【資安日報】6月11日，Exchange Online傳出可被用於欺騙的資安漏洞

6月9日資安公司InfoGuard針對Exchange Online用戶提出警告，他們發現名為Ghost-Sender的資安漏洞，Exchange Online或採用混合模式部署的Exchange郵件系統，只要搭配第三方的郵件伺服器防護措施或垃圾信過濾機制，而使得Exchange Online與外部的MX紀錄整合，攻擊者就有機會對目標租戶發動詐欺攻擊，以任意寄件人的名義，發送信件給任何收件者，將其用於網釣活動，值得留意的是，這項問題似乎已出現遭到積極利用的跡象，但目前微軟尚未修補。

微軟修補已遭利用的Exchange Server零時差漏洞

5月14日微軟揭露Exchange Server重大漏洞CVE-2026-42897，並指出已遭到利用，6月9日微軟更新公告內容，呼籲用戶儘速安裝Exchange的2026年6月安全更新來防範漏洞。CVE-2026-42897為欺騙（Spoofing）類型的弱點，攻擊者可藉此發送特製的電子郵件給用戶，一旦使用者透過Outlook Web Access開啟並執行特定的互動，攻擊者就有機會經由瀏覽器執行任意JavaScript指令碼，CVSS風險評為8.1分。

ServiceNow安全缺陷遭濫用，攻擊者查詢部分客戶執行個體資料

企業雲端工作流程平臺業者ServiceNow傳出安全事件。資安新聞媒體Bleeping Computer於6月9日報導，ServiceNow已通知受影響客戶，攻擊者濫用一項安全漏洞，可讓未經身分驗證的使用者在特定情況下，取得超出範圍的ServiceNow執行個體存取權限，並透過組態不良的API端點，查詢部分客戶執行個體的資料表。根據Reddit使用者轉貼的ServiceNow客戶支援公告內容，該公司已於6月5日對代管客戶執行個體套用安全更新。

ShinyHunters宣稱駭入上百家Oracle PeopleSoft伺服器

根據資安新聞媒體Bleeping Computer報導，勒索軟體駭客組織ShinyHunters近日利用漏洞，駭入上百家組織的Oracle PeopleSoft伺服器，包括至少一家英國知名大學。該組織在這波行動中，成功存取了100多家組織、300多個PeopleSoft執行個體，大部份是教育機構。駭客表示，他們是結合軟體的舊漏洞及先前未知的零時差漏洞展開攻擊，其中一家受害學校是英國諾丁罕大學，該組織於網站上宣稱，已竊得該校員工、學生、與校友資料共40 GB。

Adobe發布6月例行更新，呼籲用戶優先修補ColdFusion與Campaign Classic

6月9日Adobe發布本月例行更新，為旗下11款應用系統提供修補程式，總共修補123個資安漏洞。值得留意的是，該公司將企業行銷自動化與客戶關係管理（CRM）平臺Campaign Classic、網頁應用程式開發平臺ColdFusion的修補優先順序列為第一級，呼籲用戶必須特別優先處理。從漏洞的嚴重程度而言，這次Adobe為Campaign Classic修補兩個CVSS風險皆達到10分滿分的重大漏洞CVE-2026-48303、CVE-2026-47938，而受到高度關注。

Ivanti修補安全閘道Sentry重大漏洞，可讓攻擊者以root權限執行程式碼

企業軟體與資安設備業者Ivanti於6月9日發布安全公告，修補Ivanti Sentry兩項重大風險等級漏洞，分別為CVE-2026-10520與CVE-2026-10523。其中，CVE-2026-10520是作業系統命令注入漏洞，CVSS風險分數為10.0分，攻擊者可在未經驗證的情況下遠端利用此漏洞，以root權限執行程式碼。另一項CVE-2026-10523是身分驗證繞過漏洞，CVSS風險分數為9.9分，可能讓未通過身分驗證的攻擊者遠端建立任意管理員帳號，進而取得完整管理員權限。

Fortinet修補沙箱系統指令注入漏洞

Fortinet本週發布安全更新，修補FortiSandbox雲端及本地部署3個版本的重大指令注入漏洞CVE-2026-25089。此為FortiSandbox產品的OS指令注入漏洞，CVSS風險值達9.1，源於Web介面的start vnc功能在處理輸入的JSON指令時，未進行適當的特殊字元過濾與中性化（Neutralization）。這讓攻擊者得以傳送變造的HTTP請求，透過輸入欄位傳送惡意OS命令，進而在Fortinet系統上未授權執行。

