2026-01-17 01:22:16 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周报汇总2026年1月9–15日关键安全动态：OpenCode、ApacheStruts、ComfyUI-Manager三组件曝RCE/XXE漏洞，PoC已公开，影响国内数万资产；微软补丁日修复112漏洞，其中DWM信息泄露零日CVE-2026-20805已遭在野利用，可配合绕过ASLR；波兰可再生能源设施遭俄指向性网络攻击险致全国停电；1750万Instagram用户数据疑泄露含住址电话；交通运输部、网信办、工信部等六部委会同英政府密集发布数据安全、AI芯片、关基测评、政企网安行动等法规标准，提示运营者即刻自查补丁、加固配置并关注后续合规要求。 综合评分： 88 文章分类： 漏洞预警,数据安全,政策法规,安全大事件,威胁情报

cover_image

安全热点周报：微软修复 2026 年 DWM 中首个信息泄露零日漏洞

奇安信 CERT

2026年1月16日 17:33 北京

PART01

漏洞情报

1.OpenCode远程代码执行漏洞安全风险通告

1月15日，奇安信CERT监测到官方修复OpenCode远程代码执行漏洞(CVE-2026-22812)，该漏洞源于在1.0.216版本之前，OpenCode会默认启动一个未经身份验证的HTTP服务器，允许未经授权的远程攻击者通过本地进程或宽松的CORS策略的网站以用户的权限执行任意shell命令。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Apache Struts XML外部实体注入漏洞安全风险通告

1月13日，奇安信CERT监测到官方修复Apache Struts XML外部实体注入漏洞(CVE-2025-68493)，该漏洞源于Apache Struts XWork-Core组件中对XML解析器安全选项配置不当，攻击者可利用该漏洞，通过构造恶意的XML数据并发送至受影响的Apache Struts应用，触发XML外部实体注入，进而实现数据泄露、SSRF、拒绝服务等攻击。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为6015个，关联IP总数为2024个。目前该漏洞PoC和技术细节已在互联网上公开，建议客户尽快做好自查及防护。

3.ComfyUI-Manager远程代码执行漏洞安全风险通告

1月9日，奇安信CERT监测到官方修复ComfyUI-Manager远程代码执行漏洞(QVD-2026-2759)，默认暴露Web API接口用于在线修改配置项，且未对用户输入中的\r\n做过滤，导致攻击者可向配置文件中注入恶意换行内容；通过将security_level等关键配置项篡改为weak，进一步结合插件自带的Git URL安装功能，可在服务器上执行任意代码。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为28968个，关联IP总数为3719个。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART02

新增在野利用

1.Desktop Window Manager 信息泄露漏洞(CVE-2026-20805)

1月14日，微软共发布了112个漏洞的补丁程序，修复了Windows NTFS、Microsoft Office等产品中的漏洞。其中Desktop Window Manager 信息泄露漏洞(CVE-2026-20805)已被实际利用。

目前已被实际利用的漏洞是 CVE-2026-20805（CVSSv3 评分：5.5），这是一个影响桌面窗口管理器的信息泄露漏洞。微软威胁情报中心 (MTIC) 和微软安全响应中心 (MSRC) 已确认并报告了该漏洞。微软在安全公告中表示：桌面窗口管理器 (DWM) 中敏感信息暴露给未经授权的攻击者，会导致授权攻击者在本地泄露信息。如果攻击者成功利用此漏洞，可能泄露的信息类型是远程 ALPC 端口（即用户模式内存）的节地址。

目前尚无关于该漏洞如何被利用、此类活动的规模以及幕后黑手是谁的详细信息。Rapid7 首席软件工程师 Adam Barnett 在一份声明中称，DWM 负责在 Windows 系统显示屏上绘制所有内容，这意味着它兼具特权访问和普遍可用性，几乎任何进程都可能需要显示某些内容。在这种情况下，漏洞利用会导致 ALPC 端口段地址的不当泄露，ALPC 端口段是用户模式内存的一部分，Windows 组件在该区域内协调彼此之间的各种操作。

这类漏洞通常被用来破坏地址空间布局随机化 (ASLR)，ASLR 是一种核心操作系统安全控制，旨在防止缓冲区溢出和其他内存操作漏洞。通过揭示代码在内存中的位置，可以将此漏洞与另一个代码执行缺陷结合起来，从而将复杂且不可靠的攻击转化为实用且可重复的攻击。

