文章总结： 本周安全热点周报披露多个高危漏洞在野利用情况，包括OraclePeopleSoft零日漏洞(CVE-2026-35273)被ShinyHunters团伙用于数据窃取攻击，LinuxKernel权限提升漏洞(CVE-2026-46331)可稳定获取root权限，以及Cisco、LiteSpeed、Jenkins等产品的关键漏洞。同时通报银狐木马犯罪案例、携程数据出境罚款等安全事件，并发布零信任能力成熟度模型等5项国家标准征求意见稿。建议用户及时更新补丁并加强安全防护。 综合评分： 87 文章分类： 漏洞分析,威胁情报,应急响应,政策法规,数据安全

安全热点周报：Oracle 缓解了 PeopleSoft 零日漏洞在数据窃取攻击中的利用

奇安信 CERT

2026年6月18日 17:50 北京

在小说阅读器读本章

去阅读

| 安全资讯导视 | | — | | • 国家网信办等六部门印发《金融信息服务数据分类分级指南》 | | • 公安部公布5起打击制作传播“银狐”木马病毒典型案例 | | • 泄露全国超七成民众个人信息，韩国电商巨头被罚近28亿元 |

PART01

漏洞情报

1.Linux Kernel net/sched act_pedit本地权限提升漏洞安全风险通告

6月17日，奇安信CERT监测到官方修复Linux Kernel net/sched act_pedit本地权限提升漏洞(CVE-2026-46331)，该漏洞源于tcf_pedit_act()函数在处理数据包编辑操作时，函数仅在循环外基于tcfp_off_max_hint一次性计算skb写时复制COW范围，该提示值未考虑运行时类型密钥追加的报文头部偏移，导致部分待写入内存区域未执行COW拷贝。攻击者可通过非特权用户命名空间配合CAP_NET_ADMIN权限，构造恶意tc流量规则，触发未COW的共享只读页缓存写入篡改；无需内核竞态条件，可稳定篡改setuid-root二进制文件的页缓存，不会持久写入磁盘，仅内存层面生效。成功利用后本地普通用户可直接获取系统root最高权限，从而实现完全控制服务器。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Splunk Enterprise未授权文件操作漏洞安全风险通告

6月16日，奇安信CERT监测到官方修复Splunk Enterprise 未授权文件操作漏洞(CVE-2026-20253)，该漏洞源于 PostgreSQL Sidecar Service 端点 （特别是 /v1/postgres/recovery/backup 和 /v1/postgres/recovery/restore）缺少身份认证控制。攻击者可利用该漏洞，通过构造包含路径遍历序列的 backupFile 参数实现任意文件创建与截断，进一步通过 PostgreSQL 连接字符串注入控制 pg_dump/pg_restore 的数据库连接目标，结合 passfile 参数读取本地 .pgpass 凭据文件，最终实现远程代码执行，完全控制目标服务器。奇安信鹰图资产测绘平台数据显示，该漏洞关联的全球风险资产总数为30661个，关联IP总数为23296个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART02

新增在野利用

1.Cisco Catalyst SD-WAN Manager 任意文件写入漏洞(CVE-2026-20262)

6月16日，思科发布了安全更新，以解决 Catalyst SD-WAN 管理器中的一个漏洞（编号为CVE-2026-20262），该漏洞已被攻击者利用来提升至 root 权限。

该网络管理软件以前称为 SD-WAN vManage，它允许管理员从单个控制面板管理多达6,000个 SD-WAN 设备。现已修复的零日安全漏洞会影响所有部署类型，无论设备配置如何，包括本地部署、Cisco SD-WAN Cloud-Pro、Cisco SD-WAN Cloud（Cisco Managed）和 Cisco SD-WAN for Government（FedRAMP）。

思科表示，该问题源于文件上传过程中对用户提供的输入验证不足，这可能导致低权限远程攻击者通过向受影响的 API 端点发送精心构造的 HTTP 请求，以 root 身份执行任意命令。思科表示，其产品安全事件响应团队 (PSIRT) 在本月初发现了 CVE-2026-20262 漏洞，并“强烈建议”客户修补其系统。

虽然该公司没有透露这些攻击的任何细节，但它分享了入侵指标 (IOC)，警告管理员检查其 SD-WAN vmanage-server、vmanage-appserver 和 serviceproxy-access 日志，以查找上传 index.jsp 和 .war 文件的尝试。

建议受影响客户立即更新，思科已在所有受影响的版本中发布了修复版本，包括 20.9.9.2、20.12.7.2、20.15.4.5、20.15.5.3、20.18.3.1 和 26.1.1.2。有关完整版本详情和完整指标列表，请阅读思科官方安全公告。

