1、俄联邦安全局称外国间谍在官员手机植入恶意软件

https://securityaffairs.com/193076/security/russias-fsb-says-foreign-spies-infected-officials-phones-with-malware.html

俄罗斯联邦安全局声称，外国情报机构在俄罗斯高级官员移动设备上植入恶意软件，用于窃取数据、拦截通话，并秘密激活麦克风和摄像头。已披露信息显示，该机构于2026年6月2日发布声明，称已发现并记录一起大规模外国情报行动，目标是高级官员的移动通信设备。该机构表示已根据非法访问计算机信息和创建、使用、传播恶意软件相关条款展开刑事调查，但未指明具体国家、组织或嫌疑人，也未公布恶意软件名称、入侵迹象或取证证据。声明还称行动利用了“大型国际IT公司”的技术能力，但未进一步说明具体含义。

2、Cisco SD-WAN存在Root命令执行风险且已被利用

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx

Cisco SD-WAN编排软件存在命令注入漏洞CVE-2026-20245。已披露信息显示，该漏洞位于Cisco Catalyst SD-WAN Manager命令行界面，源于文件传输有效载荷验证不足。已通过身份验证且具备网络管理员权限的本地攻击者，可向受影响系统提供特制文件，并以root权限执行任意命令。公告称，攻击者也可能通过串联利用其他软件漏洞达到所需权限级别。产品安全事件响应团队表示，2026年6月已发现该漏洞被利用。该漏洞涉及网络管理权限场景，并可能与其他漏洞组合使用以扩大影响。

3、FlutterShell后门通过恶意广告传播影响macOS用户

https://unit42.paloaltonetworks.com/flutterbridge-new-fluttershell-backdoor/

安全研究人员披露，一项代号为FlutterBridge的macOS恶意广告活动正在传播名为FlutterShell的后门。已披露信息显示，该活动通过恶意Google和YouTube广告诱导用户安装伪装成合法桌面应用程序的恶意软件，目标包括美国、加拿大、澳大利亚、法国和德国的macOS用户。FlutterShell使用Flutter框架构建，除广告软件功能外，还具备执行shell命令、操纵文件系统、环境变量窃取和系统指纹收集能力。研究人员称，样本使用有效苹果开发者ID签名并通过公证。该恶意软件采用基于WebView的架构，可通过外部网站动态改变行为，而无需重新编译或推送新版本。

4、SSHFS命令执行漏洞技术细节和利用代码已公开

https://securityonline.info/sshfs-command-execution-exploit/

安全研究人员披露，SSHFS存在命令执行漏洞CVE-2026-48711，影响3.7.5及更早版本。已披露信息显示，该工具用于通过SFTP挂载远程目录。第一个缺陷源于主机名处理例程缺少验证，软件未正确清理参数即传递给子进程。攻击者可构造格式异常的挂载源字符串，注入自定义选项，并在连接失败前本地执行ProxyCommand。第二个漏洞CVE-2026-47187涉及恶意路径绕过，CVSS评分为9.3；当受害者连接到不受信任的主机时，恶意SFTP服务器可返回符号链接目标，使内核虚拟文件系统解析至客户端本地文件系统，从而诱发未经授权的本地文件修改。

5、Apache Fory存在漏洞可绕过Java序列化安全检查

https://securityonline.info/apache-fory-vulnerability-patch/

安全研究人员披露，Apache Fory存在漏洞CVE-2026-50076，影响运行在Java虚拟机平台上的应用程序。已披露信息显示，该漏洞位于fory-core Java SDK的数据交换组件中，根因是Java ReplaceResolverSerializer路径中的验证控制不完善。正常情况下，框架使用TypeChecker模块执行安全边界限制，但攻击者可通过构造数据流绕过相关检查。篡改后的数据包可绕过类注册表和内置禁用列表，并触发类路径钩子，使软件在未经额外授权的情况下执行嵌入式readResolve或readExternal方法。该漏洞影响1.1.0版本之前的所有产品版本。

6、宏基ConnectW6x路由器补丁修复两个满分风险漏洞

https://securityonline.info/acer-router-flaw-patch/

宏基为Connect W6x无线设备发布固件更新，修复两个CVSS 10.0漏洞。已披露信息显示，CVE-2026-49197源于为Acer Connect应用程序提供服务的端点对HTTP Authorization标头处理不当，格式错误的请求可能绕过身份验证检查，从而触发管理控制相关风险。CVE-2026-49199涉及MQTT代理处理逻辑中的命令注入问题，攻击者可通过传入消息字符串触发任意代码执行风险。该固件补丁还修复了端口9000调试接口、Wi-Fi阻止功能输入检查以及MQTT消息布局中通配符订阅相关问题。

7、Mythos Preview可在数小时内将N-day漏洞武器化

https://www.helpnetsecurity.com/2026/06/09/anthropic-mythos-preview-n-day-exploits-firefox-windows/

Anthropic研究显示，Mythos Preview能在数小时内利用N-day漏洞开发攻击程序，远超传统速度。测试中，该模型快速生成Firefox和Windows漏洞利用，成本仅数千美元，将威胁响应窗口从"天"缩短至"小时"，凸显N-day漏洞的高危性。

8、MBS通用网关漏洞：堆栈缓冲区溢出缺陷

https://securityonline.info/mbs-universal-gateway-flaws/

MBS工业通信设备固件存在高危漏洞（CVE-2026-35075等），包括默认密码暴露和堆栈溢出，可导致root权限被劫持。建议立即升级至V6_0_0_7版本，加强网络隔离与监控。

9、OpenSSL 安全补丁修复远程代码执行风险

https://securityonline.info/openssl-security-patches-rce/

OpenSSL发布紧急补丁修复多个高危漏洞，包括PKCS7释放后使用（CVE-2026-45447）可能导致远程代码执行，QUIC协议栈内存耗尽（CVE-2026-34183）等。系统管理员需立即升级至最新版本（4.0.1或1.1.1zh）以防范未授权访问和服务器崩溃风险。

10、Chrome V8 0Day漏洞遭野外利用 请立即更新补丁

https://thehackernews.com/2026/06/chrome-v8-zero-day-cve-2026-11645.html

谷歌紧急修复高危Chrome漏洞CVE-2026-11645（CVSS 8.8），该漏洞已被野外利用，可导致任意代码执行。建议用户立即更新至149.0.7827.102/.103版本。研究员获5.5万美元赏金，这是谷歌今年修复的第5个0Day漏洞。

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。