【資安日報】5月29日,Linux傳出新的本機權限提升漏洞CIFSwitch

原始來源:iThome(ID: 664) URL:https://www.ithome.com.tw/news/176217 發布日期:2026-05-29

摘要

iThome 每日資安日報,彙整 2026 年 5 月 29 日重要資安事件。

重大漏洞

Linux CIFSwitch 本機權限提升漏洞

  • Linux核心CIFS模組未驗證金鑰描述來源
  • 攻擊者可透過request_key()提供假描述,讓root權限輔助工具在攻擊者namespace執行
  • 可透過NSS模組載入惡意程式碼

Gogs 零時差 RCE(CVSS 9.4,尚未修補)

  • Rapid7通報逾兩個月,開發團隊迄今未修補
  • 無需管理員權限、無需使用者互動、可完全自動化
  • 風險:入侵伺服器、跨租戶竊資、橫向移動、供應鏈攻擊

VS Code MCP安裝對話框漏洞 CVE-2026-41613

  • Oasis Security揭露,微軟已修補
  • 惡意內容可藏於未顯示組態項目,透過特製連結在開發者電腦執行指令

Veeam Backup & Replication 13.0.2

  • 修補 CVE-2026-32996、CVE-2026-32997
  • 影響:13.x 所有版本(13.0.1.2067以前)

Avada Builder(WordPress)

  • 修補4項漏洞,含 CVE-2026-6279(CVSS 9.8)
  • 影響超過100萬個WordPress網站

攻擊活動

  • FortiClient EMS CVE-2026-35616:駭客散布EKZ Infostealer
  • GlassWorm供應鏈蠕蟲:CrowdStrike + Google + Shadowserver聯手破壞
  • PraisonAI CVE-2026-44338:漏洞公布後3小時44分即遭掃描

資料外洩

  • Carnival:ShinyHunters竊取客戶資料
  • Charter:Vishing攻擊,Salesforce資料外洩
  • SpeedX:Azure Blob公開,曝露8.4億筆資料

安全更新

  • Chrome 148:修補151個漏洞(22重大)

產業動態

  • 印度CERT-In CISG-2026-02:CVSS 9.0+漏洞24小時修補;已遭利用核心資產12小時修補
  • Google AI Threat Defense:整合Gemini、Wiz、Mandiant
  • IBM/Red Hat Project Lightwell:AI輔助開源套件漏洞修補
  • GitLab 19.0:SBOM相依性掃描
  • Hadrian OpenHack:開源AI白箱滲透測試框架
  • Anthropic Claude Managed Agents:自管沙箱與MCP隧道
  • NIST PQC數位簽章:第三輪9款候選演算法

衍生頁面