文章总结: 本周安全热点涵盖多个高危漏洞与重大数据泄露事件。漏洞方面包括phpBB认证绕过、LinuxFUSE提权、XWiki路径穿越、Linux内核GhostLock提权及FirefoxJIT漏洞。安全事件涉及穆迪圣经学院230万账户泄露、Accenture数据泄露、皇家山大学遭攻击及AssuranceAmerica近700万驾驶员信息泄露。此外国家文物局发布《国有文物资源数据管理办法》规范数据安全。建议立即升级受影响系统并加强安全防护。 综合评分: 80 文章分类: 漏洞分析,数据泄露,安全事件,政策法规,解决方案
安全热点周报 | 一周网络安全大事件盘点(2026/07/06-2026/07/10)
中成信息 中成信息
中成信息
2026年7月10日 18:27 福建
在小说阅读器读本章
去阅读
PART 1
漏洞情报
01
phpBB认证绕过漏洞(CVE-2026-48611)
phpBB认证绕过漏洞(CVE-2026-48611)是phpBB论坛软件存在10年的高危漏洞,攻击者只需发送特定HTTP请求即可冒充任意用户(含管理员)登录,无需密码或交互。利用后可读取私信、修改内容、安装恶意插件等。官方已在3.3.17版本修复,建议立即升级,并禁用未使用的认证方式。漏洞成因是login link功能对auth_provider参数校验存在缺陷,攻击者通过构造参数直接跳过密码验证。
02
Linux FUSE page cache本地权限提升漏洞(CVE-2026-31694)
Linux FUSE page cache 本地权限提升漏洞(CVE-2026-31694)是Linux内核FUSE子系统中的高危漏洞,攻击者可利用该漏洞通过构造恶意FUSE文件系统目录项数据触发内核页缓存越界写,破坏相邻缓存页面内容并提升至root权限。漏洞原理是fuse_add_dirent_to_cache()函数缺少对目录项长度的校验,导致超长目录项溢出写入相邻内核页。容器环境默认开启FUSE挂载权限,该漏洞可导致容器逃逸至宿主机。
03
XWiki Platform /skin/ 端点路径穿越漏洞(CVE-2026-34151)
XWiki Platform /skin/ 端点路径穿越漏洞(CVE-2026-34151)是XWiki开源Wiki平台中一个高危漏洞,允许攻击者通过特殊URL读取服务器敏感文件。该漏洞主要影响部署在Jetty 12+容器的XWiki实例,攻击者无需认证即可访问配置文件、数据库连接信息等敏感数据。临时防护措施包括禁止公网访问、限制匿名权限或切换至不受影响的容器(如Tomcat)。
04
Linux rtmutex/Futex PI stack-UAF 本地提权与容器逃逸漏洞(CVE-2026-43499)
CVE-2026-43499(GhostLock)是Linux内核中一个长达15年的高危本地提权漏洞,影响2.6.39至7.1版本(2011-2026年)。漏洞源于remove_waiter()函数中错误清理线程状态,导致栈内存悬空指针,攻击者可通过构造Futex系统调用触发,利用内核栈复用伪造数据结构,最终实现root权限提升或容器逃逸。该漏洞利用条件仅为本地执行权限,且默认配置下即可触发,Ubuntu、Debian等主流发行版均受影响。官方已通过commit 3bfdc63936dd修复,建议立即升级内核版本。临时防护可启用内核栈随机化或限制危险系统调用。
05
Firefox JavaScript 引擎JIT编译优化缺陷漏洞(CVE-2026-10702)
CVE-2026-10702是Firefox浏览器中JavaScript引擎JIT(即时编译)组件的高危漏洞,允许攻击者通过恶意网页触发内存破坏并执行任意代码。该漏洞影响Firefox 151.0.3之前的全部版本,攻击者需诱导用户访问特定网页才能利用。最新信息显示,该漏洞与Linux内核漏洞CVE-2026-43499结合,可形成针对Android 16/17设备的远程root利用链,但实际利用需满足特定机型和系统配置条件。建议用户立即升级Firefox至151.0.3或更高版本,同时保持系统内核补丁更新。
PART 2
安全事件
01
穆迪圣经学院数据泄露事件影响230万账户,用户信息遭黑客公开
7月6日The Register消息,美国穆迪圣经学院(Moody Bible Institute)披露一起数据泄露事件,约230万个用户账户信息受到影响。事件源于攻击者未经授权访问学院相关系统,并获取包含用户个人信息的数据。泄露信息包括姓名、电子邮件地址、电话号码、邮寄地址、账户信息以及部分活动记录等内容。安全研究人员指出,泄露数据已在网络论坛中传播,可能被用于钓鱼攻击、身份盗窃和其他网络犯罪活动。穆迪圣经学院表示已启动调查,并采取措施加强系统安全防护,同时通知受影响用户关注异常账户活动。
原文链接:
https://www.theregister.com/security/2026/07/06/moody-bible-institute-breach-leaves-23m-accounts-needing-salvation-says-cyber-expert/5266827
