2026-06-23 05:10:55 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周网络安全热点涉及漏洞、事件与政策三方面。漏洞情报包括SplunkEnterprise未授权文件操作漏洞和Linux内核本地提权漏洞；安全事件涵盖InfiniteCampus教育数据泄露、MackaySugar勒索攻击及德州政府300万人信息泄露；政策方面发布首批网络安全标识产品目录和《网络数据安全风险评估办法》。建议及时修补漏洞、加强供应链安全管理和关注新规实施。 综合评分： 75 文章分类： 漏洞预警,数据安全,政策法规,威胁情报,供应链安全

cover_image

安全热点周报 | 一周网络安全大事件盘点（2026/06/15-2026/06/19）

中成信息中成信息

中成信息

2026年6月22日 15:52 福建

在小说阅读器读本章

去阅读

PART 1

漏洞情报

Splunk Enterprise未授权文件操作漏洞(CVE-2026-20253)

Splunk Enterprise未授权文件操作漏洞（CVE-2026-20253）是Splunk产品中存在高危安全漏洞，源于PostgreSQL Sidecar Service端点缺乏身份验证控制。攻击者无需任何凭据即可远程创建或截断服务器上的任意文件，导致系统文件破坏、服务中断或数据泄露。

Linux Kernel net/sched act_pedit 本地权限提升漏洞(CVE-2026-46331)

Linux Kernel net/sched act_pedit本地权限提升漏洞（CVE-2026-46331）是Linux内核网络子系统中的高危漏洞，允许低权限用户通过构造恶意流量控制规则直接获取root权限。攻击者可利用用户命名空间和cap_net_admin权限修改页缓存内容，覆盖SUID程序代码实现提权。官方已发布修复补丁（commit 899ee91），建议立即升级内核版本。

PART 2

安全事件

Infinite Campus数据泄露事件曝光，13.7万名学校员工信息遭泄露

6月15日，多家安全媒体披露，美国K-12教育信息系统服务商 Infinite Campus 遭遇数据泄露事件。攻击者入侵其 Salesforce 环境后，窃取并泄露约13.7万个账户的数据。泄露信息包括姓名、电子邮件地址、电话号码、实际住址、用户名及技术支持工单等内容，主要涉及学校教职员工信息。勒索组织 ShinyHunters 宣称对此次攻击负责，并公开了约1.2GB被盗数据。Infinite Campus 表示，攻击仅影响 Salesforce 实例，未发现学生信息数据库遭到访问或破坏。该公司为全美3200多个学区、约1100万名学生提供服务，此次事件再次凸显教育行业SaaS平台和第三方服务面临的供应链安全风险。

原文链接：

Infinite Campus Breach Leaks Personal Information of 137,000 Users

The Gentlemen勒索软件组织认领Mackay Sugar攻击事件，澳大利亚糖业供应链持续受影响

6月18日The Record消息，澳大利亚第二大食糖生产商 Mackay Sugar 遭遇的网络攻击事件已被勒索软件组织“The Gentlemen”认领。该组织在暗网泄密网站上发布受害者信息，声称对攻击负责，但截至目前尚未公开泄露数据。Mackay Sugar表示正在核实攻击者的声明，并持续开展系统恢复和取证调查。安全研究人员指出，The Gentlemen是一个活跃的勒索软件即服务（RaaS）组织，以数据窃取和文件加密双重勒索手段闻名，近年来针对关键基础设施和制造业目标发起多起攻击。

原文链接：

https://therecord.media/mackay-sugar-cyberattack-claimed-gentlemen

德州政府数据泄露事件波及超300万人，驾照和护照信息遭窃取

6月19日BleepingComputer消息，美国德州公园与野生动物管理局（TPWD）披露，其许可证管理系统供应商遭黑客入侵，导致超过300万名居民的个人信息被泄露。受影响数据包括驾驶证号码、护照号码、姓名、联系方式及家庭住址等信息，涉及狩猎和钓鱼许可证申请用户。官方表示，社会安全号码、出生日期及支付卡信息未受到影响。调查显示，此次事件源于第三方供应商系统被攻破，属于典型供应链数据泄露事件。