参考链接：

https://www.bleepingcomputer.com/news/security/cisco-fixes-sd-wan-vmanage-flaw-exploited-in-zero-day-attacks/

2.LiteSpeed cPanel 插件权限提升漏洞(CVE-2026-54420)

6月16日，LiteSpeed cPanel 的一个权限提升漏洞正被恶意利用。该漏洞编号为 CVE-2026-54420，它允许低权限用户获得共享主机服务器上的完全 root 权限。由于攻击已经开始，管理员必须尽快修复漏洞。

该漏洞存在于 LiteSpeed cPanel 插件 2.4.8 版本之前的版本中，已于2026年5月被实际利用。该插件错误地处理了在运行 CloudLinux/CageFS 的共享主机服务器上具有 FTP 或 web shell 访问权限的用户提供的符号链接。这意味着任何权限受限的租户都可以突破其权限边界。因此，他们可以获取 root 权限并控制整个服务器。该漏洞在 CVSS 评分中高达 8.5 分，Namecheap 团队已将其上报。

LiteSpeed 的安全公告明确指出，此漏洞正被积极利用，对 2.4.8 版本之前的所有用户端插件版本构成风险。由于共享服务器将多个账户托管在一台服务器上，因此单个被攻破的用户账户就可能危及所有托管站点。所以，LiteSpeed cPanel 权限提升漏洞对主机提供商来说尤其危险。防御者可以追踪攻击的特征，因为它会同时调用两个证书端点，并从单个 IP 地址一次性发起7到10次攻击。

建议受影响用户立即升级 LiteSpeed cPanel 插件至 v2.4.8（与 WHM 插件 v5.3.2.1 捆绑在一起），如果暂时无法升级，请先移除用户端插件作为临时解决方案。最后，扫描 cPanel 日志，查找可疑活动，并将任何匹配项视为可能的入侵事件。

参考链接：

LiteSpeed cPanel Privilege Escalation Flaw Exploited in the Wild (CVE-2026-54420)

3.Jenkins 远程代码执行漏洞(CVE-2026-53435)

6月15日，攻击者已经开始利用 Jenkins 的一个严重远程代码执行漏洞。该漏洞编号为 CVE-2026-53435，允许攻击者在 Jenkins 控制器上运行任意代码。更糟糕的是，蜜罐已经捕获到了正在发生的攻击。

该漏洞存在于 Jenkins 处理提交的 config.xml 文件的方式中。具体来说，服务器会从该提交文件中反序列化攻击者可控的类型。因此，攻击者可以随后劫持请求流程。攻击者可以冒充任何用户，并以他们的名义发送 HTTP 请求。此外，他们还可以访问脚本控制台，执行代码或从控制器读取敏感文件。该漏洞的 CVSS 评分为 8.8。

这并非理论上的风险。威胁情报公司 Defused 报告称，其蜜罐在漏洞披露后的数小时内就开始记录攻击尝试。

由于 Jenkins 是许多 CI/CD 流水线的核心，因此任何一个环节的漏洞都可能对整个软件供应链造成连锁反应。所以，暴露的控制器就成了极具价值的攻击目标。

目前受影响的版本为 Jenkins 2.567 及更早版本，以及 LTS 2.555.2 及更早版本。因此，使用这些版本的所有团队都应立即升级到已修复的版本。如果无法立即更新，请限制对控制器的网络访问。此外，请审核用户帐户和脚本控制台，检查是否存在滥用迹象。攻击者目前正在利用此 Jenkins 远程代码执行漏洞，因此请尽快修复。

参考链接：

Jenkins RCE Vulnerability CVE-2026-53435 Now Under Active Exploitation

4.Oracle PeopleSoft Enterprise PeopleTools 远程代码执行漏洞(CVE-2026-35273)

6月13日，Oracle 警告称，PeopleSoft Suite 存在一个严重的零日漏洞，编号为 CVE-2026-35273，该漏洞允许未经身份验证的远程代码执行，并且 ShinyHunters 勒索团伙正在积极利用该漏洞进行数据窃取攻击。

该漏洞存在于 Oracle PeopleSoft PeopleTools 中，其 CVSS 基本评分为 9.8。此漏洞无需身份验证即可远程利用。如果成功利用，此漏洞可能导致远程代码执行。

