安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全厂商披露针对Ghost内容管理系统（CMS）的高危漏洞（CVE-2026-26980）已被大规模利用，超700家教育、科技类正规网站遭劫持，沦为Click恶意软件分发平台。该漏洞为未授权SQL注入缺陷，影响Ghost 3.24.0至6.19.0全版本，攻击者可无认证直接窃取管理员API密钥，批量向网站页面注入恶意JavaScript脚本。用户访问被篡改网站时，会弹出伪造Cloudflare验证弹窗，诱导复制粘贴代码至运行框或PowerShell执行，静默植入恶意程序。ClickFix攻击隐蔽性强，依托可信域名降低用户警惕，大量高校、科技企业官网沦陷，官方已发布安全补丁，建议管理员立即更新系统并排查恶意脚本注入痕迹。

安全研究人员曝光Laravel生态第三方本地化组件Laravel-Lang遭遇Git标签投毒供应链攻击，四个核心Composer包遭篡改，超700个历史版本标签被恶意替换。攻击者篡改laravel-lang/lang、http-statuses、attributes、actions包的Git标签，将正常版本指向恶意分支，用户安装或更新时自动执行恶意代码。恶意软件为跨平台PHP窃取器，适配Linux、Windows、macOS系统，连接硬编码C2服务器，窃取云平台凭证、Kubernetes密钥、浏览器密码、加密货币钱包等敏感数据，通过唯一主机标识避免重复感染。该攻击隐蔽性极强，未修改主仓库代码，仅篡改标签，大量Laravel应用受影响，建议企业排查依赖包、轮换所有泄露凭证。

微软代码编辑器Visual Studio Code曝出高危漏洞（CVE-2026-41613），攻击者可构造恶意MCP（模型上下文协议）安装链接，诱导开发者点击后接管设备。漏洞源于VS Code MCP安装界面隐藏字段未做校验，界面仅展示5个配置项，后台却支持10个隐藏字段，攻击者可嵌入恶意环境变量、HTTP头及Node.js --import参数，执行任意JavaScript代码。恶意代码可绕过安全限制，植入持久后门、窃取开发凭证，且配置写入工作区文件，重启编辑器仍生效。同时存在HTTP头注入漏洞，可劫持AI助手会话。微软已修复漏洞并更新预览界面，建议开发者警惕陌生MCP安装链接，避免随意点击确认。

微软SharePoint服务器曝出高危远程代码执行漏洞（CVE-2026-45659，CVSS 8.8），低权限用户即可利用漏洞接管服务器。漏洞成因是SharePoint反序列化未验证的不可信数据，拥有站点成员级最低权限的攻击者，可构造恶意数据包，通过网络发起远程代码执行攻击，控制服务器全权限。该漏洞影响SharePoint Server 2016、2019及订阅版，攻击门槛低、利用难度小，无需复杂绕过技术。微软已推送安全补丁修复漏洞，虽暂未观测到大规模野外攻击，但SharePoint历来是黑产重点目标，建议企业立即更新系统，加固站点权限管控，禁止低权限用户上传可疑数据。

美国加州Mission社区医院运营方Deanco Healthcare就2023年勒索攻击数据泄露事件，达成154.6万美元集体诉讼和解。2023年5月1日，医院遭Ransomhouse勒索软件组织攻击，2.5TB患者数据被窃取，包含姓名、社保号、驾照号、财务信息等，波及26.9万名患者。事件曝光后引发集体诉讼，指控医院安全防护失职。和解协议约定，医院支付和解金用于患者赔偿、律师费及行政费用，患者可申请两年医疗数据监控服务，加州居民额外获100美元法定赔偿，最高可报销5000美元实际损失，索赔截止8月12日，最终听证会定于9月9日，该案为医疗数据泄露典型追责案例。

非官方英国签证申请第三方平台UK Visa Portal发生严重数据泄露，超10万份申请人护照照片、自拍证件照、个人信息遭公开暴露。该平台并非英国政府官方渠道，部分用户误将其当作官方网站提交签证材料，上传的护照、自拍等高度敏感证件数据未加密存储，直接公网可访问。安全研究员发现漏洞后多次联系平台方，仅收到法务与公关回复，泄露问题至今未修复。此类第三方签证平台无安全报告渠道、管理信息不透明，数据泄露易引发身份盗用、跨境诈骗等风险，提醒申请人务必通过政府官方渠道办理签证，切勿在非正规平台提交敏感证件信息。