2026-03-27 13:23:52 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周网络安全热点事件盘点：披露了NginxUI信息泄露、Budibase平台未授权访问等高危漏洞；发现黑客入侵WordPress网站利用假验证码传播恶意软件，以及利用畸形ZIP文件绕过安全检测的新型攻击技术；此外，我国下达16项网络安全国家标准制定计划，并发布了防范OpenClaw开源智能体安全风险的建议。 综合评分： 85 文章分类： 安全大事件,漏洞预警,恶意软件,解决方案,政策法规

cover_image

安全热点周报 | 一周网络安全大事件盘点（2026/03/09-2026/03/13）

中成信息中成信息

中成信息

2026年3月21日 17:42 新加坡

PART 1

漏洞情报

Nginx UI信息泄露漏洞

Nginx UI信息泄露漏洞（CVE-2026-27944）是Nginx UI管理工具中一个高危漏洞，CVSS评分9.8，允许攻击者在未认证的情况下通过/api/backup接口下载服务器完整备份文件，并在响应头中获取AES-256加密密钥直接解密，从而暴露用户凭证、SSL私钥等敏感数据。

Budibase 平台未授权访问漏洞

Budibase平台未授权访问漏洞（CVE-2026-31816）是该低代码开发平台中高危认证绕过漏洞，CVSS评分9.1。漏洞源于服务端中间件将Webhook路径正则表达式错误匹配到URL查询参数，攻击者通过在API请求末尾添加特定字符串即可绕过所有身份验证和权限校验。

PART 2

安全事件

黑客入侵WordPress网站并利用假验证码传播信息窃取恶意软件

3月10日The Register消息，安全公司Rapid7披露，一项大规模攻击活动正通过入侵合法 WordPress 网站传播信息窃取恶意软件。攻击者在被攻陷的网站中植入恶意代码，当用户访问页面时会看到伪装成 Cloudflare 验证的假验证码提示，并诱导用户复制并运行系统命令，从而触发恶意程序下载。

原文链接：

https://www.theregister.com/2026/03/10/crooks_hijack_wordpress_sites/

HPE修复Aruba AOS-CX关键漏洞，可被远程重置管理员密码

3月10日BleepingComputer消息，惠普企业（HPE）发布安全更新，修复其 Aruba Networking AOS-CX网络操作系统中的多项安全漏洞，其中最严重的是身份验证绕过漏洞 CVE-2026-23813。AOS-CX系统广泛部署于企业园区和数据中心交换设备，一旦被利用可能导致网络设备被接管并进一步影响企业网络安全。

原文链接：

https://www.bleepingcomputer.com/news/security/hpe-warns-of-critical-aos-cx-flaw-allowing-admin-password-resets/

格式错误的 ZIP 文件被用于绕过杀毒与EDR检测传播恶意载荷

3月10日CyberPress消息，安全研究人员发现一种利用畸形ZIP（Malformed ZIP）文件绕过安全检测的新型攻击技术。攻击者通过篡改ZIP文件头部的压缩方式和元数据字段，使杀毒软件和终端检测响应（EDR）系统在解析归档文件时出现错误，从而无法正确解压并扫描其中内容，导致隐藏的恶意载荷被安全工具忽略并顺利进入系统。

原文链接：

Malformed ZIP Files Allow Attackers to Bypass Antivirus and EDR Detection

微软SQL Server零日漏洞可被远程利用实现权限提升

3月11日CyberPress消息，安全研究人员披露 Microsoft SQL Server存在一项零日漏洞（CVE-2026-21262），该漏洞源于数据库系统中的访问控制机制缺陷，攻击者可利用该问题在网络环境中提升权限，从而突破安全限制并获取更高系统权限。攻击过程无需用户交互且攻击复杂度较低，一旦攻击者已在网络内部获得初始访问权限，便可借此进一步控制数据库环境。

原文链接：

Zero-Day in Microsoft SQL Server Allows Attackers to Escalate Privileges

PART 3

时事热点

我国下达16项网络安全推荐性国家标准制定计划

3月11日全国网络安全标准化技术委员会消息，国家标准化管理委员会近日下达16项网络安全推荐性国家标准计划，相关标准由全国网络安全标准化技术委员会归口管理，涉及《数据安全技术数据提供、委托处理、共同处理实施指南》《网络安全技术网络安全预警指南》等多个重点领域。通知要求各项目工作组制定推进计划，组织牵头单位加快标准研制进度，并在制定过程中广泛征求意见，确保标准质量与水平，按期完成国家标准制修订任务，以进一步完善我国网络安全与数据安全标准体系。

原文链接：

https://www.tc260.org.cn/portal/article/2/4e8836ae89174f91b20a3f0f259c4804?sessionid=

工信部紧急发布：破解龙虾智能体风险六要六不要筑牢防护指南

3月11日工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）发布《关于防范OpenClaw（“龙虾”）开源智能体安全风险的“六要六不要”建议》，指出在智能办公、开发运维、个人助手及金融交易等典型应用场景中，OpenClaw等开源智能体可能引发供应链攻击、企业内网渗透、敏感信息泄露及账户被接管等安全风险。对此，平台提出应使用官方最新版本、严格控制互联网暴露面、坚持最小权限原则、谨慎使用技能插件、防范社会工程攻击并建立长效防护机制，同时提醒用户避免使用第三方镜像版本、暴露服务端口或安装来源不明的插件，以降低智能体部署和应用过程中的网络安全风险。

原文链接：

https://www.nvdb.org.cn/publicAnnouncement/2031684972835299329

关于我们

漳州中成信息科技有限公司是一家专注于网络安全实战防护的创新型服务提供商。我们深刻理解网络安全的核心在于攻防对抗的持续较量，并以此独特视角为基石，致力于为客户构建动态、主动、智能化的纵深防御体系。区别于传统的被动防御，我们坚信“未知攻，焉知防”。公司汇聚了顶尖的渗透测试专家（红队）、应急处置精英（蓝队）及经验丰富的安全服务工程师，形成了一支具备完整攻防对抗能力的专业团队。我们的渗透测试团队模拟真实攻击者的思维与手段，深入挖掘系统、应用及网络中的深层次漏洞与风险点；应急处置团队则能在安全事件发生时快速响应、精准定位、有效遏制损失并溯源根因；安服工程师团队则致力于将攻防对抗中获得的宝贵经验转化为常态化的安全策略、加固措施与运营流程。

点击名片

关注我们

扫描官网二维码

了解更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中成信息中成信息中成信息《安全热点周报 | 一周网络安全大事件盘点（2026/03/09-2026/03/13）》