6月3日消息，美战争部长皮特·赫格塞思签署备忘录，正式启动“爱国者人才通道”计划，整合军人、军属及联邦文职人员培训与职业发展资源，构建服务国防工业基础的人才培养体系。该计划重点服务“金穹”导弹防御、造船工业和先进武器生产等优先项目，聚焦网络安全、工程制造、航空维修和医疗保障等关键领域人才需求。根据部署，美战争部将在45天内制定实施方案，包括建设统一数字平台、简化人才培养相关政策与监管程序，以及加强与企业、高校和培训机构合作。（信息来源：美战争部网站）

      （九）美国家安全局被曝正使用Mythos模型开展进攻性网络行动

      6月4日，英国《金融时报》援引知情人士消息报道称，尽管美战争部已正式将人工智能公司Anthropic列为“供应链风险”企业并切断其服务渠道，但美国家安全局仍在利用Anthropic开发的网络安全专用模型Mythos开展进攻性网络行动。该报道指出，Anthropic公司已向美国家安全局派遣6名“嵌入式工程师”，协助该机构使用和定制Mythos系统以用于“特殊应用”。目前尚不清楚Anthropic公司派驻人员是否参与了任何实际行动，但分析认为Mythos模型将有助于美国渗透对手国家的网络。（信息来源：奇安网情局）

      （十）美国家安全局网络安全部门官员强调需将情报数据融入网络行动

      6月6日消息，美国家安全局网络安全部门首席运营官丹尼尔·麦考马克表示，情报数据与军事网络行动的深度融合将为美国提供关键优势，对手网络攻击方式正变得愈发隐蔽复杂，而AI正在重塑网络攻防对抗的格局。一是情报数据与网络行动的结合将为美国提供关键优势。开源、信号、人力、金融、地理空间及技术情报，与军事网络行动及行业洞察的深度融合，构成了美国强大的战略组合，为美国家安全局的网络战士提供了关键优势。二是对手网络攻击方式演变使防御追捕陷入棘手境地。对手的攻击正变得愈发复杂，攻击者利用管理员的正规凭证和网络自然形态进行移动与持久控制，从而悄无声息地实现数据收集；顶级对手会长期潜伏，并使其与真实管理员极为相似，导致追捕工作异常困难。三是AI在网络攻击中的差异化应用将为网络防御带来新的挑战与机遇。AI极大降低了攻击路径匹配难度，攻击者目前在AI应用上占据优势；防御者需学习如何最好地部署AI代理和防御工具，将是美国家安全局当前推进的方向。（信息来源：奇安网情局）

     （十一）欧盟提出“技术主权”一揽子方案，旨在增强欧洲数字自主性和韧性

      6月3日消息，欧盟委员会公布“欧洲技术主权一揽子方案”，包括两项立法提案——《云与人工智能发展法案》和《芯片法案2.0》，以及《开源战略》和《能源领域数字化与人工智能战略路线图》两份文件，以期增强欧洲数字自主性和韧性。其中，《云与人工智能发展法案》的目标是在未来5至7年内将欧洲数据中心容量提高到目前的3倍，并加强“应用人工智能战略”在推动技术普及方面的作用。《芯片法案2.0》将以欧洲在主流芯片等方面的优势为基础，建设尖端半导体技术能力，为人工智能应用提供动力。《开源战略》将推动欧洲在云、人工智能、互联网技术、网络安全和半导体等优先领域扩大开源可选方案的规模，并支持公共行政部门更多使用开源。《能源领域数字化与人工智能战略路线图》将推动人工智能和其他数字解决方案在电力基础设施中的应用。欧盟委员会新闻公报表示，一揽子方案相关立法提案在通过并生效前，还将由欧洲议会和欧盟理事会审议协商。该提案将有助于扩大欧盟企业、公民和公共行政部门在核心技术方面的选择范围。（信息来源：新华网）

      （十二）英政府公布15亿英镑AI硬件计划，推动本土算力和芯片研发能力建设

      6月8日消息，英政府宣布总规模约15亿英镑的AI硬件发展计划，内容包括建设国家超级计算机、支持先进半导体和AI芯片研发，并为本土企业提供芯片设计、开发和测试资金。英政府担心初创企业会放弃本土而前往硅谷，希望此举能够鼓励初创企业留在英国。英政府表示，未来经济增长和科技竞争力将越来越依赖先进算力资源，该计划旨在提升英国本土算力供给和AI硬件能力，减少对海外算力和关键芯片供应链的依赖。（信息来源：路透社）