Mozilla發布Firefox 151.0.3版更新，修補文字顯示與JavaScript引擎漏洞

Mozilla近日發布Firefox瀏覽器的資安公告，揭露兩項涉及文字顯示元件與JavaScript引擎的漏洞，並提供已修補完成的151.0.3版，其中第一項漏洞是CVE-2026-10701，CVSS嚴重性評分達7.5分，問題源自負責文字顯示的Graphics: Text元件，存在邊界條件（Boundary Conditions）處理不當問題。第二項漏洞是CVE-2026-10702，CVSS嚴重性評分為4.3分，為JavaScript引擎JIT元件的錯誤編譯（Miscompilation）問題。

OpenSSL修補高風險漏洞，研究人員在AI協助下發現可導致遠端程式碼執行問題

OpenSSL專案日前發布資安公告，修補18項漏洞，值得注意的是，其中1項高風險漏洞CVE-2026-45447，是研究人員在Anthropic的Claude AI協助下發現，顯示AI已成為漏洞研究與程式碼分析的重要工具，此外，Anthropic公司人員也參與另外7項漏洞的發現與通報。CVE-2026-45447的CVSS嚴重性評分達8.8分，存在於PKCS#7簽章驗證流程，可能導致記憶體已釋放卻仍被使用（UAF）問題，在特定情況下甚至可能導致遠端程式碼執行。

Linux核心再傳nftables本機權限提升漏洞CVE-2026-23111，攻擊者可升級為root並突破容器

威脅情報公司Exodus Intelligence近日透露，他們於2025年初發現資安漏洞CVE-2026-23111，此弱點存在於Linux核心的nftables子系統，漏洞存在於nftables的nft_map_catchall_activate()功能函式，由於條件判斷中多出一個驚嘆號（!），由於驚嘆號會翻轉程式碼處理的邏輯，導致核心在處理交易終止（abort）時錯誤地跳過部分必要程序，相關鏈結（chain）的參考計數持續下降。一旦計數歸零，系統可能釋放仍被其他物件引用的記憶體區域，進而產生記憶體釋放後再存取利用（Use After Free）的現象，Linux開發團隊獲報後於2月5日完成修補。

西門子6月工控安全公告揭露影響多款產品的OpenSSL重大漏洞

工控系統業者西門子（Siemens）於6月9日發布安全公告，說明OpenSSL重大風險漏洞CVE-2025-15467對多款產品的影響，並已針對部分產品提供修補版本。此漏洞發生於OpenSSL解析帶有惡意AEAD參數的CMS AuthEnvelopedData訊息時，可能觸發堆疊緩衝區溢位，導致應用程式崩潰進而造成阻斷服務，或在特定情境下造成遠端程式碼執行，CVSS v3.1風險分數為9.8分，屬重大風險等級。

CISA警告Chrome與思科SD-WAN零時差漏洞被用於攻擊活動

6月9日美國網路安全與基礎設施安全局（CISA）提出警告，他們掌握3個資安漏洞遭到積極利用的證據，將其列入已遭利用的漏洞名單（KEV），要求聯邦機構於6月23日完成修補。其中一個是思科上週揭露的CVE-2026-20245，此漏洞存在於Catalyst SD-WAN Manager，為輸出不當編碼或逃逸漏洞，CVSS風險評為7.8分；另一個漏洞是CVE-2026-11645，存在於Chrome的JavaScript引擎V8，為記憶體越界讀取與寫入漏洞，CVSS風險為8.8分。

俄羅斯駭客利用WinRAR已知漏洞對烏克蘭發動攻擊

趨勢科技近期發現有兩個俄羅斯駭客組織開始利用CVE-2025-8088，其中一個是Gamaredon（UAC-0010、Shuckworm、Earth Dahu），他們利用此漏洞向使用者傳遞惡意HTA檔，但也有在電腦啟動資料夾寫入VBS、VBE檔，藉此從特定Cloudflare Tunnel截取惡意HTA檔並執行的情況，這些駭客利用此漏洞的活動，至少可追溯到2025年9月。另一個駭客組織是UAC-0226（Shadow-Earth-066），他們自今年2月開始，透過此漏洞散布竊資軟體GiftedCrook。這些駭客的漏洞利用活動，至少延續至今年4月。