Oracle PeopleSoft 成为一系列数据盗窃攻击的目标，攻击者留下了据称来自 ShinyHunters 勒索团伙的勒索信。ShinyHunters 是一个臭名昭著的威胁组织，他们经常入侵云端 SaaS 实例、CRM 系统以及托管大量企业数据的企业平台。一旦获得访问权限，他们就会下载数据并索要赎金，以防止数据泄露。ShinyHunters 声称使用由旧漏洞和零日漏洞组成的“工具链”来入侵 PeopleSoft 实例，利用此漏洞从100多个组织的300个实例中窃取了数据。

Mandiant 发布了一份报告，证实威胁行为者利用 Oracle PeopleSoft CVE-2026-35273 漏洞作为零日漏洞，主要针对教育行业的组织。在发现有活跃的扫描和利用行为后，他们立即向100多个全球组织发出通知，这些组织的 IP 地址与潜在的易受攻击的端点相关联。这些组织大多位于美国，其中 68% 的组织在高等教育领域运营。Mandiant 的报告还分享了有关攻击的更多技术细节，称威胁行为者利用暴露的暂存服务器托管 HTTP 服务，并利用自定义的 MeshCentral 远程管理代理与伪装成 Microsoft Azure 服务的攻击者控制的基础设施进行通信。

研究人员表示，威胁行为者对被入侵的实例进行了侦察，绘制了 PeopleSoft 和 WebLogic 配置图，并使用脚本通过窃取或硬编码的凭据在内部系统中横向移动。

Oracle 已确认该零日漏洞影响 PeopleSoft Enterprise PeopleTools 8.61 和 8.62 版本，并已发布紧急缓解措施来解决该漏洞，建议受影响客户尽快采取措施。

参考链接：

https://www.bleepingcomputer.com/news/security/oracle-mitigates-peoplesoft-zero-day-exploited-in-data-theft-attacks/

PART03

安全事件

1.公安部公布5起打击制作传播“银狐”木马病毒典型案例

6月16日公安部网安局消息，近期，新型“银狐”木马病毒在网络空间出现，该类“银狐”木马病毒伪装性强，专门针对企事业单位工作人员，特别是财务人员实施精准攻击，可实现远程控制计算机、窃取账号密码、拦截短信验证码、盗取私密数据等违法操作，严重侵害群众财产安全、扰乱正常网络秩序。公安机关网安部门主动出击，成功侦破系列“银狐”木马网络犯罪案件，包括吉林、浙江杭州两地公安侦破两个制作“银狐”木马病毒的犯罪团队，山东、广东、浙江嘉兴三地公安抓获三个传播投放“银狐”木马病毒的犯罪团队。这5起案例的涉案金额至少1300余万元，有力震慑了此类新型涉网违法犯罪嚣张气焰。

原文链接：

https://www.secrss.com/articles/91332

2.违法出境个人信息，携程被网信办罚款1000万元

6月13日网信上海消息，在国家网信办指导下，上海市网信办近期针对属地部分企业网络数据安全主体责任履行不到位、安全管理防护措施缺失、后端处理数据合规能力不足、数据出境合规审计不严等问题办理了一批执法案件。其中，针对上海携程商务有限公司未落实数据出境安全评估要求、违法出境个人信息等行为，依据《个人信息保护法》，予以罚款1000万元的行政处罚，并责令企业限期改正。企业受处罚后积极配合，全面落实有关整改要求。

原文链接：

https://www.secrss.com/articles/91257

3.破产不免责！基因检测龙头因数据泄露赔偿超3亿元，中国用户有望获赔

6月13日The Record消息，美国密苏里州一家破产法院批准了一项集体诉讼赔偿协议，基因检测明星公司23andMe 2023年数据泄露事件中的近700万名受害者，将有机会获得4680万美元（约合人民币3.16亿元）赔偿基金中的大部分赔偿。只需要在2023年5月1日至10月1日期间是23andMe的用户且居住在美国，就有资格申请。此前泄露的数百万用户数据中，据称有30万华裔用户，如果符合资格且申请了就能获得此次赔偿。2025年3月，23andMe申请破产并清算了其大部分资产。据悉，原告曾寻求更高金额的赔偿，法院当时认为，在“公司财务状况极其严峻的情况下”，3000万美元的破产申请前和解金额是“适当的”。