     （十三）俄罗斯Sberbank面向全球南方推广“主权AI”，以本地化模型争取新兴市场

      6月5日消息，俄罗斯最大银行Sberbank正向全球南方国家推广“主权AI”方案，主打基于当地内容训练、符合本国价值取向和数据隐私需求的人工智能模型，面向拉美、非洲、亚洲和大洋洲等希望发展自主AI但资金和基础设施有限的国家。Sberbank表示，未来人工智能需求将更多转向小型化、专业化模型，而非单纯追求超大参数规模。报道指出，在西方制裁限制先进芯片获取背景下，俄罗斯正通过GigaChat等模型追赶美中AI能力，并将“主权AI”作为拓展新兴市场和削弱西方技术影响力的重要方向。（信息来源：路透社）

     （十四）日本出资5亿美元加入美国“创世纪计划”

      6月4日消息，美日双方未来五年将各自出资5亿美元，共同推进“创世纪计划”，用于联合开发人工智能及相关技术。该计划是由美国主导的国家级项目，旨在将人工智能技术与美国国家实验室所拥有的海量科学数据及超算能力相结合。通过大幅缩短实验和复杂计算所需时间，力求催生大量具有突破性的科学与技术成果。该项目覆盖范围横跨26个不同领域，包括半导体研发和关键矿产资源勘探。据《读卖新闻》报道，日本将成为该项目的首个国际合作伙伴，参与该项目将赋予日本一项独特优势，即获取并充分利用美国庞大的数据及计算资源。另外，双方还将探讨重要数据和知识产权的保护问题。（信息来源：参考消息）

      二、数据前沿快讯

      （十五）国家数据局印发《关于推进行业高质量数据集建设行动的实施方案》

      6月8日消息，国家数据局印发《关于推进行业高质量数据集建设行动的实施方案》。《实施方案》指出，行业高质量数据集是经过采集、加工等数据处理，可直接用于开发和训练人工智能模型，能有效提升模型性能的行业数据的集合，包含行业通识和行业专识数据集。《实施方案》的总体目标是，到2028年底，建成一批覆盖重点领域、经过应用验证的行业高质量数据集，打造一批数据驱动人工智能创新发展的典型应用场景，培育一批具备领先优势的创新型数据企业和专业人才，形成一批行业高质量数据集建设工具和标准。具体措施包括：围绕行业高质量数据集供给、流通、应用等关键环节，部署六大专项行动，提出面向人工智能应用需求，持续推进文本、图像、音视频等多模态高质量数据集建设；聚焦智能体、具身智能和世界模型等重点方向，要求加快推进数据集建设；引导具备条件的地区因地制宜开展数据标注创新试验区建设。（信息来源：国家数据局）

      （十六）国家数据局发布《数字中国发展报告（2025年）》

      6月8日消息，国家数据局发布《数字中国发展报告（2025年）》。报告从发展基础、赋能效应、发展环境三个方面系统总结了2025年数字中国建设重要进展和工作成效，并展望2026年数字中国发展的形势和前景。报告指出，截至2025年底，全国在用算力设施机架数超过‌1373万‌标准机架；建成万卡智算集群‌42个‌；智能算力规模达到‌159万PFlops‌，位居全球第二。我国网民规模达‌11.25亿人‌，互联网普及率达‌80.1%‌。生成式人工智能加速融入日常生活‌。‌数字经济核心产业增加值占GDP比重达到‌10.5%‌以上，人工智能核心产业规模超过‌1.2万亿元‌，我国已成为全球人工智能专利最大拥有国，占比达‌60%‌。建成高质量数据集超‌11万个‌，数据标注累计规模超‌85拍字节。2026年，“数智引擎”作用将更加凸显，“人工智能+”和“数字要素×”将持续驱动产业升级。（信息来源：国家数据局）

     （十七）英伟达与多家韩国科技企业达成合作，建设人工智能数据中心

      6月9日消息，英伟达正与韩国SK电讯、SK海力士、Naver、现代、LG等企业推进AI基础设施和产业应用合作。其中，SK电讯计划与英伟达在韩国建设首个吉瓦级AI云服务，首座AI工厂预计2027年上线。SK海力士将与英伟达开展多年期技术合作，推进下一代存储芯片研发。英伟达将助力LG拓展人工智能驱动型业务，覆盖机器人、自动驾驶、数据中心及GPU云服务等核心领域；LG将提供完整的加速计算基础设施，支撑人工智能应用的训练、仿真与全流程部署。Naver也将与英伟达合作建设AI工厂并拓展海外市场。该动向显示，英伟达正通过数据中心、存储、机器人和制造场景深度绑定韩国AI产业链。（信息来源：华尔街日报）

      （十八）Meta推出“劳动力学院”培训数据中心建设人员，AI基础设施竞争延伸至技能工人供给

      6月9日消息，Meta将与商业地产服务商世邦魏理仕，以及美建筑承包商协会合作，投入1.15亿美元设立“劳动力学院”，免费培训数据中心建设所需技术工人，以解决AI数据中心建设面临的技术工人短缺问题，此举标志着AI基础设施的竞争已从硬件和算法层面延伸至‌技能工人的供给能力‌。该项目将在路易斯安那、俄亥俄、印第安纳和得州试点，重点面向电工、暖通空调和相关建筑岗位。（信息来源：启元洞见）

