1、jsPDF库高危注入漏洞可绕过沙盒限制影响广泛

https://github.com/ZeroXJacks/CVEs/blob/main/2026/CVE-2026-25755.md

研究人员披露jsPDF库存在高危漏洞CVE-2026-25755（CVSS评分8.1），攻击者可通过addJS方法进行PDF对象注入。漏洞源于未对用户输入进行转义，导致恶意代码可被直接拼接进PDF流结构中。该缺陷可绕过PDF JavaScript（AcroJS）的沙盒限制，可能在用户打开文档时触发未授权操作。鉴于jsPDF每周下载量达560万次、GitHub超3万星，影响范围极为庞大。

2、趋势科技修补Apex One产品中两个严重RCE漏洞

https://success.trendmicro.com/en-US/solution/KA-0022458

趋势科技修补了Apex One产品中的两个严重路径穿越漏洞（CVE-2025-71210、CVE-2025-71211），攻击者可借此在未打补丁的Windows系统上远程执行代码。问题影响管理控制台不同可执行组件。厂商已更新SaaS版本，并发布关键补丁14136，同时修复Windows代理中的高危权限提升漏洞及macOS代理相关缺陷。

3、GrayCharlie组织利用ClickFix攻击传播远控木马

https://www.recordedfuture.com/research/graycharlie-hijacks-law-firm-sites-suspected-supply-chain-attack

研究人员披露，黑客组织GrayCharlie通过向被攻陷的WordPress网站网页DOM对象注入恶意脚本，将访问者重定向至托管NetSupport RAT的恶意页面。攻击利用伪造浏览器更新或ClickFix提示诱导用户执行命令，从而下载并运行远程控制木马。

4、攻击者滥用WebDAV协议传播恶意软件

https://cofense.com/blog/abusing-windows-file-explorer-and-webdav-for-malware-delivery

研究人员在持续追踪攻击活动的过程中发现，攻击者滥用Windows文件资源管理器的功能，通过WebDAV协议来检索远程文件，从而诱导受害者下载恶意软件。由于大多数人并不了解这一功能，WebDAV成为了一种可利用的手段，让用户在不经过传统浏览器下载流程的情况下下载文件。研究人员早在2024年2月就观察到了这种恶意利用手段，相关攻击活动在2024年9月有所增加，并成为持续性的威胁。

5、荷兰电信运营商Odido遭遇数据泄露

https://cybersecuritynews.com/odido-data-breach/

荷兰知名电信运营商Odido遭受数据泄露的影响。在2026年2月的一次勒索尝试失败后，攻击者在网上公开了超过100万条客户记录。据信，ShinyHunters攻击组织是此次攻击的幕后黑手。该事件最初曝光时，攻击者先发布了第一批约100万条记录，其中包含31.7万个唯一的电子邮箱地址。此后攻击者又发布了第二批100万条记录，泄露了37.1万个唯一的电子邮箱地址。目前已证实，此次泄露共影响约68.81万个客户账户。

6、ManoMano发生数据泄露影响3800万用户

https://www.bleepingcomputer.com/news/security/european-dyi-chain-manomano-data-breach-impacts-38-million-customers/

家装DIY连锁平台ManoMano正式通知客户，攻击者入侵其一家第三方服务供应商导致发生大规模数据泄露。该公司证实，其在2026年1月获悉了此次攻击。初步调查显示，受影响人数高达3800万。一个昵称为“Indra”的人员在黑客论坛上宣称对ManoMano的攻击负责，声称其持有3780万个用户账户的详细信息，以及数千个客服工单和附件。ManoMano表示泄露的数据类型包括：姓名全称、电子邮箱地址、电话号码、客服沟通记录。此外，ManoMano强调账户密码未被访问，且公司系统内的任何数据均未被篡改。

7、OpenClaw曝ClawJacked漏洞可致AI Agent遭网站劫持

https://hackread.com/openclaw-vulnerability-openclaw-hijack-ai-agents/

OpenClaw因核心设计漏洞ClawJacked面临重大安全风险，攻击者可劫持AI代理窃密。24小时内发布补丁，但专家警告AI工具需强化身份验证，安全机制需与易用性同步发展。

8、美政府全面封杀Anthropic AI 五角大楼将Claude列为国家安全威胁

https://cybersecuritynews.com/trump-bans-anthropic-ai/

美国政府将Anthropic列为国家安全威胁，禁止联邦机构使用其AI模型Claude，争议焦点在于公司拒绝军方对自主武器和大规模监控的无限制使用要求，双方陷入法律对抗。

9、Vshell正成为威胁行为体替代Cobalt Strike的热门选择

https://www.freebuf.com/articles/es/471834.html

一款基于Go语言的命令控制（C2）框架Vshell正悄然扩大其影响力，该工具最初在华语攻防安全社区推广，如今日益受到寻求灵活、经济型商业工具替代方案的威胁行为体关注。这款工具已从早期的基础远程访问工具（RAT）发展成令全球企业防御者高度警惕的成熟威胁。

10、Gartner发布2026年网络安全重要趋势

https://www.freebuf.com/articles/es/471744.html

Gartner近期发布2026年网络安全重要趋势，直指当下网络安全的核心挑战——AI无序发展、地缘政治紧张、监管波动与威胁加剧，四大因素交织，倒逼重构安全战略。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。