1、攻击者正利用F5 BIG-IP系统漏洞进行网络攻击

https://cybersecuritynews.com/f5-big-ip-vulnerability-actively-exploited/

美国网络安全和基础设施安全局（CISA）已将新披露的F5 BIG-IP系统漏洞列入其“已知利用漏洞”目录中，并警告该漏洞正被积极用于现实世界的攻击。该漏洞被标识为CVE-2025-53521，于2026年3月27日正式列入名单。CVE-2025-53521被描述为F5 BIG-IP访问策略管理器中的一个未具体说明的漏洞，可能导致远程代码执行。

2、WordPress插件Smart Slider 3安全漏洞影响80万站点

https://www.bleepingcomputer.com/news/security/file-read-flaw-in-smart-slider-plugin-impacts-500k-wordpress-sites/

WordPress插件Smart Slider 3存在一个安全漏洞，该插件在超过80万个网站上处于活跃状态。攻击者可以利用该漏洞，使具有“订阅者”权限的普通用户也能访问服务器上的任意文件。该漏洞被标识为CVE-2026-3098，影响3.5.1.33及之前的所有版本。经过身份验证的攻击者可以利用此漏洞访问敏感文件，例如包含数据库凭据、密钥和盐数据的wp-config.php，从而可能导致用户数据被窃取和网站被完全控制。

3、劳埃德银行集团因IT故障泄露近45万客户数据

https://cybernews.com/security/lloyds-half-million-customers-data-banking-app-glitch/

劳埃德银行集团（Lloyds Banking Group）在本月早些时候的一次IT故障中，泄露了多达447936名客户的个人数据。英国议会财政委员会表示，该故障允许用户查看其他客户的交易记录，包括账户详情和国民保险号码。根据该委员会公布的劳埃德银行信函，银行已向3625名受到影响的客户支付了总计13.9万英镑的补偿金。目前尚无客户因此遭受经济损失。劳埃德银行表示，夜间更新期间的软件缺陷导致了此次泄露，受影响的包括劳埃德银行、哈利法克斯银行和苏格兰银行的客户。其中，有114182人点击了相关交易，从而看到了其他用户的个人信息。

4、APT组织利用DarkSword漏洞工具包针对iPhone用户发起钓鱼攻击

https://securityaffairs.com/190139/apt/russia-linked-apt-ta446-uses-darksword-exploit-to-target-iphone-users-in-phishing-wave.html

俄罗斯APT组织TA446利用DarkSword漏洞工具包对iOS设备发起钓鱼攻击，主要针对北约国家政府、智库等机构。攻击手法升级，首次涉及iCloud账户，显示其威胁能力扩大。该组织与俄联邦安全局关联，活动范围覆盖东欧等多地。

5、微软紧急发布WinRE和安装程序更新 应对安全启动证书到期危机

https://cybersecuritynews.com/microsoft-critical-winre-update/

微软发布KB5081494和KB5083482更新，增强Windows 11安装程序和恢复环境功能，同时警告安全启动证书2026年6月到期，敦促管理员及时更新以避免启动故障。

6、攻击者在数小时内利用Langflow关键RCE漏洞

https://www.csoonline.com/article/4151203/attackers-exploit-critical-langflow-rce-within-hours-as-cisa-sounds-alarm.html

Langflow关键RCE漏洞（CVE-2026-33017）在披露20小时内遭利用，攻击者无需凭证即可执行任意代码。CISA紧急警告，该漏洞影响1.8.2及以下版本，CVSS评分9.3。攻击者迅速窃取密钥，凸显AI工具安全风险，建议立即升级至v1.9.0并监控异常活动。

7、新型"Prompt Poaching"攻击通过恶意浏览器扩展窃取用户AI对话

https://cybersecuritynews.com/prompt-poaching-attack/

AI浏览器扩展提升便利性却引发"prompt poaching"攻击风险，恶意插件窃取敏感对话数据。攻击者通过克隆合法扩展或劫持主流工具传播，威胁企业信息安全。建议严格管理浏览器插件，使用官方客户端并定期审计。

8、攻击者正探测可泄露敏感数据的NetScaler漏洞

https://securityaffairs.com/190131/hacking/urgent-alert-netscaler-bug-cve-2026-3055-probed-by-attackers-could-leak-sensitive-data.html

Citrix NetScaler关键漏洞CVE-2026-3055（CVSS 9.3）可泄露敏感数据，攻击者正积极探测。仅影响SAML IDP配置系统，暂无在野利用，但补丁需立即安装以防攻击升级。

9、攻击者可通过恶意文件利用 Vim 漏洞执行任意命令

https://www.freebuf.com/articles/system/475531.html

开发者广泛使用的文本编辑器 Vim 近日曝出一个高危安全漏洞。该漏洞允许攻击者通过诱骗用户打开特制文件，直接执行任意操作系统命令。安全研究员 Hung Nguyen 发现，这一漏洞链揭示了应用程序处理嵌入式文件指令时存在的持续性风险。

10、Telegram被曝存在未修复0Day漏洞可接管设备，官方矢口否认

https://www.freebuf.com/news/475543.html

趋势科技旗下Zero Day Initiative（ZDI）平台研究员Michael DePlante（@izobashi）披露了Telegram的新漏洞（编号ZDI-CAN-30207，CVSS评分9.8）。该漏洞允许攻击者在无需用户交互的情况下，通过发送恶意动画贴纸即可在目标设备上执行代码。其危险性在于，Telegram自动处理媒体生成预览的功能存在缺陷，使得特制文件可触发代码执行。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。