建议管理员和家庭用户尽快测试和部署微软官方发布的补丁，以避免已知漏洞的攻击。

参考链接：

https://thehackernews.com/2026/01/microsoft-fixes-114-windows-flaws-in.html

PART03

安全事件

1.险遭大停电！波兰全国可再生能源设施遭遇大规模网络攻击

1月14日The Record消息，波兰政府日前表示，成功挫败了近年来针对该国能源基础设施最严重的一次网络攻击，从而避免了一场大规模停电。据波兰能源部长Miłosz Motyka称，此次未遂破坏发生在2025年12月末，攻击者针对全国大范围内的太阳能电站、风力发电机等可再生能源设施，与电力配电运营商之间的通信发动了攻击。波兰数字事务部长Krzysztof Gawkowski在1月13日表示，该事件“险些引发一次全面停电”，并呈现出明显的协调一致的破坏行动特征。Gawkowski称：“此次攻击的规模、入侵路径以及幕后主使都表明，这是一次蓄意切断波兰公民电力供应、所有迹象都指向俄罗斯的破坏行为。”与过往聚焦大型发电厂或输电网络的网络事件不同，最新这次攻击同时针对了多个较小的电力来源。Motyka表示：“我们以前从未见过这种类型的攻击，但我们应当预期它还会再次发生。”

原文链接：

https://therecord.media/poland-cyberattack-grid-russia

2.人肉利器？1750万名Instagram用户的姓名电话住址泄露

1月10日Security Affairs消息，安全厂商Malwarebytes Labs的研究人员警告称，一起重大的数据泄露事件导致约1750万名Instagram用户的个人数据被暴露，泄露的数据包括用户名、现实住址、电话号码及电子邮件地址。自1月10日起，已有100万名用户收到了密码重置邮件，由此引发了混乱，并激起了人们对全球性网络攻击的担忧。据多方分析，这批数据目前还难以判断来源，有称是攻击者2022年滥用官方API窃取，2024年开始长期在地下论坛传播，还有称数据系与外部数据拼凑而成。Instagram官方次日在推特上否认了数据泄露，系统未遭到入侵，并称修复了同期造成恐慌的密码重置邮件滥用漏洞。

原文链接：

A massive breach exposed data of 17.5M Instagram users

3.伊朗出现“全国范围”断网，骚乱蔓延至首都

1月9日中国新闻社消息，当地时间8日晚，伊朗出现“全国范围”互联网服务中断。该国持续多天的骚乱已蔓延至首都德黑兰。大约20时左右，伊朗首都德黑兰出现互联网服务中断。非政府组织NetBlocks在社交媒体上发消息称，因多地抗议活动不断升级，伊朗在全国范围内实施了网络管制。尚不清楚导致此次伊朗大范围互联网服务中断的原因，但伊朗官方曾采取互联网管控措施来应对抗议示威。卡塔尔半岛电视台报道称，8日晚间，大批示威民众走上德黑兰街头。目击者称，德黑兰数条街道被封锁，抗议者与警察发生冲突。法新社报道称，在伊朗多个城市发生示威者纵火焚烧警察局、警车的事件，多地报告有示威者和安全部队人员在冲突中伤亡。目前伊朗官方尚未通报相关伤亡数据。各人权观察组织公布的伤亡数据相差很大。

原文链接：

https://mp.weixin.qq.com/s/Pno0qdazIJKx4PGJYGAM3w

PART04

政策法规

1.交通运输部《交通运输数据安全管理办法》公开征求意见

1月14日，交通运输部起草了《交通运输数据安全管理办法（征求意见稿）》，现面向社会公开征求意见。该文件共七章45条，包括总则、数据分类分级保护、数据全生命周期安全管理、数据安全风险评估、数据安全监测预警与应急处置、监督检查与责任追究、附则。该文件围绕数据全生命周期安全的主线，明确安全管理的总体要求和人员机构要求，对法规规定的数据收集、存储、使用、加工、传输、提供、公开、删除等各数据处理活动环节，以及因故转移数据、委托处理和共同处理、数据跨境、人工智能数据处理、日志和记录管理等特定情形，提出相应的安全管理和技术要求。

原文链接：

https://www.mot.gov.cn/yijianzhengji/dangqianzhengji/202601/P020260114353161408937.doc

2.工信部印发《推动工业互联网平台高质量发展行动方案（2026—2028年）》

1月13日，工业和信息化部印发《推动工业互联网平台高质量发展行动方案（2026—2028年）》。该文件提出了平台培育培优、聚“数”提“智”、规模化应用、生态支撑等四方面行动，以推动工业互联网平台发展。该文件要求强化平台安全保障，具体包括：加强对平台企业的合规指导，支持企业建立健全合规管理体系。推动平台企业实施工业互联网安全分类分级管理，落实自主定级、分级防护、符合性评测、安全整改等工作，提升企业网络安全防护水平。指导平台企业落实重要数据识别备案、分级防护、风险评估等数据安全责任义务，提升数据安全监测预警与应急处置等技术能力。

原文链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2026/art_71cecf506c054283aa6c48464ea8379b.html

3.《信息安全技术关键信息基础设施安全测评过程指南》公安行业标准发布

1月13日，按照公安部发布的2025年第2号《中华人民共和国公安部公共安全行业标准公告》，由公安部信息系统安全标准化技术委员会归口的1项公共安全行业标准正式发布。该标准为GA/T 2367—2025《信息安全技术关键信息基础设施安全测评过程指南》，提供了针对关键信息基础设施开展网络安全测评工作过程的指南，适用于关键信息基础设施运营者及安全检测评估服务机构开展的关键信息基础设施安全测评工作。

