每日安全简讯(20260618)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 供应链攻击向WordPress插件植入恶意脚本

WordPress插件OptinMonster、TrustPulse和PushEngage在一次供应链攻击中遭到入侵，影响相关内容分发网络。已披露信息显示，OptinMonster至少有120万个网站正在使用。攻击期间，恶意JavaScript代码通过CDN提供给相关产品用户，其中OptinMonster和TrustPulse在周五UTC时间22:17至22:42期间受影响，PushEngage持续至周六19:02。恶意脚本仅在WordPress管理员访问受感染网站页面时触发，会收集身份验证令牌和随机数，并利用这些数据创建恶意管理员账户。攻击者随后安装自隐藏后门插件，并与仿冒域名通信，相关插件提供WebShell和任意PHP代码执行能力。

https://optinmonster.com/security-incident-tampered-script-served-via-optinmonster-and-trustpulse/

---

2 SiribClone攻击组织伪装女性身份监视俄罗斯士兵

研究人员披露，此前未被记录的SiribClone网络间谍组织至少自2025年夏季以来，试图入侵俄罗斯军方人员的智能手机、电脑和Telegram账户。已披露信息显示，该组织主要针对驻扎在边境地区和战区的俄罗斯武装部队成员，并通过冒充寻求恋爱关系的女性或提供人道主义援助的志愿者，在Telegram和其他即时通讯平台上与目标对话。攻击者诱导受害者下载恶意应用，或在伪造网站上输入Telegram凭据。行动中使用Android间谍软件SafeLoveStealer、桌面恶意软件SiribGrabber以及名为Kontur的内部管理平台，目标是收集设备数据并持续访问Telegram通信。

https://www.f6.ru/blog/siribclone/

---

3 LangGraph漏洞组合影响自托管AI代理部署

安全研究人员披露影响LangGraph的三个已修复漏洞，其中部分漏洞可串联形成远程代码执行链。LangGraph是用于构建复杂、有状态和多智能体AI代理应用的开源框架。已披露信息显示，CVE-2025-67644为SQLite检查点实现中的SQL注入漏洞，攻击者可通过元数据过滤器键操纵SQL查询；CVE-2026-28277为不安全msgpack反序列化漏洞，在攻击者可修改检查点数据时可触发对象重建；CVE-2026-27022为Redis检查点组件中的RediSearch查询注入漏洞，可用于绕过访问控制。相关漏洞链影响使用SQLite或Redis检查点且具有用户可控过滤器输入的自托管部署。

https://research.checkpoint.com/2026/from-sqli-to-rce-exploiting-langgraphs-checkpointer/

---

4 CheckPoint VPN零日攻击与Qilin勒索团伙有关

Check Point发布安全更新，修复影响远程访问VPN和移动访问部署的严重漏洞CVE-2026-50751。已披露信息显示，未经身份验证的远程攻击者可利用该漏洞绕过移动访问/SSL VPN、远程访问VPN或Spark防火墙的身份验证，并建立远程访问VPN连接。该漏洞仅影响配置为使用已弃用IKEv1密钥交换协议的部署，以及接受旧式远程访问客户端且连接不需要机器证书的安全网关。攻击活动始于5月7日，6月初达到高峰，目前影响全球几十个组织，其中至少一起事件涉及与Qilin勒索软件行动有关的入侵后活动。

https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/

---

5 Apple Intelligence将支持自动更改泄露密码

苹果在2026年WWDC上宣布，内置密码应用和Safari浏览器将引入由Apple Intelligence支持的密码安全功能，可自动修复弱密码和已泄露密码。已披露信息显示，现有Safari和密码应用可标记弱密码、重复密码或已泄露密码，但不会自动完成修复。新功能随iOS 27的密码应用和Safari推出后，可将符合条件的账户自动更新为强密码。苹果称相关能力由下一代基础模型支持，可在设备端运行，也可通过私有云计算处理部分请求，并表示私有云计算不会存储用户个人数据，也不会让苹果或其他人访问相关数据。

https://www.bleepingcomputer.com/news/apple/new-apple-feature-automatically-changes-your-compromised-passwords/

---

6 Ivanti Sentry漏洞可导致Root权限代码执行

官方发布补丁修复Ivanti Sentry安全移动网关中的两个严重漏洞。CVE-2026-10520属于最高严重级别漏洞，源于操作系统命令注入问题，远程攻击者可利用该漏洞以root权限执行代码。另一项漏洞CVE-2026-10523为严重身份验证绕过漏洞，未经身份验证的远程攻击者可创建恶意管理员账户并获得完全管理权限。已披露信息显示，Ivanti发布的Sentry R10.5.2、R10.6.2和R10.7.1版本修复了相关问题。官方称，截至披露时尚未发现客户遭受损害，也没有已知公开利用案例。

https://nvd.nist.gov/vuln/detail/CVE-2026-10520

---