     三、网安事件聚焦

      （十九）法政府加密通讯平台Tchap遭黑客入侵

      6月10日消息，法国政府数字事务局（DINUM）警告称，黑客利用被劫持的用户账户入侵了法国政府加密即时通讯平台Tchap。Tchap由DINUM与法国网络安全局合作开发的一款基于去中心化Matrix协议的即时通讯服务和协作工具，专为法国公共部门设计。DINUM表示，由于攻击者可能会访问到部分用户在对话中共享的个人数据，已及时向法国数据保护机构CNIL通报该事件，并已向所有Tchap用户发出警告，提醒其公共聊天室对任何用户都可见且未加密。目前已识别出发起恶意请求的账户。目前，尚不清楚攻击者能够访问的对话及被窃取数据的性质。（信息来源：BleepingComputer网）

     （二十）Meta指控NSO Group再度攻击WhatsApp

      6月9日消息，Meta旗下WhatsApp官方发布声明，称已发现并成功阻断与以色列NSO Group相关的新一轮恶意攻击活动。WhatsApp指责NSO Group违反此前法院作出的永久禁令。根据WhatsApp的通报，攻击者通过社会工程学手段诱导用户点击恶意链接，将目标引导至外部恶意网站，攻击手法与NSO Group此前多次实施的“零点击”钓鱼攻击类似。NSO Group以开发商业级间谍软件Pegasus而闻名，具备极强的入侵能力，能够在iOS和Android设备上窃取短信、监听通话、追踪位置、获取应用数据及密码等。目前，WhatsApp已迅速删除所有由攻击者创建的测试账号和群组，并向用户发出安全提醒。（信息来源：开源情报技术研究院）

      （二十一）美知名分销商遭勒索软件组织ShinyHunters攻击

      6月5日，勒索软件组织ShinyHunters在其暗网发布美知名分销商Baker Distributing Company的公司数据，包含数十万条Salesforce和SharePoint记录。研究人员对泄露的数据集进行审查，确认大部分数据来自SharePoint存储库，包含1100条员工记录，一个包含约3400条销售线索的数据集，约11.1万条记录的客户联系人数据库，以及一个包含约30.2万个IT支持工单。Baker Distributing是美国最大的HVAC、制冷及餐饮设备分销商之一。ShinyHunters声称，在谈判失败后已将数据公开发布到网上，并公布校验及下载链接。（信息来源：Cybernews网）

      （二十二）NFCShare恶意软件新变种瞄准欧洲金融机构

      6月8日消息，一种名为NFCShare的安卓恶意软件新变种以GitHub上托管的合法银行应用程序的虚假更新为诱饵，针对欧洲多家银行及金融机构展开攻击，利用手机‌NFC功能窃取用户的银行卡数据及PIN码。该恶意软件不再仅仅依赖传统的界面覆盖层来记录键盘输入，而是直接调用安卓系统的NFC读取能力，结合社会工程学手段实施盗刷。安全专家建议，切勿点击短信或邮件中的链接下载银行APP；‌警惕NFC操作；在不使用时关闭NFC功能。（信息来源：BleepingComputer网）

     （二十三）微软多个开源AI工具遭供应链攻击，大量开发者凭证被窃

      6月9日消息，研究人员发现代号为**Mini Shai‑Hulud**的npm/PyPI供应链攻击正针对AI开发者工具链快速扩散，攻击者通过投毒开源依赖包，在安装阶段窃取环境变量、`.env`文件和访问令牌等敏感信息，已波及包括微软、OpenSearch、Mistral AI、Guardrails AI、UiPath等在内的多项AI开源项目，但具体受影响情况仍在排查中。研究人员表示，微软已禁用了70多个自家代码库，并指出此前有一个特定软件包曾遭入侵。微软表示，在调查潜在恶意内容期间，已暂时移除部分代码库。截至目前，多个GitHub代码库页面显示该代码库已被禁用。（信息来源：安全内参）

     （二十四）Meta漏洞频发，多位知名用户隐私信息遭曝光

      6月9日消息，Meta旗下应用产品Instagram突发安全漏洞，导致包括Meta首席执行官马克·扎克伯格在内的多位知名用户隐私数据遭短暂泄露。该漏洞存在于Instagram网站密码重置功能中，可导致用户个人电话号码和电子邮箱地址暴露。针对本次密码重置漏洞，Meta在数小时内实施了紧急修复，并表示尚无证据表明黑客入侵了Meta主服务器。安全专家表示，虽未发生大规模数据泄露，但完整联系方式的暴露可能导致钓鱼诈骗、SIM卡劫持等二次攻击。（信息来源：FreeBuf网）

