🏛️
数据安全早知道
2026年07月03日 · 周五
📑 Vol.277
🔒 数据安全
🛡️ 信息安全
4
监管动态
3
安全事件
3
漏洞预警
2
风险提示
📋 本期要闻速览
▸
八部门联合印发《关于推动工业互联网高质量发展的实施意见》
▸
Gitea act_runner容器逃逸漏洞(CVE-2026-58053)被公开
▸
超级模型与智能体推高网络安全需求,多家网安巨头业绩创纪录
▸
美国保险业资产评级认证因网络攻击暂停,或引发险资震荡
▸
世界主要国家后量子密码迁移态势分析与中国战略应对
📋
监管动态
3条
我国后量子密码迁移政策法律洞察与适用性研究
政策
量子计算的巨大潜力引发新一轮技术变革和激烈竞争。理论界对量子计算能力跃升的预期,使现代密码学的“破解”风险正以一种前所未有的方式显现,并从底层冲击现代密码学的数学和工程基础。后量子密码(PQC)基于新的数学问题,研究和设计正在加速推进,为应对量子安全风险,我国需加快政策法律层面的布局与适用性研究。
📎 安全内参 · 2026-07-03
工业和信息化部等八部门印发《关于推动工业互联网高质量发展的实施意见》
政策
工业和信息化部等八部门联合印发《关于推动工业互联网高质量发展的实施意见》,旨在推动工业互联网在更广范围、更深程度、更高水平上实现高质量发展。意见涉及国家发展和改革委员会、人力资源和社会保障部、应急管理部、中国人民银行、国务院国有资产监督管理委员会、国家市场监督管理总局、中国证券监督管理委员会等多个部门,体现了国家对工业互联网安全与发展的重视。
📎 工信部 · 2026-07-03
《网络安全标准实践指南——智能体部署使用安全指引》发布
政策
为指导使用者安全部署使用智能体,降低相关安全风险隐患,秘书处组织编制了《网络安全标准实践指南——智能体部署使用安全指引》。本《实践指南》给出了评估、准备、部署、使用、停用等阶段的智能体部署使用安全指引,适用于智能体部署使用的安全风险防范,也可为选择使用商业智能体服务提供参考。
📎 安全内参 · 2026-07-03
· · ·
🚨
安全事件
3条
Gitea act_runner容器逃逸漏洞(CVE-2026-58053)安全风险通告
紧急
Gitea act_runner 存在容器逃逸漏洞,攻击者可以利用此漏洞,在 Docker 支持的运行器上运行工作流的用户可以创建一个具有主机命名空间和广泛能力的作业容器,并在禁用特权模式的情况下逃逸到主机并以 root 身份运行,从而完全控制运行器所在的服务器。Gitea 是一款轻量级的开源代码托管平台,该漏洞影响范围广泛,需紧急修复。
📎 安全内参 · 2026-07-03
超级模型和智能体推高网络安全需求!多家网安巨头迎来最佳业绩季度
高
AI刺激网络安全需求增长,多家网安巨头业绩超预期。Palo Alto公布千亿营收冲刺计划,网络安全迈向平台化寡头竞争。推动这一需求增长的是一系列Mythos级模型的出现,这类模型可被黑客用于发现软件漏洞并发动大规模攻击,倒逼企业加紧提升自身网络安全防御能力。过去几个月,CrowdStrike和派拓等公司业绩创纪录。
📎 安全内参 · 2026-07-03
美国保险业资产评级认证因网络攻击暂停,或引发险资震荡
高
美国保险业资产评级认证因网络攻击暂停,可能引发险资震荡。攻击涉及生产环境下的AWS基础设施日志和云配置文件,以及带有存储凭证且与生产环境关联的SQL脚本。NAIC将配置文件描述为“过时的”或许符合事实,但这并未解决这些文件所引发的安全风险。此次事件凸显了关键金融基础设施面临的严峻网络威胁。
📎 安全内参 · 2026-07-03
· · ·
🔓
漏洞预警
3条
PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行
紧急
