Aggregator

近期，一则名为“PolyShell”的高危新型漏洞被公开披露，该安全漏洞影响所有Magento开源版与Adobe Commerce 2系列稳定版电商系统，攻击者无需登录身份认证，即可远程执行恶意代码、窃取接管管理员账号权限。 

目前安全监测暂未捕获野外大规模实战挖矿勒索攻击，但Sansec紧急预警：完整漏洞攻击利用链已在地下黑产圈层流通扩散，自动化批量扫描爆破攻击或将很快全面爆发。 

Adobe官方虽已紧急推送安全修复补丁，但该补丁仅内嵌于2.4.9版本第二轮Alpha测试预览版，正式商用生产稳定版暂未迭代更新，全网大量在线运营商城仍处于高危未防护裸奔状态。

Sansec补充说明，Adobe同步提供简易Web服务器防护配置模板，可大幅限制漏洞攻击危害扩散范围，但绝大多数中小企业商城均直接沿用云主机服务商默认一键建站配置，无自定义加固能力。

据Sansec发布的分析报告表示：Magento电商平台REST API接口，在处理购物车商品自定义附加选项时，违规开放恶意文件上传高危权限。

安全研究员拆解攻击原理：“当商品自定义选项设定为‘文件上传’类型时，系统会默认解析内嵌file_info数据包，自动解码Base64加密恶意文件载荷、识别伪造MIME资源类型、读取伪装文件名，最终直接落地写入服务器 pub/media/custom_options/quote/公开可访问目录。”

本次高危漏洞命名“PolyShell”，核心特征为攻击者上传多格式兼容恶意文件，该文件既可伪装成常规图片绕过安全检测，又能解析执行后台恶意脚本后门。

漏洞实际危害严重依赖服务器Web环境配置，通杀两大高危攻击链：轻则实现远程代码执行（RCE）接管服务器权限，重则植入存储型XSS恶意脚本劫持管理员后台会话Cookie，一键窃取全站账号权限，Sansec抽样全网监测显示，绝大多数商城默认配置均暴露上传目录高危风险。 

在Adobe正式推送商用生产版安全补丁前，安全研究员建议商城运维管理员立即落地三大临时应急加固防护措施：

1. 严格限制封禁pub/media/custom_options/目录外网直接访问权限；

2. 深度核查Nginx/Apache核心防护规则，确认目录拦截策略永久生效；

3. 全盘深度扫描服务器目录，排查清除已上传恶意网页后门、木马挖矿程序及各类窃听恶意软件。

Here’s a look at the most interesting products from the past month, featuring releases from Beazley, Bonfy.AI, Mend.io, Mimecast, NinjaOne, Novee, Intel 471, Singulr AI, Stellar Cyber, Teleport, and Vicarius. Beazley Exposure Management platform identifies external exposures and prioritizes cyber risk Beazley Security has announced its Exposure Management product, which delivers continuous, automated discovery and intelligence-driven exposure notifications to help security teams accelerate risk mitigation in an era where AI-assisted attackers have compressed the time … More →

The post New infosec products of the month: March 2026 appeared first on Help Net Security.

嘶吼安全动态

【国内新闻】

中央网信办等三部门开展2026年个人信息保护系列专项行动，整治App/SDK违规采集

摘要：网信办、工信部、公安部联合开展，聚焦超范围收集、强制授权、未告知等问题，覆盖教育、金融、医疗等重点领域。

原文链接：https://baijiahao.baidu.com/s?id=1861388648052382912&wfr=spider&for=pc

公安部发现37款违法违规收集使用个人信息的移动应用

摘要：经公安部计算机信息系统安全产品质量监督检验中心检测，37款移动应用存在违法违规收集使用个人信息情况。

原文链接：https://baijiahao.baidu.com/s?id=1861323689080913683&wfr=spider&for=pc

国家药监局发布实施意见：打造“人工智能+药品监管”安全体系

摘要：意见明确，到2035年基本形成智慧化药品安全治理新格局。核心任务包括利用AI提升药品全生命周期监管效能，并建立AI模型在辅助审评审批过程中的算法透明度与安全审计机制。

原文链接：https://finance.sina.com.cn/jjxw/2026-04-03/doc-inhteccm7378238.shtml

【国外新闻】

乌克兰网安中心（CERT-UA）遭冒充，新型恶意软件AGEWHEEZE大规模传播

摘要：威胁组织UAC-0255正伪装成乌克兰官方网安机构发送钓鱼邮件，诱导受害者安装所谓的“安全工具”。实际安装的是名为AGEWHEEZE的新型木马。

原文链接：https://thehackernews.com/2026/04/cert-ua-impersonation-campaign-spread.html

间谍软件警报：意大利厂商被曝制作假冒WhatsApp监控特定用户

摘要：监测发现，意大利软件厂商SIO/Asigint开发了一款恶意版WhatsApp。该应用内置高精度间谍插件，可远程监听通话并读取端到端加密消息。

原文链接：https://securityaffairs.com/190276/malware/italian-spyware-vendor-creates-fake-whatsapp-app-targeting-200-users.html

Axios供应链攻击事件系朝鲜黑客组织所为

摘要：黑客针对每周下载量超1亿次、被大量嵌入前端框架、后端服务及企业应用中的HTTP客户端库axios发动了供应链攻击。谷歌威胁情报团队将此次攻击归因于朝鲜威胁组织UNC1069。

原文链接：https://therecord.media/google-links-axios-supply-chain-attack-north-korea

谷歌Chrome浏览器修复WebGPU零日漏洞（CVE-2026-5281）

摘要：Google官方发布稳定版更新。该漏洞存在于WebGPU图形渲染引擎中，攻击者可通过恶意网页诱导用户访问，从而在远程执行非法代码。

原文链接：https://ti.dbappsecurity.com.cn/info/14726

CISA将TrueConf客户端零日漏洞（CVE-2026-3502）列入在野利用名单

摘要：美国CISA证实TrueConf视频会议软件存在“未经验证下载代码”漏洞，且已被黑客用于实战。

原文链接：https://www.cisa.gov/news-events/alerts/2026/04/02/cisa-adds-one-known-exploited-vulnerability-catalog