【資安日報】5月29日,Linux傳出新的本機權限提升漏洞CIFSwitch
原始來源:iThome(ID: 664) URL:https://www.ithome.com.tw/news/176217 發布日期:2026-05-29
摘要
iThome 每日資安日報,彙整 2026 年 5 月 29 日重要資安事件。
重大漏洞
Linux CIFSwitch 本機權限提升漏洞
- Linux核心CIFS模組未驗證金鑰描述來源
- 攻擊者可透過
request_key()提供假描述,讓root權限輔助工具在攻擊者namespace執行 - 可透過NSS模組載入惡意程式碼
Gogs 零時差 RCE(CVSS 9.4,尚未修補)
- Rapid7通報逾兩個月,開發團隊迄今未修補
- 無需管理員權限、無需使用者互動、可完全自動化
- 風險:入侵伺服器、跨租戶竊資、橫向移動、供應鏈攻擊
VS Code MCP安裝對話框漏洞 CVE-2026-41613
- Oasis Security揭露,微軟已修補
- 惡意內容可藏於未顯示組態項目,透過特製連結在開發者電腦執行指令
Veeam Backup & Replication 13.0.2
- 修補 CVE-2026-32996、CVE-2026-32997
- 影響:13.x 所有版本(13.0.1.2067以前)
Avada Builder(WordPress)
- 修補4項漏洞,含 CVE-2026-6279(CVSS 9.8)
- 影響超過100萬個WordPress網站
攻擊活動
- FortiClient EMS CVE-2026-35616:駭客散布EKZ Infostealer
- GlassWorm供應鏈蠕蟲:CrowdStrike + Google + Shadowserver聯手破壞
- PraisonAI CVE-2026-44338:漏洞公布後3小時44分即遭掃描
資料外洩
- Carnival:ShinyHunters竊取客戶資料
- Charter:Vishing攻擊,Salesforce資料外洩
- SpeedX:Azure Blob公開,曝露8.4億筆資料
安全更新
- Chrome 148:修補151個漏洞(22重大)
產業動態
- 印度CERT-In CISG-2026-02:CVSS 9.0+漏洞24小時修補;已遭利用核心資產12小時修補
- Google AI Threat Defense:整合Gemini、Wiz、Mandiant
- IBM/Red Hat Project Lightwell:AI輔助開源套件漏洞修補
- GitLab 19.0:SBOM相依性掃描
- Hadrian OpenHack:開源AI白箱滲透測試框架
- Anthropic Claude Managed Agents:自管沙箱與MCP隧道
- NIST PQC數位簽章:第三輪9款候選演算法
衍生頁面
- linux-lpe-2026-may — CIFSwitch Linux本機提權漏洞(更新)
- Gogs零時差漏洞參數注入RCE尚未修補CVSS 9.4 — Gogs RCE漏洞
- 微軟修補VS Code高風險漏洞攻擊者可藉MCP安裝對話框取得開發者電腦控制權 — VS Code MCP漏洞
- Veeam Backup Replication 13.0.2修補權限提升與任意檔案寫入重大漏洞 — Veeam修補
- Avada Builder外掛程式修補重大漏洞影響大量WordPress網站平臺 — Avada漏洞
- FortiClient EMS漏洞CVE-2026-35616遭利用散布EKZ Infostealer竊資軟體 — FortiClient攻擊
- CrowdStrike與Google聯手破壞軟體供應鏈蠕蟲GlassWorm基礎設施 — GlassWorm
- SpeedX電商物流資料庫曝光事件8.4億筆消費者與司機資料洩露 — SpeedX外洩
- 印度CERT-In要求企業12小時內完成漏洞修補因應AI加速網路攻擊 — CERT-In政策
- Google Cloud推出AI資安防禦平臺整合Gemini、Wiz與Mandiant處理漏洞風險排序與修補 — Google AI Threat Defense
- IBM與Red Hat推出Project Lightwell企業開源軟體供應鏈安全服務AI輔助第三方套件漏洞修補 — Project Lightwell
- GitLab安全更新修補25項漏洞含XSS與DoS重大漏洞2026 — GitLab 19.0
- Hadrian開源AI多代理人漏洞研究框架OpenHack白箱滲透測試 — Hadrian OpenHack
- PraisonAI高風險漏洞CVE-2026-44338公布後數小時遭駭客掃描 — PraisonAI漏洞