文章总结： 本文综述近期网络安全动态，涵盖ApacheStruts高危漏洞通报、西班牙能源与韩国教育集团的大规模数据泄露、比利时医院勒索攻击致手术中断，及乌克兰军队新型社会工程攻击。亦提及Instagram千万用户信息泄露现实威胁及涉密地图合规警示。建议相关方尽快更新系统并提升安全意识。 综合评分： 65 文章分类： 漏洞预警,数据泄露,威胁情报,应急响应

国家漏洞库通报Apache漏洞、西班牙能源巨头1TB数据泄露|一周特辑

威努特安全网络

2026年1月17日 07:59 北京

国家漏洞库CNNVD：

关于Apache Struts安全漏洞的通报

1月14日，国家漏洞库CNNVD发布关于Apache Struts安全漏洞的通报。Apache Struts框架曝出安全漏洞（CNNVD-202601-1787，CVE-2025-68493），其XWork组件在解析XML配置文件时未对输入进行充分安全校验，攻击者可通过提交恶意XML文档，诱使服务器在解析过程中加载文件触发漏洞，导致敏感信息泄露或拒绝服务。

受影响的版本包括Struts 2.0.0至2.3.37、2.5.0至2.5.33以及6.0.0至6.1.0。目前Apache官方已发布新版本修复该漏洞，建议用户及时确认产品版本并尽快更新。

西班牙能源公司Endesa

超2000万用户信息外泄

1月14日，西班牙最大的电力供应商Endesa披露发生重大数据泄露事件，其商业平台遭未授权访问，导致与客户能源合同相关的个人数据被非法获取。泄露信息可能包括用户身份信息、联系方式、国民身份证号、合同细节及银行账户号码，但密码未受影响。该公司已向监管机构通报，并启动应急措施。

尽管公司声称暂无证据表明数据被用于欺诈，但威胁攻击者已在网络犯罪论坛上宣称窃取了总量达1.05TB、涉及超2000万用户的独家数据库。Endesa提醒用户警惕钓鱼诈骗，并确认所有业务目前正常运行。

网络攻击导致比利时医院

服务器全关、手术取消、危重病人转移

比利时综合医院网络AZ Monica在1月14日遭遇严重网络攻击，为控制事态，院方主动关闭了安特卫普和德尔讷两个院区的所有服务器，导致所有预定手术被迫取消，非紧急门诊也被推迟。尽管急诊服务以有限容量维持，但医院已将7名危重病人安全转移，并呼吁公众前往其他机构寻求紧急护理。

此次攻击导致医护人员无法访问电子病历，严重依赖数字系统的医疗服务受到重大干扰。尽管攻击细节与勒索要求尚未被官方证实，但事件凸显了针对医疗机构的网络攻击可直接延误关键救治、危及患者生命，并对整个区域医疗系统造成额外压力。

国家安全部警示：

“老地图”引发新问题

国家安全部近期通报多起违规使用涉密地图案件，警示所谓“老地图”若未经法定解密程序，仍属国家秘密，不得公开或交易。案例包括他人在二手平台违规售卖标注“秘密”字样的旧版地图，以及研究员私自存贮并在网络传输涉密地图，涉案人均被依法追究责任。

使用涉密地图必须依法申请并严格限于获批范围，严禁复制、扫描或通过网络传播。国家安全部提醒公众，维护国家安全无“过期”之说，如发现可疑线索应及时通过12339等渠道举报。

乌克兰国防军遭遇新型社会工程攻击

1月15日，乌克兰计算机应急响应小组披露，乌军近期遭受一系列新型网络攻击，攻击者通过即时通讯软件伪装成慈善机构，诱骗目标下载经PyInstaller打包的恶意文件。该文件实为基于Python开发的PLUGGYAPE后门程序，可使攻击者远程控制受感染设备。此攻击被归因于与俄罗斯有关联的组织Void Blizzard。

攻击手法持续演变，最新变种采用MQTT协议通信并具备反分析能力。报告指出，攻击者正越来越多地使用本地号码、乌克兰语及对目标的深入了解来增强欺骗性。同一组织此前亦被指与荷兰警方数据泄露事件有关。

1800万Instagram用户信息遭泄露

引发“人肉搜索”现实威胁

安全机构Malwarebytes近日发现约1750万—1800万Instagram用户的敏感信息在暗网被售卖。泄露数据非同寻常，不仅包含用户名、电话、邮箱，更包括家庭地址。攻击者通过关联外部数据库将线上身份与线下住址匹配，使得该数据包被称为“人肉搜索工具包”。

此次泄露将数字隐私风险升级为现实人身安全威胁，可能导致跟踪、“恶意举报”及敲诈勒索。网红及商业账号是主要目标。用户应立即在官方App内重置密码、开启应用双因素认证，并检查移除可疑的第三方应用授权。

韩国大型教育集团大量客户数据或遭窃取

韩国最大的教育及生活用品企业之一教元集团宣布，因疑似遭受勒索软件攻击，主动关闭了内部网络关键系统。初步调查表明已有部分数据外泄，其中包括可能涉及大量儿童的敏感信息。

这是近期继Coupang、SK电信等事件后，韩国又一起重大数据泄露事件，反映出该国企业面临严峻的网络安全挑战。目前集团正与安全机构合作调查，并承诺若确认客户信息泄露将及时通知。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：威努特安全网络 《国家漏洞库通报Apache漏洞、西班牙能源巨头1TB数据泄露|一周特辑》