文章总结： 本文汇总了近期高危安全漏洞，涵盖WebLogicRCE、微软Office零日漏洞、Chrome及OpenSSL高危漏洞，以及PHPUnit和FoxitReader风险。同时提及GoogleGemini日历提示注入事件。部分漏洞已在野利用，建议尽快更新补丁，防范代码执行与数据泄露风险。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,应用安全,AI安全

每日安全动态推送(26/1/30)

原创

admin admin

腾讯玄武实验室

2026年1月30日 15:22 北京

•  漏洞预警| CVE-2026-21962 Weblogic RCE漏洞 | CN-SEC 中文网 https://cn-sec.com/archives/4954374.html

本文详细分析了 Oracle WebLogic 代理插件中的一个高危未认证 RCE 漏洞（CVE-2026-21962），揭示了攻击者如何通过恶意 HTTP 头部和路径穿越技术实现对服务器的 root 权限控制。其最大亮点在于漏洞利用简单、无需用户交互，且影响广泛，是当前企业级中间件安全的重要警示。

•  微软Office零日漏洞CVE-2026-21509遭攻击 https://sectoday.tencent.com/event/874MCZwBnYhVxRrjUhU6

微软近日发布紧急补丁，修复了一个正在被积极利用的Office零日漏洞CVE-2026-21509。该漏洞允许攻击者通过诱导用户打开恶意Office文档，绕过内置的OLE安全缓解机制，从而执行任意代码。该漏洞已被确认用于定向攻击，攻击者主要通过鱼叉式钓鱼邮件分发恶意文件。微软已为受影响的Office版本发布补丁，CISA也已将该漏洞纳入其已知被利用漏洞（KEV）目录，并设定了修复期限。部分旧版Office无法通过常规更新获得修复，0patch组织为此开发了微补丁以缓解风险。该漏洞影响广泛，组织被强烈建议立即更新或采取临时缓解措施。

•  Chrome Background Fetch API 高危漏洞修复 https://sectoday.tencent.com/event/v5sMCZwB5M25NX6PJepn

谷歌发布了 Chrome 浏览器的安全更新，修复了 Background Fetch API 中的高危漏洞 CVE-2026-1504。该漏洞由安全研究员 Luan Herrera 报告，可能被攻击者用于绕过安全边界或操控后台获取操作。为防止漏洞被滥用，谷歌暂未公开完整细节，直到大多数用户完成更新。最新版本 Chrome 144.0.7559.109/110 已发布，建议用户尽快更新以确保安全。

•  OpenSSL CMS远程代码执行漏洞（CVE-2025-15467） https://sectoday.tencent.com/event/1gwMCZwBVJfJhgnJPvnl

OpenSSL 在处理 CMS AuthEnvelopedData 结构中使用 AEAD 密码（如 AES-GCM）时，由于未正确验证 IV 长度，导致堆栈缓冲区溢出，从而引发远程代码执行漏洞（CVE-2025-15467）。该漏洞存在于 OpenSSL 3.0 到 3.6 的版本中，攻击者无需有效凭证或加密密钥即可利用。已有野外利用证据，补丁已在 3.0.19 及更高版本中发布。建议用户立即升级以防止潜在攻击。

•  CVE-2026-24765：PHPUnit 不安全反序列化漏洞威胁 CI/CD 流水线安全 https://securityonline.info/cve-2026-24765-phpunit-vulnerability-exposes-ci-cd-pipelines-to-rce/

本文深入分析了PHPUnit测试框架中一个高危反序列化漏洞（CVE-2026-24765），揭示了测试流程本身可能成为攻击载体的技术细节，强调了CI/CD环境中配置安全的重要性，是理解现代软件供应链安全风险的关键读物。

•  CVE-2025-58085：通过 CPDF_FormField 在 Foxit Reader 条形码计算中引发的 UAF 漏洞 https://hackyboiz.github.io/2026/01/28/ogu123/cve-2025-58085/

本文深入分析了 Foxit Reader 中与条形码对象处理相关的 UAF 漏洞（CVE-2025-58085），并提供了完整的利用链分析，包括 JavaScript 代码触发流程与内存调试细节。文章展示了漏洞如何导致任意读写，进而可能实现远程代码执行，对 PDF 阅读器安全开发具有重要参考价值。

•  Google Gemini日历提示注入漏洞事件 https://sectoday.tencent.com/event/vzq12psB0FV8xFN76odv

安全研究人员发现Google Gemini人工智能助手存在一个严重的提示注入漏洞，攻击者可通过在Google Calendar会议邀请的描述字段中嵌入恶意指令，绕过隐私控制并操控Gemini执行数据泄露操作。当用户向Gemini询问日程信息时，嵌入的指令会被触发，导致敏感会议信息（如标题、参与者、地点等）被汇总并公开，从而实现数据泄露。该漏洞未涉及系统入侵或密码泄露，而是利用了Gemini对日历内容的信任。此事件揭示了AI系统在语义层面可能面临的新型攻击方式，标志着应用安全从基于语法的防御向基于语义的攻击转变。Google已对该漏洞进行修复，但该事件引发了对AI集成系统安全策略的广泛讨论。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin admin《每日安全动态推送(26/1/30)》