02
Accenture确认遭遇数据泄露,黑客声称窃取源代码及内部凭据
7月8日SecurityWeek消息,全球IT服务和咨询巨头Accenture确认发生网络安全事件,此前一名黑客在网络犯罪论坛上声称窃取了公司的内部数据。攻击者声称获取约35GB数据,包括源代码仓库、Azure访问令牌、RSA密钥、SSH密钥、存储访问密钥以及配置文件等敏感信息,并尝试出售相关数据。Accenture表示已确认该事件并完成相关源头处置,目前未发现对公司运营、服务交付或客户业务造成影响。公司正在持续开展调查,以评估事件范围及可能涉及的数据类型。
原文链接:
https://www.securityweek.com/accenture-confirms-data-breach-after-hacker-claims-source-code-theft/
03
加拿大皇家山大学确认遭网络攻击,黑客窃取并删除学生及员工数据
7月8日BleepingComputer消息,加拿大卡尔加里皇家山大学(Mount Royal University,MRU)确认遭遇网络攻击,攻击者入侵学校网络后窃取并删除部分文件存储系统中的数据。此次事件发生于6月17日,导致学校在线服务、互联网访问以及部分内部系统受到影响。攻击组织“CMD Organization”声称对事件负责,并表示已获取学校文件服务器中的数据,同时删除部分存储内容。泄露数据据称涉及在校学生、毕业生及员工信息,包括个人资料和内部文件,攻击者还公开了部分窃取数据样本并提出勒索要求。学校表示已联合外部网络安全专家开展调查和恢复工作,目前正在评估受影响数据范围,并采取措施加强系统安全防护。
原文链接:
https://www.bleepingcomputer.com/news/security/mount-royal-university-confirms-breach-as-hackers-claim-attack/
04
AssuranceAmerica数据泄露事件曝光,近700万名驾驶员信息遭泄露
7月9日BleepingComputer消息,美国汽车保险公司AssuranceAmerica披露一起数据泄露事件,约699万名个人的信息受到影响。公司调查发现,攻击者于2026年3月通过针对一名员工的恶意活动进入其IT环境,并复制部分数据文件。泄露信息包括姓名、联系方式、汽车保险保单及账户信息、车辆信息、理赔相关信息以及驾驶证号码等敏感数据。AssuranceAmerica表示,发现事件后已立即禁用受影响凭据、终止未授权访问会话、隔离相关系统,并加强密码管理、安全监控和威胁检测措施。目前公司已向执法机构报告事件,并通知受影响人员采取防范措施。
原文链接:
https://www.bleepingcomputer.com/news/security/assuranceamerica-data-breach-exposes-records-of-69-million-drivers/
PART 3
时事热点
01
《国有文物资源数据管理办法》发布,规范文物数据管理与安全保护
7月6日,国家文物局印发《国有文物资源数据管理办法》,旨在规范国有文物资源数据生产、管理和利用,保障国有文物资源数据安全,推动文物数据有序开放共享。该办法围绕数据采集、存储、登记、管理、开放利用和安全保障等环节提出要求,明确加强国有文物资源数据全过程管理,推动建立统一规范的数据管理体系。文件提出推进国有文物资源数据存储中心、登记管理平台建设,加强数据安全保护和风险防控,促进文物资源数字化转型,为文物保护、研究利用和公共服务提供数据支撑。该办法将于2026年11月1日起正式施行。
原文链接:
http://www.ncha.gov.cn/art/2026/7/6/art_2318_48378.html
关于我们
漳州中成信息科技有限公司是一家专注于网络安全实战防护的创新型服务提供商。我们深刻理解网络安全的核心在于攻防对抗的持续较量,并以此独特视角为基石,致力于为客户构建动态、主动、智能化的纵深防御体系。区别于传统的被动防御,我们坚信“未知攻,焉知防”。公司汇聚了顶尖的渗透测试专家(红队)、应急处置精英(蓝队)及经验丰富的安全服务工程师,形成了一支具备完整攻防对抗能力的专业团队。我们的渗透测试团队模拟真实攻击者的思维与手段,深入挖掘系统、应用及网络中的深层次漏洞与风险点;应急处置团队则能在安全事件发生时快速响应、精准定位、有效遏制损失并溯源根因;安服工程师团队则致力于将攻防对抗中获得的宝贵经验转化为常态化的安全策略、加固措施与运营流程。
点击名片
关注我们
扫描官网二维码
了解更多
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:中成信息 中成信息 中成信息《安全热点周报 | 一周网络安全大事件盘点(2026/07/06-2026/07/10)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论