1、证券交易所高管Outlook账户遭持续网络攻击

https://www.security.com/blog-post/stock-exchange-espionage

安全研究人员披露，一名黑客组织在约五个月时间内持续访问某全球主要证券交易所高级管理人员的Outlook账户。已披露信息显示，该活动从2025年10月持续至2026年3月，约150天内攻击者悄悄窃取邮箱中的电子邮件。研究人员未披露涉事交易所名称，也未将攻击归因于已知组织。报告指出，高管邮箱可能包含外部谈判、内部讨论、日程安排、联系人、旅行计划以及与市场事件相关的非公开信息。恶意活动最早迹象出现在2025年10月10日，当时两个伪装成常见办公软件进程的恶意二进制文件已在主机上运行，并具备系统级权限。核心工具被用于将邮箱数据转换为归档并分批传输。

2、VSCode零日漏洞可通过单次点击窃取GitHub令牌

https://blog.ammaraskar.com/github-token-stealing/

安全研究人员公开了Visual Studio Code零日漏洞利用代码，该漏洞可通过诱导用户点击链接来窃取GitHub身份验证令牌。已披露信息显示，该漏洞利用VS Code沙盒webview消息传递系统，在GitHub OAuth令牌传递给github.dev时窃取令牌。概念验证代码会在webview中运行恶意JavaScript，模拟主编辑器按键操作，并安装扩展程序以提取发送到github.dev的令牌。该令牌可用于查询API并枚举受害者可访问的私有存储库。研究人员称，该问题尚未修复，也尚未分配CVE编号，相关方已确认问题并表示正在处理。

3、Mirasvit Cache Warmer漏洞被列入已知利用目录

https://sansec.io/research/mirasvit-cache-warmer-object-injection

美国网络安全机构CISA将影响Mirasvit Cache Warmer的漏洞CVE-2026-45247加入已知利用漏洞目录。已披露信息显示，该漏洞CVSS评分为9.8，属于反序列化不受信任数据问题，影响1.11.12之前的所有扩展版本。未经身份验证的攻击者可在CacheWarmer cookie中提供特制序列化PHP对象，从而在受影响服务器上执行任意PHP代码。研究人员称，漏洞可通过任何携带特制CacheWarmer cookie的店铺请求利用，该cookie值的一部分会通过PHP原生unserialize()函数处理，无需身份验证或管理员权限。后续攻击活动主要针对游戏和商业网站，美国、英国、法国和澳大利亚受影响较多。

4、OpenStack Mistral策略绕过漏洞影响工作流环境

https://security.openstack.org/ossa/OSSA-2026-020.html

安全公告披露，OpenStack Mistral工作流服务存在策略绕过漏洞CVE-2026-41283，CVSS评分接近9.9。已披露信息显示，多个Mistral API端点未强制执行访问策略，允许任何已认证用户创建公共资源，并上传可在Mistral执行器工作进程上运行的任意代码。该漏洞源于内部访问控制不足，普通租户可借此触发代码执行。报告指出，成功利用后，攻击者可从工作进程中提取敏感数据，包括服务凭证。相关问题影响云工作流执行环境，并涉及后端执行器任务。官方已发布针对Epoxy、Flamingo和Gazpacho版本分支的更新。

5、IBM WebSphere多个漏洞可实现代码执行与身份伪造

https://securityonline.info/ibm-websphere-execution-flaws-patches/

IBM发布安全公告，披露WebSphere中多个高危漏洞。已披露信息显示，CVE-2026-9311为安全控制绕过漏洞，CVSS评分为9.0，可被用于远程代码注入攻击。CVE-2026-9330影响SAML处理组件，涉及意外数据反序列化；CVE-2026-9319影响JAX-WS消息传递端点，同样引入序列化风险。相关数据流接受未经验证输入，可能允许攻击者传递恶意载荷。此外，CVE-2026-8644为身份欺骗漏洞，CVSS评分为9.1，允许不受信任的网络攻击者伪造用户身份。公告称，这些漏洞影响传统平台版本9.0和8.5，相关临时修复程序已发布。

6、Spring框架安全高危：企业级Java部署面临多重威胁

https://www.freebuf.com/articles/es/485270.html

负责Java云生态系统的企业开发团队发布了关键软件更新。此次更新修复了影响多个核心组件的Spring框架高危安全漏洞，这些软件缺陷可能导致企业架构面临未经授权的资源窃取或服务崩溃风险。由于未打补丁的应用程序存在严重身份验证缺陷，开发团队必须立即采取修补措施。更新相关依赖项可确保企业环境获得完整的安全防护。

7、LiteLLM漏洞遭野外利用，可链式触发未授权远程代码执行

https://www.freebuf.com/articles/ai-security/485197.html

美国网络安全和基础设施安全局（CISA）本周一将影响BerriAI LiteLLM的高危漏洞列入已知被利用漏洞（KEV）目录，指出该漏洞已存在活跃利用证据。该漏洞编号为CVE-2026-42271（CVSS评分：8.7），属于命令注入漏洞，可使任何认证用户在主机上执行任意命令。受影响版本包括：LiteLLM Python包≥1.74.2或<1.83.7版本。

8、Instagram漏洞曝光扎克伯格及其他用户联系方式

https://www.freebuf.com/articles/database/485060.html

2026年6月6日，Instagram突发安全漏洞，导致包括Meta首席执行官马克·扎克伯格在内的多位知名用户隐私数据遭短暂泄露。该漏洞存在于Instagram网站密码重置功能中，致使受影响用户的个人电话号码和电子邮箱地址暴露。

9、VMware 多个存储型 XSS 漏洞允许攻击者注入恶意脚本

https://www.freebuf.com/articles/web/485064.html

博通公司披露了三个影响 VMware Cloud Foundation Operations 及相关产品的存储型跨站脚本（XSS）漏洞（CVE-2026-41722、CVE-2026-41723 和 CVE-2026-41724）。这些漏洞已在 2026 年 6 月 8 日发布的安全公告 VMSA-2026-0004 中得到修复。经认证的攻击者可利用这些漏洞注入恶意脚本，在环境中执行管理操作。

10、工信部指导规范APP信息窗口跳转行为

https://www.secrss.com/articles/91131

随着“618”各类电子商务促销活动不断增多，部分APP在开屏和弹出的信息窗口中，采用违规方式诱导用户点击，或通过高灵敏度“摇一摇”等方式误导触发跳转。对此，工业和信息化部信息通信管理局及时组织召开专题会议，指导督促相关互联网平台和智能终端企业，强化APP信息窗口呈现方式的规范管理，严禁违规呈现信息窗口。

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。