     （二十五）美金融科技公司SoFi因供应商数据库遭入侵致香港用户数据泄露

      6月8日消息，美金融科技公司SoFi向香港分公司客户发出通知，称其第三方供应商数据库遭黑客入侵，客户信息疑遭泄露。SoFi总部位于美国，主要提供银行、投资、贷款及其他个人金融服务，同时运营SoFi香港分公司，为香港客户提供投资和证券服务。SoFi表示，调查仍在进行中，目前尚不清楚泄露数据的具体类型，警告客户要对网络钓鱼攻击、可疑通信和异常账户活动保持警惕，建议客户更新密码，监控财务账户状态，并已对受影响账户增加了额外的安全保障和监控措施。（信息来源：BleepingComputer网）

      四、网安风险警示

      （二十六）CNCERT：关于部分智能体技能包存在越狱和挖矿风险的安全公告

      6月9日消息，国家互联网应急中心（CNCERT）综合研判发现，部分智能体技能包（Skills）以“大模型越狱”、“挖矿赚钱”等名义公开传播，诱导用户突破大模型安全限制或占用设备资源进行非法挖矿。此类恶意Skills可能导致模型生成违法信息、用户账号被依法封禁、设备性能下降，甚至使用户被动卷入洗钱等违法犯罪活动，严重侵害个人合法权益，危害网络安全。CNCERT提醒广大用户和相关运营单位提高警惕，加强Skills来源审查与行为监控，及时清除可疑组件，防范由此引发的安全风险。（信息来源：国家互联网应急中心）

     （二十七）开源Web服务器软件Apache mod_http2存在远程拒绝服务漏洞

      6月4日消息，启明星辰安全应急响应中心监测到Apache mod_http2远程拒绝服务漏洞CVE-2026-49975(CVSS评分9.8)。该漏洞源于HTTP/2协议HPACK头压缩机制与流量控制窗口处理逻辑存在资源管理缺陷，攻击者可通过构造大量Indexed Header引用并结合零窗口INITIAL_WINDOW_SIZE阻塞响应释放，持续占用服务器内存资源。未经身份认证的远程攻击者可利用该漏洞以极低带宽消耗触发大规模内存分配，导致服务性能严重下降，影响业务连续性与可用性。Apache HTTP Server是Apache Software Foundation发布的开源Web服务器软件，广泛应用于互联网网站、企业门户、API服务及云平台场景。目前，官方已发布补丁，建议用户尽快升级。（信息来源：启明星辰）

      （二十八）Samba打印子系统存在远程代码执行漏洞

      6月7日消息，奇安信CERT监测到官方修复Samba打印子系统远程代码执行漏洞CVE-2026-4480(CVSS评分9.8)，该漏洞源于打印子系统在处理客户端提交的打印任务时，将客户端可控的作业描述字符串通过%J替换字符传递给print command配置项所指定的命令，但未对字符串中的Shell元字符进行转义处理。攻击者可利用该漏洞，通过构造包含未转义Shell元字符的特殊打印作业描述，在服务器上执行任意操作系统命令，从而完全控制受影响的服务器。Samba是一款开源的SMB/CIFS 协议实现软件，主要用于在Linux和Unix系统上实现与Windows系统的文件和打印资源共享。目前该漏洞技术细节已公开。鉴于该漏洞影响范围较大，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

      （二十九）Google Chrome V8越界读写漏洞安全风险通告

      6月9日消息，奇安信CERT监测到Google发布公告，称Google Chrome V8越界读写漏洞CVE-2026-11645(CVSS评分8.8)遭在野利用。该漏洞源于V8引擎中的越界读写问题，攻击者通过恶意网页触发漏洞，可绕过沙箱防护实现远程代码执行，完全控制用户设备。Chrome是一款快速的互联网浏览器软件，为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。鉴于该漏洞影响范围较大，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

      （三十）搜索平台Apache Solr被曝存在硬编码凭据漏洞

    6月5日消息，启明星辰安全应急响应中心监测到Apache Solr存在硬编码凭据漏洞CVE-2026-44825(CVSS评分8.1)。该漏洞存在于bin/solr auth enable认证启用流程中，由于工具在配置BasicAuth时可能静默创建带有公开默认凭据的模板用户，导致远程攻击者可使用已知账号密码登录SolrCloud集群并获取管理员权限，进一步访问索引数据、修改认证配置、创建后门账号或影响业务可用性。Apache Solr是一款基于Apache Lucene的开源企业级搜索平台，广泛应用于站内搜索、日志检索、内容检索和数据分析场景。目前，官方已发布修复补丁，建议用户及时更新。（信息来源：启明星辰）