每日資安新聞摘要 — 2026-05-21
2026 年 5 月 21 日
📊 本日重點: SEPPMail 加密郵件閘道爆出 CVSS 10.0 滿分漏洞,無需認證即可遠端執行任意程式碼;OpenClaw AI 代理平台四漏洞攻擊鏈「Claw Chain」影響全球 24.5 萬台伺服器。
共 4 則重要新聞(來源:The Hacker News、Dark Reading、BleepingComputer、iThome)
🟡 [重大漏洞] SEPPMail 加密郵件閘道爆 7 個漏洞,含 CVSS 10.0 RCE
- 日期: 2026-05-19
- 標題: SEPPMail Secure E-Mail Gateway Vulnerabilities Enable RCE and Mail Traffic Interception
- 來源: The Hacker News
- 摘要: SEPPMail 安全郵件閘道被揭露存在 7 個資安漏洞,其中 CVE-2026-2743 為 CVSS 10.0 滿分的路徑穿越(Path Traversal)漏洞,攻擊者無需認證即可透過大型檔案傳輸(LFT)功能寫入任意檔案,實現遠端程式碼執行。另有 CVE-2026-44128(CVSS 9.3)可透過 Perl 程式碼注入達成 RCE,CVE-2026-44127(CVSS 8.8)可讀取與刪除任意檔案。SEPPMail 在德國、奧地利、瑞士(DACH 地區)廣泛使用,所有使用 GINA V2 介面的組織應立即更新。
🟡 [重大漏洞] OpenClaw AI 代理平台「Claw Chain」四漏洞攻擊鏈,24.5 萬台伺服器暴露
- 日期: 2026-05-18
- 標題: ‘Claw Chain’ Vulnerabilities Threaten OpenClaw Deployments
- 來源: Dark Reading | iThome
- 摘要: 資安公司 Cyera 揭露 OpenClaw AI 代理平台的 4 個可串連漏洞(CVE-2026-44112、CVE-2026-44113、CVE-2026-44115、CVE-2026-44118),命名為「Claw Chain」。攻擊者可依序利用漏洞實現沙箱逃逸、竊取憑證、取得代理執行環境的完整控制權限,並植入後門。CVE-2026-44112(CVSS 9.6)為 TOCTOU 競態條件漏洞。全球約 24.5 萬台公開部署的 OpenClaw 伺服器受影響,其中 85% 未啟用有效身份驗證。所有 2026 年 4 月 23 日前的版本均受影響,應立即升級至 2026.4.22 以上版本。
🟡 [重大漏洞] Linux 核心 DirtyDecrypt 漏洞,Copy Fail 變種再現提權風險
- 日期: 2026-05-19
- 標題: 【資安日報】5月19日,Linux核心再傳Copy Fail新變種漏洞
- 來源: iThome
- 摘要: Linux 核心出現新的本機權限提升漏洞 DirtyDecrypt,為先前 Copy Fail(CVE-2026-31431)、Dirty Frag 與 Fragnesia 的變種。研究團隊確認相關問題已在主流 Linux 發行版中完成修補後才公開細節。此漏洞存在長達多年,影響 Ubuntu、Amazon Linux、RHEL、SUSE 等主要發行版,可從一般使用者提升至 root 權限,且能跨越容器邊界。系統管理員應確認已套用最新核心更新。
🟡 [重大事件] CISA 驚傳在 GitHub 暴露 AWS GovCloud 金鑰與內部系統憑證
- 日期: 2026-05-20
- 標題: 【資安日報】5月20日,CISA驚傳暴露AWS GovCloud金鑰、內部系統憑證
- 來源: iThome
- 摘要: 美國網路安全與基礎設施安全局(CISA)的一名承包商在公開的 GitHub 儲存庫中暴露了多個高權限 AWS GovCloud 帳戶的存取金鑰,以及大量 CISA 內部系統的憑證。AWS GovCloud 是專為美國政府機構設計的高度安全雲端環境,此次洩露涉及政府級基礎設施的存取權限,影響範圍可能涵蓋美國聯邦機構的關鍵系統。事件凸顯即使是頂級資安機構也面臨供應鏈與內部人員安全管理的挑戰。
參考來源: