2026-03-03 09:24:47 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周安全热点包括：RustFS管理控制台存在存储型XSS漏洞(CVE-2026-27822)，攻击者可上传伪装PDF的恶意HTML文件窃取管理员S3凭证；FortiGate防火墙遭AI辅助暴力攻击，全球超600台设备被入侵，攻击者利用生成式AI自动化攻击脚本；Zyxel多款路由器曝严重RCE漏洞(CVE-2026-29420)，无需认证即可执行任意代码；OpenClaw平台存在漏洞可被利用劫持AI代理并访问用户会话。国内方面，社会救助法草案二审稿加强个人隐私和信息保护，司法部发布涉网络与数据安全犯罪量刑标准等执法司法指引。 综合评分： 75 文章分类： 漏洞预警,威胁情报,AI安全,政策法规,网络安全

cover_image

安全热点周报 | 一周网络安全大事件盘点（2026/02/23-2026/02/27）

中成信息中成信息

中成信息

2026年3月2日 17:47 福建

PART 1

漏洞情报

RustFS 管理控制台存储型XSS致管理员账户接管漏洞

RustFS管理控制台存储型XSS漏洞（CVE-2026-27822）是由于文件预览功能未校验实际Content-Type导致的，攻击者可通过上传伪装成PDF的恶意HTML文件，在管理员预览时执行跨站脚本，窃取存储在localstorage中的S3凭证（accesskey、secretkey等）。

PART 2

安全事件

FortiGate防火墙遭AI辅助暴力攻击，全球逾600台设备被入侵

2月23日The Register消息，亚马逊网络安全团队披露，一场AI辅助的大规模攻击行动正针对全球范围内暴露管理端口和弱凭据配置的 FortiGate 防火墙发起攻击，导致至少 600 多台设备被攻破。攻击者还利用商用生成式 AI 工具自动化生成攻击脚本与计划，加速了整个入侵过程。被攻破的设备分布在超过 55 个国家，部分遭入侵的防火墙配置数据被提取并可能用于进一步的横向渗透或勒索准备。

原文链接：

https://www.theregister.com/2026/02/23/aws_fortigate_firewalls/

Zyxel多款路由器曝严重RCE漏洞

2月25日Bleeping Computer消息，网络设备厂商 Zyxel 发布安全警告称其多款路由器产品存在严重远程代码执行（RCE）漏洞（CVE‑2026‑29420），攻击者可在无需认证情况下构造恶意请求触发缺陷，从而在受影响设备上执行任意代码或命令，进而可能全面控制路由器及其网络流量。受影响型号包含多个家用与小型企业路由器固件版本，官方已发布补丁并建议用户尽快升级，同时可通过关闭远程管理功能、限制WAN访问等措施临时缓解风险。

原文链接：

https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-rce-flaw-affecting-over-a-dozen-routers/

OpenClaw 漏洞可被利用劫持AI代理并访问用户会话

2月27日HackRead消息，安全研究人员披露人工智能平台 OpenClaw 存在严重漏洞，攻击者可利用缺陷劫持 AI 代理执行未授权指令并访问用户会话数据。OpenClaw 官方已发布安全更新以修复该问题，并建议用户立即升级至最新版以防止潜在攻击。

原文链接：

ClawJacked Vulnerability in OpenClaw Could Let Websites Hijack AI Agents

PART 3

时事热点

社会救助法草案二审稿加强个人隐私和个人信息保护

2月25日新华社消息，司法部会同最高法等部门发布一批法律法规解释和执法司法指引，旨在规范公正执法与司法实践、强化法治保障。其中包括完善涉网络与数据安全犯罪量刑标准、明确侦查与取证程序适用界限，以及加强对公民基本权利保护的司法监督机制等内容，意在推动法律适应新技术、新业态带来的现实问题，提升法治在社会治理中的权威与效能。该系列解释和指引的发布有助于统一法律适用尺度、提高审判质量，并为实现高质量法治实践提供制度支撑。

原文链接：

https://www.news.cn/legal/20260225/be7d69d7b6744518a1546ad740cd8b4f/c.html

关于我们

漳州中成信息科技有限公司是一家专注于网络安全实战防护的创新型服务提供商。我们深刻理解网络安全的核心在于攻防对抗的持续较量，并以此独特视角为基石，致力于为客户构建动态、主动、智能化的纵深防御体系。区别于传统的被动防御，我们坚信“未知攻，焉知防”。公司汇聚了顶尖的渗透测试专家（红队）、应急处置精英（蓝队）及经验丰富的安全服务工程师，形成了一支具备完整攻防对抗能力的专业团队。我们的渗透测试团队模拟真实攻击者的思维与手段，深入挖掘系统、应用及网络中的深层次漏洞与风险点；应急处置团队则能在安全事件发生时快速响应、精准定位、有效遏制损失并溯源根因；安服工程师团队则致力于将攻防对抗中获得的宝贵经验转化为常态化的安全策略、加固措施与运营流程。

点击名片

关注我们

扫描官网二维码

了解更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中成信息中成信息中成信息《安全热点周报 | 一周网络安全大事件盘点（2026/02/23-2026/02/27）》