原文链接：

https://mp.weixin.qq.com/s/cvk7qj2H5Zij97u5uJjgYQ

4.《人工智能应用安全指引总则》等4项网络安全标准实践指南公开征求意见

1月13日，全国网络安全标准化技术委员会秘书处组织编制了4项网络安全标准实践指南征求意见稿，现公开征求意见。其中，《人工智能应用安全指引总则》规定了人工智能应用安全总则，包括基本原则以及人工智能应用的前期规划、设计开发、验证确认、部署、运行和监控、持续验证评估、退役下线等各阶段的通用安全指引；《人工智能应用安全指引广播电视和网络视听》规定了广播电视和网络视听领域人工智能应用的基本安全要求，以及策划创作、制作播出、传输覆盖、集成分发等环节人工智能应用的安全要求；《用户使用人工智能安全指南》给出了用户使用人工智能服务的安全指引，包括安全意识提升、安全使用指引、使用行为规范等；《人工智能训练数据清洗安全指南》给出了训练数据清洗活动的安全原则、风险识别维度、清洗方法和实施流程。

原文链接：

https://www.tc260.org.cn/sysFile/downloadFile/312e3c6368e64c838aa36e43a7bd702f

5.《网络安全标准实践指南——人工智能加速芯片安全功能技术规范》发布

1月12日，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人工智能加速芯片安全功能技术规范》。该文件规定了人工智能加速芯片在硬件安全、接口安全、固件安全、安全存储单元、密码技术机制、故障检测与诊断和数据保护七个方面的安全功能要求和测评方法，适用于人工智能加速芯片的设计、开发和应用，也为开展相应的安全评估和检测认证活动提供参考。

原文链接：

https://www.tc260.org.cn/sysFile/downloadFile/6a36bfd611364ecbb13d8509c006e151

6.国家网信办《互联网应用程序个人信息收集使用规定》公开征求意见

1月10日，国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，现向社会公开征求意见。该文件提出，互联网应用程序应当在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则，并在用户充分知情的前提下，取得用户同意规则的明确表示。该文件要求，互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份的除外。互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意。互联网应用程序应当为用户提供注销账号的便捷功能，完成注销后应删除已收集的相关个人信息或者进行匿名化处理。

原文链接：

https://www.cac.gov.cn/2026-01/10/c_1769603446094128.htm

7.《证券期货业信息系统密码技术应用指引》行业标准发布

1月9日，中国证券监督管理委员会发布公告，公布金融行业推荐性标准《证券期货业信息系统密码技术应用指引》（JR/T 0347—2026），自公布之日起施行。该文件提供了证券期货业信息系统在密码技术、密码产品及密码服务的使用、密码安全功能与密码技术的对应关系、宜选用的密码产品、适用的证券期货业数据安全要求等方面的指引，可作为证券期货业各类机构在开展信息系统密码技术应用时的指引，也适用于监管机构对证券期货业各类机构密码技术应用方案进行评估时的参考。

原文链接：

https://www.csrc.gov.cn/csrc/c101954/c7608135/7608135/files/%E9%99%84%E4%BB%B61%EF%BC%9A%E3%80%8A%E8%AF%81%E5%88%B8%E6%9C%9F%E8%B4%A7%E4%B8%9A%E4%BF%A1%E6%81%AF%E7%B3%BB%E7%BB%9F%E5%AF%86%E7%A0%81%E6%8A%80%E6%9C%AF%E5%BA%94%E7%94%A8%E6%8C%87%E5%BC%95%E3%8

8.英国发布《政府网络安全行动计划》，加强公共服务网络韧性

1月6日，英国科学、创新和技术部（DSIT）发布《政府网络安全行动计划》，承诺拨款2.1亿英镑（约合人民币20亿元）预算，成立由英国政府首席信息安全官领导的新网络安全部门，专门推动强化公共数字服务的防御能力，并计划把网络安全从过往的政府泛安全职业体系中独立，设立专门的职业序列。该文件与《网络安全与弹性法案》二读同期公布，要求政府部门受到与云服务提供商、搜索引擎及关键基础设施运营商一致的网络安全要求约束。英国估计，这项投资将每年为整个公共部门节省高达450亿英镑（约合人民币4215亿元）。

原文链接：

https://www.gov.uk/government/publications/government-cyber-action-plan

往期精彩推荐

【已复现】OpenCode 远程代码执行漏洞(CVE-2026-22812)安全风险通告

微软1月补丁日多个产品安全漏洞风险通告：1个在野利用、8个紧急漏洞

【已复现】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)安全风险通告

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《安全热点周报：微软修复 2026 年 DWM 中首个信息泄露零日漏洞》