文章总结： 安全简讯披露了近期多起重大安全事件：FortiSandbox三个高危漏洞被积极利用，其中CVE-2026-25089疑似由AI生成利用代码；FortiBleed事件导致全球超7万台Fortinet设备凭据泄露；JoomlaJCE漏洞被CISA列入KEV目录需立即修补；世界杯期间出现40余个虚假流媒体网站进行广告欺诈；瑞典545万公民数据疑似泄露；240亿条凭证记录曝光成史上最大规模数据泄露。建议及时更新补丁、启用多因素认证并警惕钓鱼网站。 综合评分： 80 文章分类： 漏洞分析,威胁情报,数据安全,网络安全,应用安全

安全简讯（2026.06.18）

启明星辰安全简讯

2026年6月18日 15:15 北京

在小说阅读器读本章

去阅读

1. 警惕FortiSandbox三个高危漏洞正被积极利用

6月16日，网络安全公司Defused Cyber在短短24小时内确认，Fortinet旗下沙箱分析产品FortiSandbox及其云和PaaS版本中三个高危漏洞正被积极利用，这三个漏洞分别为CVE-2026-39813、CVE-2026-39808和CVE-2026-25089，均涉及未经身份验证的远程代码执行或路径遍历风险，攻击者只需发送精心构造的HTTP请求即可绕过身份验证、执行操作系统命令或读取任意文件。前两个漏洞CVSS评分分别为9.1和9.8，补丁已发布两个月，但大量系统仍未更新，导致攻击者有机可乘；而第三个漏洞CVE-2026-25089影响范围更广，覆盖FortiSandbox、FortiSandbox Cloud和FortiSandbox PaaS的Web UI，同样属于OS命令注入（CWE-78），官方上周才发布修复补丁，却已被用于实际攻击场景。更令人警惕的是，Defused Cyber研究人员根据攻击代码的特征推测，CVE-2026-25089的利用程序很可能是借助人工智能模型开发的，代码结构存在明显的人工智能生成痕迹，且包含若干逻辑缺陷，并非精心优化的手工编写样本。

Fortinet Warned as Three Critical FortiSandbox Bugs Come Under Attack

2. FortiBleed曝光全球超7万台Fortinet设备凭据

6月17日，近期曝光的“FortiBleed”数据泄露事件，揭示了全球73,932个组织机构的Fortinet和FortiGate VPN凭据被大规模窃取。该事件由安全研究员鲍勃·迪亚琴科（Bob Diachenko）首先发现，他在一台意外暴露于公网的服务器上发现了一个包含大量看似有效的Fortinet VPN凭据的数据库，其中包括用户名、电子邮件地址和明文密码。据迪亚琴科分享的信息，受影响的企业和组织遍布全球，涵盖雪佛龙、三星、富士康、康卡斯特、AT&T、梅赛德斯-奔驰、丰田等众多知名公司及政府机构。迪亚琴科进一步调查后透露，此次攻击疑似由一个讲俄语的多组织威胁集团实施。该集团对约320,777个FortiGate目标进行了约11.6亿次凭证尝试，并对超过16万个Microsoft SQL Server系统发起了约21亿次攻击。攻击者还拦截了SSL VPN身份验证哈希值，利用庞大的GPU集群进行破解，并使用恢复的凭据横向移动到内部Active Directory环境中。威胁情报公司Hudson Rock在分析数据后表示，这是已知最大的Fortinet相关泄露凭据库之一，涵盖194个国家/地区的73,932个独特防火墙URL，涉及21,632个独立域名。

https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/

3. CISA将Joomla JCE高危漏洞列入KEV目录

6月17日，美国网络安全和基础设施安全局（CISA）近日将Widget Factory开发的Joomla内容编辑器（JCE）扩展中的一个严重漏洞（编号CVE-2026-48907，CVSS评分为满分10.0）纳入其已知可利用漏洞（KEV）目录。该漏洞属于访问控制不当问题，允许未经身份验证的远程攻击者为新用户创建编辑器配置文件，进而向服务器上传任意PHP文件并执行恶意代码，从而实现完全控制目标网站。CISA在安全公告中明确警告，该漏洞影响JCE版本1.0.0至2.9.99.4，目前已被野外积极利用，虽然具体攻击细节尚未公开，但鉴于CVSS评分达到最高风险等级，其潜在危害极大。该漏洞已于2026年6月3日发布的2.9.99.5版本中得到修复，Joomla官方强烈建议所有用户立即更新至该版本或更高版本。由于攻击者可能已利用该漏洞在未打补丁的网站上植入后门或Web Shell，单纯更新并不能清除已被入侵的系统，网站管理员还需结合入侵指标（IoC）进行彻底排查，包括检查异常文件、非授权管理员账户以及可疑的日志记录等。根据CISA具有约束力的操作指令（BOD）22-01，联邦民事行政分支（FCEB）机构必须在6月19日之前完成补丁部署或采取等效缓解措施。