美國CISA改漏洞管理規則，最高風險漏洞3天內須修補

美國網路安全與基礎設施安全局（CISA）於6月10日，發布新版強制營運指令BOD 26-04，要求聯邦文職機關改採風險導向漏洞管理制度；未來最高風險漏洞必須在3天內採取因應措施，包括完成修補、停用或移除，較以往動輒數週的修補期限大幅縮短，以因應AI加速漏洞攻擊所帶來的新威脅。過去美國聯邦漏洞管理主要分成兩套規則：對外公開系統依漏洞嚴重度評分（CVSS）決定修補期限，已遭實際利用的漏洞（KEV）則由CISA個別設定修補期限，BOD 26-04整合兩者，以實際攻擊風險決定優先順序。

套件管理器NPM 12收緊安裝預設行為，相依腳本、Git與遠端網址來源將需明確允許

GitHub旗下套件管理器NPM團隊宣布，下一個主要版本NPM v12將調整NPM install預設安裝行為，把部分目前會自動執行或自動解析的動作，改為必須明確允許。該變更預估在2026年7月推出，主要影響相依套件的安裝腳本、Git來源相依，以及透過遠端網址取得的套件封裝檔。NPM 12預設行為從自動執行或解析改為明確授權，將使專案在升級前需要重新檢視相依來源與安裝流程，特別是仍相依Git套件、遠端網址套件，或安裝期間需執行編譯動作的專案。

Anthropic警告AI可在數小時內打造漏洞攻擊程式

AI新創Anthropic本週發表研究報告Measuring LLMs'impact on N-day exploits，指出大型語言模型（LLM）已大幅縮短已知漏洞（N-day）的武器化時間，其最新模型Claude Mythos Preview已可在數小時內自主分析修補程式、找出漏洞成因，並開發出可實際運作的漏洞攻擊程式。Anthropic指出，過去N-day漏洞利用開發最大的限制在於逆向工程專業人才稀缺，但AI正快速消除這項瓶頸，漏洞修補資訊公開後數小時內就可能被武器化。

歐盟網路韌性法案9月啟動漏洞與資安事件通報義務，Linux基金會示警全球軟體生態系準備不足

Linux基金會研究部門（Linux Foundation Research）與開放原始碼安全基金會（OpenSSF）近日發布報告指出，全球軟體與開放原始碼生態系對歐盟網路韌性法案（Cyber Resilience Act，CRA）的認知與準備仍明顯不足。這項調查於2026年初進行，共有843名來自歐洲、北美、亞太等地區的軟體產業與開放原始碼相關人員參與。結果顯示，有66%受訪者表示不熟悉CRA。在製造商準備程度方面，僅32%製造商已經對所有產品建立軟體物料清單（SBOM）。

加拿大提出社群媒體安全法案，首度將AI聊天機器人納管

加拿大政府於6月10日提出安全社交媒體法（Safe Social Media Act），最受到關注的部分在於，打算禁止16歲以下青少年使用社交媒體，但與其他國家已成立相關法案有所不同的地方是，加拿大首度將AI聊天機器人納入同一套數位安全監管框架。該法案要求，業者必須設立數位安全委員會，並降低聊天機器人傳播有害內容或出現有害行為的風險，並在使用者表達自殘或傷害他人意圖等危機情境時，公開說明其通報與處理門檻。

主打區域數位主權，歐盟版Office上線

6月9日歐盟版生產力軟體Office EU公布網頁版，提供類似Microsoft 365及Google Workspace的生產力軟體套件，目前僅接受非營利組織或中小企業申請邀請碼加入使用。就本質而言，Office EU強調歐洲數位主權概念，技術完全自主且資訊不受控外國政府。Office EU由歐盟IT業者及開源專案組織聯合開發，並代管於歐洲的資料中心，強調不受外國政府監控。而且，其核心100%為開源，且較傳統開源生產力套件更能相容Microsoft 365或Google Workspace。

歐盟科技自主權向前走，加速發展歐洲半導體、AI、雲端產業

歐盟執委會（European Commission）近期提出歐洲科技主權方案（European Technological Sovereignty Package），以半導體、人工智慧（AI）、雲端運算與開源軟體為核心，整合政策與法案，以強化歐洲數位自主能力，降低關鍵技術對外部供應商的依賴。該方案涵蓋《晶片法案2.0》、《雲端與AI發展法案》、《開源策略》，以及《能源領域數位化與AI戰略路線圖》等多項政策工具。

近期資安日報

【6月10日】Anthropic推出具有Mythos能力的Claude Fable 5

【6月9日】Check Point VPN零時差漏洞被用於勒索軟體攻擊

【6月8日】趨勢科技成首家加入Anthropic Project Glasswing的臺灣資安公司