原文链接：

https://www.bleepingcomputer.com/news/security/texas-govt-data-breach-exposes-over-3-million-drivers-licenses/

PART 3

时事热点

三部门发布首批网络安全标识产品目录，消费类网联摄像头纳入管理范围

6月15日，国家互联网信息办公室、工业和信息化部、公安部联合印发《实施网络安全标识的产品目录（第一批）》及相关实施规则。根据《网络安全标识管理办法》，首批纳入网络安全标识管理的产品正式明确，并同步发布配套实施规则。其中，消费类网联摄像头被纳入首批实施范围。全国网络安全标准化技术委员会（TC260）同时发布《网络安全标识消费类网联摄像头安全要求》（TC260-PG-20265A），作为相关产品实施网络安全标识的重要技术依据。该举措旨在推动网络产品安全能力提升，增强消费者对联网产品网络安全水平的识别能力，进一步完善网络安全治理体系。

原文链接：

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2026/art_560972d39feb447e9187b9ee11b0654e.html

公安部公布5起“银狐”木马病毒典型案例，持续严打网络黑灰产犯罪

6月17日，公安部网安局公布5起打击“银狐”木马病毒网络犯罪典型案例。近期，“银狐”木马病毒通过仿冒办公软件、电子文档、业务系统等方式传播，诱导用户下载安装恶意程序，进而窃取账号密码、控制受害设备、盗取资金或实施电信网络诈骗。针对相关违法犯罪活动，公安机关网安部门主动开展专项打击行动，成功侦破多起“银狐”木马病毒案件，抓获一批犯罪嫌疑人，打掉多个木马制作、传播和黑产团伙。公安部表示，将持续加大对木马病毒、网络黑灰产及电信网络诈骗等违法犯罪活动的打击力度，维护网络空间安全和人民群众合法权益。

原文链接：

https://www.mps.gov.cn/n2254098/n4904352/c10496199/content.html

三部门发布《网络数据安全风险评估办法》，8月20日起正式施行

6月18日，国家互联网信息办公室、工业和信息化部、公安部联合发布《网络数据安全风险评估办法》，自2026年8月20日起施行。办法明确建立网络数据安全风险评估专项工作机制，要求重要数据处理者每年至少开展一次网络数据安全风险评估，重要数据安全状态发生重大变化时应及时补充评估；鼓励一般数据处理者至少每3年开展一次风险评估。办法还规范了评估机构管理、风险评估报告编制与报送、监督检查及整改要求，并明确对未按规定开展风险评估或存在重大数据安全风险的网络数据处理活动依法采取监管措施。该办法旨在落实《数据安全法》《网络数据安全管理条例》等要求，完善数据安全治理体系，以数据安全保障数据开发利用和产业发展。

原文链接：

https://www.cac.gov.cn/2026-06/18/c_1783525609778371.htm

关于我们

漳州中成信息科技有限公司是一家专注于网络安全实战防护的创新型服务提供商。我们深刻理解网络安全的核心在于攻防对抗的持续较量，并以此独特视角为基石，致力于为客户构建动态、主动、智能化的纵深防御体系。区别于传统的被动防御，我们坚信“未知攻，焉知防”。公司汇聚了顶尖的渗透测试专家（红队）、应急处置精英（蓝队）及经验丰富的安全服务工程师，形成了一支具备完整攻防对抗能力的专业团队。我们的渗透测试团队模拟真实攻击者的思维与手段，深入挖掘系统、应用及网络中的深层次漏洞与风险点；应急处置团队则能在安全事件发生时快速响应、精准定位、有效遏制损失并溯源根因；安服工程师团队则致力于将攻防对抗中获得的宝贵经验转化为常态化的安全策略、加固措施与运营流程。

点击名片

关注我们

扫描官网二维码

了解更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中成信息中成信息中成信息《安全热点周报 | 一周网络安全大事件盘点（2026/06/15-2026/06/19）》