安全热点周报:黑客利用 插件获取服务器 root 权限

⭕ 18项网络安全国家标准发布

5月28日，国家发布18项网络安全国标，包括《政务云安全配置基线要求》《存储安全指南》《网络存储安全技术要求》《事件调查原则和过程》《等级保护测评机构能力要求》《国家网络身份认证公共服务应用接入要求》等。

⭕ 印度CERT发布AI防御指南

5月25日，印度CERT-In发布指南，指出AI攻击压缩漏洞利用窗口，建议面向互联网的关键系统在12小时内修复已利用漏洞（KEV），并采用智能体SOC、自动化暴露面管理、告警分诊、主动威胁狩猎等自适应防御。

⭕ 数据流通安全合规框架发布

5月23日，国家数据发展研究院等发布《数据流通安全合规框架和指标体系1.0》，围绕流通主体、行业领域、流通场景、合规管理、安全保障五维度，为数据合规高效流通提供指引。

⭕ 公安机关电子数据取证规则征求意见

5月22日，公安部就新修订的《公安机关电子数据取证规则（征求意见稿）》征求意见，共六章61条，附7类文书样式。相比旧版，扩大了适用范围，规范了获取密码、调取电子邮件等特殊程序。

⭕ Evelyn Stealer恶意软件窃取国内开发者数据

5月26日，工信部漏洞平台预警，Evelyn Stealer恶意软件活跃，主要攻击开发者群体。该恶意软件通过VS Code恶意扩展传播，可窃取浏览器密码、加密货币钱包、即时通讯记录、VPN配置等敏感信息并上传至攻击者FTP服务器。建议排查可疑扩展、更新杀毒软件、全盘查杀。

⭕ 河南两家公司因未履行网络安全义务被处罚

5月26日，河南新乡两家公司遭网络攻击后被处罚。一家境外传输数据且日志存储不足6个月，非法使用国际信道；另一家日志存储不足6个月导致攻击无法溯源，防火墙特征库长期不更新。依据《网络安全法》，责令限期整改，予以警告、罚款。

⭕ npm平台遭供应链投毒攻击

5月25日，国家网络安全通报中心监测发现，npm平台遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷官方维护者账户，批量投放300余个程序包的600余个恶意版本。开发者安装后，恶意代码窃取GitHub Token、云服务密钥、SSH私钥、K8s凭据等，并具备蠕虫式自我复制与横向传播能力。

⭕ 越南两个部委系统发生严重数据泄露 

5月22日，越南国家网络空间应急响应中心证实，两个存有数百万用户数据的部级机构遭严重攻击，攻击者已入侵并访问数据。两机构均已部署SOC平台但未能发现攻击，暴露出大型政企机构缺乏合规安全人才、管理层安全认知薄弱的问题。

1、Linux Kernel CIFSwitch本地提权漏洞

5月29日，Linux Kernel本地提权漏洞(QVD-2026-29453)，低权限用户可构造密钥获取root权限。PoC已公开，请自查。

2、Apache PyFory反序列化绕过漏洞

5月28日，Apache PyFory反序列化绕过漏洞(CVE-2026-48207)，攻击者可绕过安全策略实现远程代码执行。

3、NGINX堆缓冲区溢出漏洞

5月26日，NGINX堆溢出漏洞(CVE-2026-9256)，未授权攻击者可致Worker崩溃或代码执行。PoC已公开。

4、LiteLLM权限提升漏洞

5月26日，LiteLLM权限提升漏洞(CVE-2026-47101)，普通用户可提权至管理员。国内风险资产8437个，PoC已公开。

5、Drupal Core SQL注入漏洞

5月22日，Drupal Core PostgreSQL SQL注入漏洞(CVE-2026-9082)，匿名用户可远程注入。国内风险资产8871个，PoC已公开

调查：超六成AI供应商未告知客户，偷偷将甲方数据发给未授权模型

美国数据隐私管理公司DataGrail发布研究报告显示，63.6%的AI供应商未在客户协议（数据处理部分）中披露第三方AI分包处理方，这意味着采购他们服务的客户，企业数据可能在不知情的情况下暴露给从未知晓的模型。例如，某AI招聘工具声称使用Claude模型，但后台还悄悄用了OpenAI、Gemini等其他分包模型，客户仅对公示的模型进行安全审查，这导致企业敏感数据和用户隐私信息被流向未经审查的AI系统，破坏了企业服务赖以生存的整条信任链

⭕ 针对开发者的防护建议

近期VS Code扩展和npm生态连续发生投毒攻击，核心目标是窃取开发者凭证与密钥。建议不安装来源不明的扩展，安装前核实发布者身份，定期清理可疑扩展；对npm依赖做好版本管控，用工具扫描恶意包，不随意引入未经验证的第三方依赖；避免明文存储重要凭证，使用专业密码管理器并开启二次验证。

⭕ 针对企业运维与安全团队的防护建议

本周多个高危漏洞已在野利用，尤其是LiteSpeed cPanel插件提权等。建议尽快排查公网资产，优先修复KEV目录及已公开PoC的漏洞，力争12小时内完成修复。严格落实《网络安全法》，留存至少六个月安全日志以便溯源。同时重视安全团队能力建设，不能只采购设备，需配备足够的专业运营人员，真正发挥安全防护作用。