【資安日報】5月21日
來源: iThome | ID: 511 | 日期: 2026-05-21
URL: https://www.ithome.com.tw/news/176020
重大漏洞與攻擊鏈
Chaotic Eclipse 零時差漏洞攻擊鏈
- 研究員 Chaotic Eclipse 公布5個零時差漏洞,LevelBlue警告可串成完整攻擊鏈
- 已有現成概念,見 Chaotic Eclipse五個零時差漏洞串成完整Windows攻擊鏈
BitLocker YellowKey CVE-2026-45585
供應鏈攻擊(Mini Shai-Hulud 擴大)
- GitHub:約3,800個內部儲存庫遭未授權存取,TeamPCP聲稱竊得約4,000個,底價$50,000
- Grafana Labs:TanStack事故波及,token未輪換,內部資訊外洩
CISA機密資料外洩
- GitHub儲存庫
Private-CISA不慎設為公開,洩露844 MB機密 - 含AWS GovCloud帳號及CISA內部系統憑證,已暴露約半年
其他重要漏洞
| 產品 | CVE | CVSS | 影響 |
|---|---|---|---|
| Drupal Core (PostgreSQL) | CVE-2026-9082 | Highly Critical | SQL注入、RCE |
| Pentaho Data Integration | CVE-2025-11159 | 9.1 | RCE |
| SandboxJS < 0.9.6 | CVE-2026-43898 | 10.0 | 沙箱逃逸 |
| GitLab CE/EE (25項) | CVE-2026-7481等 | 8.7 | XSS、DoS |
華為路由器零時差漏洞
- 已有概念頁面,見 華為路由器零時差漏洞致盧森堡全國通訊中斷2025
企業與政策動態
- 微軟停用SMS驗證,改推Passkey → 微軟個人帳號停用SMS驗證強制推行Passkey無密碼登入
- 微軟Windows Server 2025開放熱修補(Hotpatch)
- 建德工業資訊系統疑遭網路攻擊
- Meta平臺詐騙台灣84.31%
- Gartner預測2026年AI支出2.6兆美元 → Gartner 2026年全球AI支出預測達2.6兆美元
- 數發部AI人才認定指引3.0
衍生頁面
- Mini Shai-Hulud供應鏈攻擊GitHub三千八百個儲存庫追加外洩細節與TeamPCP兜售情報 — TeamPCP GitHub資料兜售
- github — 受影響平台(更新)
- levelblue — 資安公司(更新)