文章总结： 本文汇总了多项关键安全漏洞与研究进展。CVE-2026-0866利用畸形ZIP头绕过EDR检测，NginxUI存在严重的未认证备份泄露风险，Signal应用被曝出完整性破坏漏洞，AWS-LC库面临证书验证绕过威胁。此外，研究展示了新型Wi-Fi中间人攻击及利用WiFi信号穿墙监控人体的技术，Langflow也因反序列化漏洞面临RCE风险。建议立即修复相关漏洞并关注新兴侧信道威胁。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,威胁情报,应用安全,云安全

每日安全动态推送(26/3/10)

原创

admin admin

腾讯玄武实验室

2026年3月10日 16:39 北京

•  CVE-2026-0866：畸形ZIP头可能导致恶意软件逃避EDR检测 https://securityonline.info/cve-2026-0866-malformed-zip-headers-allow-malware-to-slip-past-edr-scanners/

本文揭示了杀毒软件和端点检测工具在处理压缩文件时的根本性漏洞，攻击者通过篡改 ZIP 元数据制造‘影子压缩包’，从而绕过安全扫描。该研究突显了当前安全工具对文件头信息的过度信任问题，具有重要的现实警示意义。

•  Nginx UI 存在严重漏洞，允许未认证攻击者下载并解密完整系统备份 https://cybersecuritynews.com/nginx-ui-vulnerabilities/

本文揭示了Nginx UI中的一个高危漏洞CVE-2026-27944，攻击者无需认证即可下载并解密系统备份文件，直接暴露敏感信息。其最大的亮点在于清晰地展示了漏洞利用的全过程与潜在风险，为系统管理员提供了及时的修复建议。

•  AirSnitch：利用跨层身份去同步性的新型Wi-Fi攻击 https://noise.getoto.net/2026/03/09/new-attack-against-wi-fi/

本文深入分析了AirSnitch攻击的原理，揭示了Wi-Fi网络中跨层身份去同步问题如何被利用实现强大的中间人攻击，尤其在未加密连接和HTTPS漏洞场景下可能造成严重数据泄露，是当前网络安全研究的重要突破。

•  Signal Lost (Integrity)：Signal 应用不只是其协议的总和 https://eprint.iacr.org/2026/484

Signal 是一款提供端到端加密的即时通讯应用，支持点对点和群组通信，拥有数千万用户，并对其他安全通讯应用（如 WhatsApp）的设计产生了深远影响。Signal 被学术界视为即时通讯应用的“黄金标准”。本文提出了两个实用攻击，可在 Signal 宣称的威胁模型下破坏其完整性。第一个攻击利用了 Signal 在 2022 年从基于电话号码的身份切换到基于用户名身份时引入的漏洞。第二个攻击则利用了 Sealed Sender 功能实现中的错误。这两个漏洞在披露后已被 Signal 修复。本文还讨论了在复杂软件项目中部署新安全功能所面临的更广泛挑战。

•  AWS-LC 证书验证绕过漏洞 https://sectoday.tencent.com/event/QNv61ZwBnYhVxRrj3-Zo

亚马逊开源加密库 AWS-LC 中发现三个关键漏洞（CVE-2026-3336、CVE-2026-3337 和 CVE-2026-3338），攻击者可利用这些漏洞绕过证书链验证或签名验证，甚至通过时间侧信道泄露敏感信息。这些问题影响广泛，包括 AWS 的云基础设施和 FIPS 认证产品。建议用户立即升级到已修复版本以防止潜在的中间人攻击和数据篡改。

•  通过WiFi信号映射人体关键点实现穿透墙壁的人体活动识别 https://cybersecuritynews.com/wifi-signals-reveal-human-activities/

本文介绍了名为π RuView的开源边缘AI系统，它利用WiFi信号实现穿透墙体的人体姿态、生命体征和行为模式检测，无需任何摄像头。该技术在低成本硬件上实现，具有极强的隐蔽性和实时性，对隐私和安防构成重大挑战，是当前网络安全领域不可忽视的技术突破。

•  14行JSON，接管你的Langflow工作流引擎 | CN-SEC 中文网 https://cn-sec.com/archives/5065052.html

本文深入剖析了Langflow中因反序列化缺陷引发的高危RCE漏洞（CVE-2026-0770），揭示了攻击者仅通过14行JSON即可远程接管服务器的严重风险，同时披露Windows Shell命令注入漏洞的实战利用情况，是当前网络安全领域不可忽视的警示。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin admin《每日安全动态推送(26/3/10)》