文章总结： 本文综述近期网络安全动态，涉及微软Office高危漏洞CVE-2026-21509及n8n、vm2库沙箱逃逸漏洞，建议立即修补。报道耐克、希尔顿及毕马威荷兰分公司遭勒索攻击致数据泄露，警示企业强化防护。此外，国务院发布政务APP新规，明确备案管理与数据安全要求。 综合评分： 66 文章分类： 漏洞预警,威胁情报,数据泄露,政策法规

微软Office曝高危漏洞、耐克遭勒索攻击|一周特辑

威努特安全网络

2026年1月31日 08:03 北京

微软Office曝高危漏洞

恶意文档可绕过防护执行任意代码

1月28日，国家信息安全漏洞库（CNNVD）通报微软Office存在高危安全漏洞（CNNVD-202601-4359，CVE-2026-21509）。攻击者可通过构造特殊恶意文档，绕过Office内置的用户保护机制，从而在受害主机上执行恶意代码。

该漏洞影响Office 2016、2019、LTSC 2021、LTSC 2024及Microsoft 365 Apps for Enterprise等多个主流版本。目前微软官方已发布安全更新修补此漏洞，建议所有用户立即核查版本并尽快安装补丁。

耐克遭勒索攻击

超1.4TB核心设计及供应链数据被窃

全球运动品牌耐克1月26日证实遭遇重大安全事件，勒索组织WorldLeaks在暗网泄露了其超过1.4TB的内部核心数据。泄露文件多达18.8万余份，主要涉及产品开发与制造运营的敏感资料，包括耐克及旗下乔丹等多个品牌的产品技术包、设计图、物料清单、工厂审核文件及供应链合作伙伴信息。

勒索组织暗网泄露网站截图

此次泄露直接关系到耐克的产品研发机密与供应链稳定性。近期体育用品行业已成为勒索攻击的重点目标，此前另一巨头Under Armour也遭遇类似攻击。

勒索组织Cl0p声称入侵希尔顿酒店集团

近日，勒索软件组织Cl0p在其暗网网站上宣称，已成功入侵全球酒店业巨头希尔顿酒店集团，但目前尚未公布任何被盗数据样本或技术细节。在缺乏数据样本的情况下，无法判断被获取的数据类型及影响范围。

勒索组织将希尔顿酒店集团列入受害者名单

希尔顿在全球运营着超过6000家酒店，拥有海量客户数据，这使其成为勒索攻击的高价值目标。酒店与旅游业因数据敏感、舆论影响大而持续成为勒索攻击的重点行业。

Nova勒索软件组织称入侵荷兰毕马威

威胁泄露敏感数据

1月27日，活跃勒索软件组织Nova声称已成功入侵知名大型会计师事务所毕马威的荷兰分公司，并窃取了大量敏感数据。该组织在勒索软件活动跟踪平台上公开了此次入侵，并给出10天的最后期限要求谈判赎金。

作为全球知名的专业服务机构，毕马威荷兰分部掌握大量客户的财务与审计数据，使其成为勒索软件攻击的高价值目标。目前毕马威官方尚未对此事件发表声明。安全专家建议相关企业应立即封锁已知的Nova组织基础设施域名，并监控内部网络异常活动。

n8n再现高危漏洞

攻击者可借认证身份实现远程代码执行

安全研究人员近日披露n8n工作流自动化平台存在两个高危漏洞（CVE-2026-1470与CVE-2026-0863），攻击者可通过身份认证后传入特制代码，分别突破JavaScript表达式沙箱和Python任务执行器沙箱，在主机上实现远程代码执行。这两个漏洞均被评定为高危（CVSS评分分别为9.9和8.5）。

此次漏洞披露距离n8n曝出Ni8mare满分漏洞仅数周，凸显了动态语言沙箱安全机制的实现难度。专家指出，n8n作为企业AI工作流核心平台，一旦遭攻破将相当于为攻击者提供“万能钥匙”。建议用户立即升级至安全版本。

国务院办公厅印发《政务移动互联网应用程序规范化管理办法》

1月28日，国务院办公厅正式印发《政务移动互联网应用程序规范化管理办法》，旨在规范政务移动应用程序管理。

要求落实网络安全、数据安全、关键信息基础设施安全保护、个人信息保护、密码管理、移动互联网应用程序信息服务管理等有关法律法规规定，依法依规保护数据和个人信息安全等。办法明确要求政务APP实行备案管理，县以下单位原则上不得开发政务APP，现有APP需在6个月内完成备案。

vm2 Node.js库曝高危沙箱逃逸漏洞

1月29日，流行Node.js沙箱库vm2被披露存在一个高危沙箱逃逸漏洞（CVE-2026-22709，CVSS评分9.8）。该漏洞源于库对Promise回调函数的净化机制缺陷，攻击者可利用此漏洞绕过沙箱限制，在宿主操作系统上执行任意代码。vm2库常用于安全运行不可信代码，但此次漏洞再次暴露其沙箱模型的脆弱性。

vm2历史上已多次出现类似沙箱逃逸漏洞，维护者虽在3.10.2版本中修复此问题，但建议用户立即升级至最新版（3.10.3），并考虑采用隔离性更强的替代方案。专家强调，依赖沙箱库时需保持持续更新，并建议结合容器化技术增强整体安全性。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：威努特安全网络 《微软Office曝高危漏洞、耐克遭勒索攻击|一周特辑》