每日安全简讯(20260610)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《“可蠕虫化”的标签不应被“图腾化”——RCE漏洞的理解与防御思考》报告

安天对“Wormable”可蠕虫化进行了语义溯源，并以微软2026年披露的CVE-2026-33827、CVE-2026-41089两个典型高危RCE漏洞为正反对照样本，对蠕虫转化条件进行了分析。本文回溯分析了本世纪初蠕虫泛滥传播的历史成因和几次回潮，提出了将“蠕虫”扩散作为一种主视角是通讯时代落后安全观的观点。报告指出了”Wormable”评估建模中忽视环境前置约束、利用转化率及攻击者主观决策的问题，提出按照蠕虫化利用、僵尸网络扩展、定向攻击、内部利用四种非互斥的利用模式的预测方法，结合公共监管与企业防御场景差异，为防范高危RCE漏洞提供建议参考。

https://mp.weixin.qq.com/s/FrHKVhbKTUPmgHB6xjhkXw

---

2 证券交易所高管Outlook账户遭持续网络攻击

安全研究人员披露，一名黑客组织在约五个月时间内持续访问某全球主要证券交易所高级管理人员的Outlook账户。已披露信息显示，该活动从2025年10月持续至2026年3月，约150天内攻击者悄悄窃取邮箱中的电子邮件。研究人员未披露涉事交易所名称，也未将攻击归因于已知组织。报告指出，高管邮箱可能包含外部谈判、内部讨论、日程安排、联系人、旅行计划以及与市场事件相关的非公开信息。恶意活动最早迹象出现在2025年10月10日，当时两个伪装成常见办公软件进程的恶意二进制文件已在主机上运行，并具备系统级权限。核心工具被用于将邮箱数据转换为归档并分批传输。

https://www.security.com/blog-post/stock-exchange-espionage

---

3 VSCode零日漏洞可通过单次点击窃取GitHub令牌

安全研究人员公开了Visual Studio Code零日漏洞利用代码，该漏洞可通过诱导用户点击链接来窃取GitHub身份验证令牌。已披露信息显示，该漏洞利用VS Code沙盒webview消息传递系统，在GitHub OAuth令牌传递给github.dev时窃取令牌。概念验证代码会在webview中运行恶意JavaScript，模拟主编辑器按键操作，并安装扩展程序以提取发送到github.dev的令牌。该令牌可用于查询API并枚举受害者可访问的私有存储库。研究人员称，该问题尚未修复，也尚未分配CVE编号，相关方已确认问题并表示正在处理。

https://blog.ammaraskar.com/github-token-stealing/

---

4 Mirasvit Cache Warmer漏洞被列入已知利用目录

美国网络安全机构CISA将影响Mirasvit Cache Warmer的漏洞CVE-2026-45247加入已知利用漏洞目录。已披露信息显示，该漏洞CVSS评分为9.8，属于反序列化不受信任数据问题，影响1.11.12之前的所有扩展版本。未经身份验证的攻击者可在CacheWarmer cookie中提供特制序列化PHP对象，从而在受影响服务器上执行任意PHP代码。研究人员称，漏洞可通过任何携带特制CacheWarmer cookie的店铺请求利用，该cookie值的一部分会通过PHP原生unserialize()函数处理，无需身份验证或管理员权限。后续攻击活动主要针对游戏和商业网站，美国、英国、法国和澳大利亚受影响较多。

https://sansec.io/research/mirasvit-cache-warmer-object-injection

---

5 OpenStack Mistral策略绕过漏洞影响工作流环境

安全公告披露，OpenStack Mistral工作流服务存在策略绕过漏洞CVE-2026-41283，CVSS评分接近9.9。已披露信息显示，多个Mistral API端点未强制执行访问策略，允许任何已认证用户创建公共资源，并上传可在Mistral执行器工作进程上运行的任意代码。该漏洞源于内部访问控制不足，普通租户可借此触发代码执行。报告指出，成功利用后，攻击者可从工作进程中提取敏感数据，包括服务凭证。相关问题影响云工作流执行环境，并涉及后端执行器任务。官方已发布针对Epoxy、Flamingo和Gazpacho版本分支的更新。

https://security.openstack.org/ossa/OSSA-2026-020.html

---

6 IBM WebSphere多个漏洞可实现代码执行与身份伪造

IBM发布安全公告，披露WebSphere中多个高危漏洞。已披露信息显示，CVE-2026-9311为安全控制绕过漏洞，CVSS评分为9.0，可被用于远程代码注入攻击。CVE-2026-9330影响SAML处理组件，涉及意外数据反序列化；CVE-2026-9319影响JAX-WS消息传递端点，同样引入序列化风险。相关数据流接受未经验证输入，可能允许攻击者传递恶意载荷。此外，CVE-2026-8644为身份欺骗漏洞，CVSS评分为9.1，允许不受信任的网络攻击者伪造用户身份。公告称，这些漏洞影响传统平台版本9.0和8.5，相关临时修复程序已发布。

https://securityonline.info/ibm-websphere-execution-flaws-patches/

---