本次高危漏洞命名“PolyShell”,核心特征为攻击者上传多格式兼容恶意文件,该文件既可伪装成常规图片绕过安全检测,又能解析执行后台恶意脚本后门。该漏洞影响所有Magento开源版与Adobe Commerce 2系列稳定版本,攻击者可实现未授权远程代码执行,对电商平台构成严重威胁。
📎 嘶吼 · 2026-07-03
Solon框架模板漏洞深度剖析与修复实战
中
Solon 是一个轻量级的 Java 应用开发框架,类似于 Spring Boot,但更加轻量。支持多种模板引擎,包括 Beetl、FreeMarker、Velocity 等。在模板处理方面,Solon 采用了灵活的渲染器映射机制,这也是出现该漏洞的关键原因。攻击者可利用此漏洞进行模板注入攻击,导致远程代码执行。
📎 安全脉搏 · 2026-07-03
Mongoose 搜索注入漏洞分析
中
Mongoose 是一个用于 Node.js 的 MongoDB 对象建模工具,它使得与 MongoDB 数据库交互变得更加简单和高效。该漏洞主要是因为在使用 $where 运算符时出现了问题,攻击者可以利用搜索注入漏洞,在未授权的情况下执行恶意查询,可能导致数据泄露或数据库被操控。
📎 安全脉搏 · 2026-07-03
· · ·
⚠️
风险提示
2条
世界主要国家后量子密码迁移态势分析与中国战略应对
政策
随着量子计算对现有公钥密码体制的颠覆性威胁日益迫近,后量子密码(PQC)迁移部署已成为各国政府及安全机构积极进行战略布局的前沿方向。为应对量子安全风险,美国通过政策立法强制与标准引领的协同驱动方式取得PQC迁移的先发优势,美国盟友、欧盟及其代表性成员国以及中国也积极采取措施,呈现出不同程度的战略协同。
📎 安全内参 · 2026-07-03
以 CaaS 2.0 重构数字信任,领航后量子时代——亚数TrustAsia 2026春季战略发布会
政策
这是一个数字身份呈指数级爆炸的时代。当人们还在谈论移动互联网的红利消减,关于后量子时代(PQC)的威胁、TLS/SSL 证书、代码签名证书有效期的持续缩短、以及机器身份规模化管理的挑战,已如潮水般涌至企业 CIO 们的案头。亚数TrustAsia 在发布会上提出了CaaS 2.0战略,旨在重构数字信任体系,领航后量子时代。
📎 嘶吼 · 2026-07-03
· · ·
✅
安全建议
5条
1
紧急:
针对Gitea act_runner容器逃逸漏洞(CVE-2026-58053),建议所有使用Gitea的组织立即检查并更新act_runner组件,限制运行器权限,避免使用主机命名空间,防止攻击者利用工作流逃逸至宿主机。
2
紧急:
针对PolyShell高危漏洞影响Magento电商系统,建议所有使用Magento开源版与Adobe Commerce 2系列的用户立即安装官方补丁,并加强文件上传检测机制,防止多格式兼容恶意文件绕过安全检测。
3
重要:
鉴于超级模型和智能体推高网络安全需求,以及多家网安巨头业绩创纪录,建议企业加速部署AI驱动的安全防御体系,重点关注Mythos级模型带来的新型攻击风险,并评估现有EDR系统的对抗能力。
4
重要:
针对美国保险业资产评级认证因网络攻击暂停事件,建议国内金融机构立即审查云基础设施日志和配置文件的安全性,避免存储凭证泄露,并加强第三方服务的安全审计。
5
建议:
鉴于后量子密码迁移成为全球趋势,建议企业提前规划密码体系升级路线图,关注国家标准和行业指引,特别是涉及公钥基础设施(PKI)和数字证书的领域,为后量子时代做好准备。
📰 数据安全早知道
数据来源:安全内参 · 工信部 · 嘶吼 · 安全脉搏
— 仅供内部参考,不构成投资或合规建议 —
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —