台灣資安新聞彙整 2026.03.18-03.24

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

3/18

CISA 示警 Microsoft SharePoint 存在零點擊遠端代碼執行漏洞

一個存在於 Microsoft SharePoint 中的關鍵反序列化漏洞（CVE-2026-20963）正遭到積極利用。攻擊者無需與用戶互動，即可在伺服器上執行惡意代碼，直接威脅企業託管在 SharePoint 雲端環境中的所有文件。

https://www.theregister.com/2026/03/19/unknown_attackers_exploit_yet_another/

3/19

法國軍官的跑步應用 Strava 記錄暴露了法國航空母艦的位置

一名法國軍官在「戴高樂」號航空母艦甲板上進行了高速慢跑。由於他沒有關閉 Strava 的 GPS 追蹤功能，實際上將這艘核動力航空母艦變成了地中海上的數位信標。

https://www.ibtimes.co.uk/french-naval-officer-fitness-app-breach-1786876

思科防火牆管理平臺零時差漏洞遭勒索軟體駭客 Interlock 濫用，最早可追溯至一月底

3月初思科修補的防火牆管理平臺 Secure FMC 重大漏洞 CVE-2026-20131，傳出一個月前就被用於實際攻擊。Amazon 威脅情報團隊發現，勒索軟體駭客 Interlock 將其用於入侵受害組織，並藉此傳送其他作案工具。

https://www.ithome.com.tw/news/174512

3/20

Aura 證實資料外洩事件，近 90 萬筆客戶聯絡資料遭未授權存取

知名身分竊盜防護商 Aura 證實資料外洩，起因是其併購的一間公司所使用的雲端行銷工具存有漏洞。駭客組織宣稱竊取了 12GB 的敏感文件，影響約 3.5 萬名客戶。

https://www.aura.com/press/release/statement-on-exposure-of-customer-information

3/23

微軟發布預警：鎖定報稅季的 RMM 惡意軟體攻擊已影響上萬組織

微軟發布預警，駭客正利用美國報稅季發動大規模釣魚攻擊，透過偽造退稅或 IRS 公文，誘騙個人與財務專業人員點擊連結或掃描 QR Code。其主要目的是竊取帳號憑證或植入合法遠端管理軟體（RMM），藉此長期操控受害者電腦並盜取金融資產。

https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html

3/24

大型語言模型開發工具 Langflow 存在重大漏洞，未經驗證的攻擊者可用於執行任意程式碼

圖像化大型語言模型（LLM）開發工具 Langflow 存在重大等級的資安漏洞 CVE-2026-33017，攻擊者可在未經身分驗證的狀態下，建立公開的工作流程，從而執行任意的程式碼，甚至能進一步讀寫任何檔案、洩露環境變數、橫向移動。

https://www.ithome.com.tw/news/174606

馬自達倉儲資訊系統遭駭，外洩員工、合作夥伴資料

日本汽車大廠馬自達（Mazda），本週進口零件相關的倉儲管理系統遭駭客入侵，692筆員工與合作夥伴資料外洩，恐成為釣魚攻擊目標。

https://www.ithome.com.tw/news/174609