原文链接：

https://www.secrss.com/articles/91321

4.泄露全国超七成民众个人信息，韩国电商巨头被罚近28亿元

6月11日韩联社消息，韩国个人信息保护委员会（PIPC）对电商公司Coupang Corp.处以6247亿韩元（约合人民币27.86亿元）罚款。此前Coupang在2025年发生大规模数据泄露事件，影响了超3700万用户。PIPC针对此次数据泄露事件处以4236亿韩元罚款，因未经授权收集用户在线活动记录及其他违规行为，追加罚款2011亿韩元。这是该监管机构迄今为止对单一企业开出的最高金额罚款。PIPC负责人Song Kyung-hee表示，调查发现，此次事件攻击手段并不复杂，主要源于Coupang防护存在多项不足。

原文链接：

https://www.secrss.com/articles/91249

PART04

政策法规

1.《网络安全技术 零信任能力成熟度模型及评价方法》等5项国家标准公开征求意见

6月17日，全国网络安全标准化技术委员会归口的5项国家标准现已形成标准征求意见稿，现公开征求意见。5项标准具体包括《网络安全技术 零信任能力成熟度模型及评价方法》《网络安全技术 关键信息基础设施安全检测评估方法》《数据安全技术 自动化工具收集网络数据技术要求》《数据安全技术 个人信息安全规范》《网络安全技术 人工智能技术涉及未成年人应用安全指南》。

原文链接：

https://www.secrss.com/articles/91394

2.住房城乡建设部等发布《关于全面建立房屋建筑统一代码制度的通知》

6月17日，住房城乡建设部、国家数据局联合发布《关于全面建立房屋建筑统一代码制度的通知》。该文件共六章12项重点事项。该文件要求，有效提升代码数据管理水平，建立基于统一代码的数据治理机制。开展相关网络环境安全、数据安全、应用系统安全、运行管理与监控等安全管控措施建设，重点加强数据安全保护，完善数据加密、脱敏机制和安全访问策略。

原文链接：

https://www.secrss.com/articles/91435

3.欧洲议会通过《AI法案》修正案：延期合规、封禁AI脱衣工具

6月16日，欧洲议会投票表决通过了欧盟《人工智能法案》修正案。作为欧盟数字综合简化一揽子法案的组成部分，此次修法旨在为企业减负，同时强化对AI色情工具的监管。修正案的多项关键合规时限均向后调整。高风险AI系统的合规期限分为两档：独立运作的系统自2027年12月2日起执行；作为安全组件嵌入且已有行业安全法规覆盖的系统，宽限期进一步延长至2028年8月2日。AI生成内容的水印标注义务则推迟至2026年12月2日生效。修正案还明确禁止了AI脱衣工具及儿童色情生成工具，并清理了针对机械设备领域AI安全的重复监管，只需遵守行业安全法规即可。

原文链接：

https://www.secrss.com/articles/91383

4.国家网信办等六部门印发《金融信息服务数据分类分级指南》

6月13日，国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局联合印发《金融信息服务数据分类分级指南》。该文件适用于境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作，不适用于涉及国家秘密的数据和军事数据。在数据分类方面，指南按照金融信息服务数据的业务属性进行分类，其中一级分类为业务数据、用户数据和企业数据3类，在此基础上进一步细分二级分类9类、三级分类67类。在分级方面，指南根据金融信息服务数据在经济社会发展中的重要程度和敏感程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为四级，分别为核心数据、重要数据、敏感一般数据、常规一般数据。

原文链接：

https://www.secrss.com/articles/91267

5.特朗普签发第12号国家安全备忘录，为最敏感系统筑牢网络安全防线

6月12日，美国总统特朗普签署第12号国家安全总统备忘录《针对国家安全系统的网络安全国家政策》，提出要为所有国家安全系统构建一个积极主动、适应性强且具有韧性的网络安全生态系统，以加强国家安全系统的网络安全，并使国家安全系统治理现代化，从而应对2026年及以后的网络挑战。该文件指示重新设立国家安全系统委员会，旨在加强美国国防部、情报界及联邦民事行政部门机构之间的问责与协调，以在所有国家安全系统上落实必要的网络防御措施，并要求将第14306号行政命令应用于国家安全系统，核心聚焦于云安全配置和非密通信能力两大领域，以促进联邦民事行政部门机构、国防部以及情报界之间，建立全政府范围的安全的商业云服务、非密语音和视频通信能力。

原文链接：

https://www.secrss.com/articles/91324

往期精彩推荐

【已复现】Linux Kernel net/sched act_pedit 本地权限提升漏洞(CVE-2026-46331)安全风险通告

2026上半年你需要关注的高危漏洞合集！

【已复现】Splunk Enterprise 未授权文件操作漏洞(CVE-2026-20253)安全风险通告

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《安全热点周报：Oracle 缓解了 PeopleSoft 零日漏洞在数据窃取攻击中的利用》