U.S. CISA adds Widget Factory Joomla Content Editor flaw to its Known Exploited Vulnerabilities catalog

4. 世界杯期间40余个虚假流媒体网站泛滥

6月16日，安全公司Malwarebytes的研究员近日发现，网络上出现了超过40个几乎完全相同的世界杯品牌域名，这些网站共享相同的页面模板、代码和广告网络，专门针对急于观看赛事的球迷。虽然官方建议观众使用免费的合法广播公司和流媒体服务，但许多赶时间或身处异地的球迷容易被这些看似提供高清直播、多服务器和比赛时间表的网站所吸引。然而，这些页面实际上只是标题党，要么嵌入第三方盗版内容，要么根本无法提供可播放的直播流，用户常常陷入“加载流”和“重试”的无限循环中，不断点击却永远看不到比赛。更危险的是，隐藏的可点击叠加层使得即使用户点击视频播放器区域，也可能触发恶意广告，而非真正的直播内容。骗子并不指望访客实际观看比赛，而是通过设计让用户持续点击来获取广告收入。页面上的第一次点击通常会被劫持，在新标签页中打开广告，此后每一步操作都会触发更多广告，甚至“播放”按钮还会悄悄加载1×1像素的不可见广告，并打开其他仅供产生付费浏览量的标签页。这种策略具有明显的广告欺诈特征，而用户成了毫不知情的流量受害者。所展示的广告大多与体育无关，包括伪装的聊天通知、加密货币计划、空投、骗局游戏以及高回报投资陷阱等。

https://cybernews.com/security/40-world-cup-streaming-sites-serving-scams/

5. 瑞典545万公民数据被曝泄露

6月16日，近期，地下黑客交易平台上出现了一个据称包含大量瑞典公民数据的数据集，攻击者声称通过对一家企业的黑客攻击获取了这些敏感信息，受影响人数超过545.2万，约占瑞典总人口的一半。据称泄露数据涵盖个人身份信息、地理位置数据和房产相关数据，来源为提供商业联系方式和地址分发服务的网站ilait.se和adressfakta.se。经研究团队审查数据样本后确认，泄露信息主要包括全名、家庭住址和电话号码等基本个人身份信息。然而，该事件的实际严重性仍存在较大争议。瑞典长期以来奉行信息公开原则，许多类别的个人和企业数据均可合法从官方登记处或公共记录中获取，包括全名、登记地址、出生日期、收入、税务信息和电话号码等。因此，研究人员指出，攻击者关于“入侵瑞典公司”的说法很可能被夸大，这些数据更可能来自公开合法渠道的聚合而非外部黑客攻击。此外，数据集中仅有18条样本记录清晰可辨且前后一致，无法据此核实所谓违规行为的全部范围和真实性。尽管泄露信息本身的敏感度有限，但聚合后的数据规模仍构成潜在风险。

https://cybernews.com/security/sweden-data-breach-5-million-citizens/

6. 240亿条记录遭泄露，史上最大规模凭证数据曝光

6月17日，Cybernews研究团队于6月12日发现了一个暴露在公网的Elasticsearch集群，其中存储了超过8.3TB的数据，总计约240亿条记录，这可能是迄今为止发现的最大规模数据泄露事件之一。经分析，绝大多数泄露记录为信息窃取日志，即以明文形式包含用户名、密码及对应服务URL的敏感凭证。由于数据已公开泄露，数十亿受影响账户面临被盗用风险，尤其是未启用多因素认证的账户。此次泄露的数据来自36个不同来源，其中超过30个为与网络犯罪相关的Telegram频道，记录数量从数千到数亿不等，大多数使用英语，部分使用俄语。据称有超过17亿条记录来自这些频道，其中一个以“Darkside”命名的频道贡献了近2.6亿条记录。此外，约226亿条记录来自所谓“集合”，这些可能源于以往各类信息窃取者数据的汇总；另有1.46亿条来自“泄露汇编组合”，1.5亿条为“本地数据库转储”，暗示可能来自直接服务器导出。反观规模最小的来源“Redline stealer”仅含27条记录。值得关注的是，集群中还包含约17,000条非常规记录，涵盖CVE漏洞描述及GitHub链接、网络安全新闻文章和社交媒体帖子，时间指向2026年2月，表明数据所有者持续跟踪安全形势以扩充其数据库。

https://cybernews.com/security/24-billion-credentials-data-leak/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：启明星辰安全简讯 《安全简讯（2026.06.18）》