每日安全简讯(20260627)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 GitBait钓鱼活动借GitHub攻击墨西哥银行用户

安全研究人员披露，名为GitBait的长期钓鱼活动利用GitHub Pages和SheetBest API攻击墨西哥金融行业，已影响至少12家机构，并持续约3年。已披露信息显示，攻击者在GitHub Pages上托管克隆的银行登录页面，每个页面模仿一家真实墨西哥银行门户。受害者可能通过短信、即时通讯应用、电子邮件或社交媒体中的欺诈链接进入仿冒页面。用户输入个人信息后，页面脚本拦截表单内容，并通过SheetBest API将被盗数据实时写入攻击者控制的Google Sheets。攻击页面还包含链接预览元数据，使URL在聊天应用中显示可信银行标识，并设置noindex标签降低搜索引擎发现概率。

https://www.group-ib.com/blog/gitbait-phishing-mexico-banking-finance/

---

2 AI平台DifyTap安全漏洞可导致跨租户数据访问

安全研究人员披露，开源AI平台Dify中存在四个漏洞，被统称为DifyTap，可导致跨租户数据、文档和AI对话暴露。Dify被用于在多个行业运行超过100万个应用。已披露信息显示，CVE-2026-41947存在于跟踪系统中，攻击者可为其以客户端身份访问的应用配置追踪机制，从而为应用中发送的消息和响应创建持久数据泄露通道。CVE-2026-41948存在于插件守护程序中，可通过GET和POST方法访问任意内部端点。CVE-2026-41949和CVE-2026-41950涉及文件访问控制缺陷，可导致控制台用户预览其他租户文档，或将他人文件UUID附加到聊天消息中并诱导支持文件功能的聊天机器人复述内容。

https://www.zafran.io/resources/difytap-zafran-discovers-how-attackers-can-silently-wiretap-ai-data-across-tenants-on-a-platform-powering-1m-apps

---

3 AVer PTC摄像头严重漏洞可导致远程代码执行

美国网络安全机构CISA发布工业控制系统安全公告，披露AVer PTC摄像头存在严重漏洞CVE-2026-40624。已披露信息显示，该漏洞CVSS评分为9.8，影响PTC500S、PTC115、PTC500+和PTC115+等型号的所有固件版本。问题源于输入验证不当，并被映射到CWE-552，即文件暴露给外部方。远程未经身份验证攻击者可向摄像头Web管理界面发送特制请求，导致摄像头运行攻击者提供的代码。相关摄像头常用于政府机构、医疗机构和商业设施，并可能与会议基础设施位于同一网络环境中。公开信息显示，厂商已发布固件修复程序，当前未发现有效利用方法被公开。

https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-01

---

4 F5紧急修复NGINX两个严重代码执行漏洞

F5发布紧急安全更新，修复多个NGINX Web服务器漏洞，其中包括两个严重漏洞CVE-2026-42530和CVE-2026-42055。已披露信息显示，CVE-2026-42530存在于ngx_http_v3_module中，CVE-2026-42055存在于ngx_http_proxy_v2_module和ngx_http_grpc_module中，未经身份验证的远程攻击者可利用这些漏洞，对采用非默认配置的NGINX系统发起拒绝服务攻击或执行代码。成功利用会导致NGINX工作进程中出现释放后使用或基于堆的缓冲区溢出，并触发进程重启。在禁用ASLR或攻击者可绕过ASLR的系统上，相关问题还可能导致代码执行。修复覆盖NGINX Plus、NGINX Open Source、NGINX Gateway Fabric和NGINX Instance Manager等产品。

https://www.bleepingcomputer.com/news/security/f5-issues-out-of-band-patches-for-critical-nginx-vulnerabilities/

---

5 Klue OAuth漏洞攻击扩大至多家Salesforce客户

市场情报平台Klue确认发生安全事件，攻击者窃取用于连接客户Salesforce环境的OAuth令牌，多个已连接客户环境中的数据遭访问。已披露信息显示，Klue于6月12日发现部分集成基础设施出现未经授权活动，调查认为攻击者通过与集成服务相关的被盗旧版凭证获得访问权限，并利用该访问权限获取连接第三方平台的OAuth令牌。Klue称目前没有证据表明直接存储在Klue平台中的客户内容受到影响，事件限于第三方集成。Icarus勒索组织已公开声称对事件负责。受影响或披露受影响的组织包括Huntress、Recorded Future、Tanium、Jamf、Sprout Social、Gong和Insurity等。

https://klue.com/blog/an-update-on-recent-klue-security-incident

---

6 CISA警告Fortinet用户加强FortiBleed设备安全

美国网络安全机构警告Fortinet用户保护设备安全，此前FortiBleed数据泄露事件暴露近74000个防火墙和VPN凭据。已披露信息显示，攻击者利用被盗凭证攻击全球政府和私营部门组织中可通过互联网访问的Fortinet设备。泄露数据涉及约73932个防火墙URL，包含用户名、电子邮件地址和明文密码，并覆盖21632个独立域和194个国家或地区。相关组织包括三星、梅赛德斯-奔驰、富士康、雪佛龙、康卡斯特、AT&T和丰田等，以及电信、医疗保健、金融服务、制造业和政府机构等领域实体。配置数据来源尚不明确。

https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure

---