台灣資安新聞彙整 2026.05.06-05.12

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

5/8

Claude Chrome 擴充功能爆發 ClaudeBleed 漏洞：攻擊者可接管 AI 代理並竊取資料

網路安全公司 LayerX 揭露了一個名為「ClaudeBleed」的嚴重漏洞。該漏洞源於 Claude 擴充功能的權限管理過於寬鬆，且缺乏適當的信任驗證機制，導致攻擊者可以遠端接管使用者的 AI 代理。

https://www.securityweek.com/vulnerability-in-claude-extension-for-chrome-exposes-ai-agent-to-takeover/

WordPress 轉址外掛功能發現潛藏多年後門程式，逾 7 萬網站恐暴露於惡意程式散播風險

網站代管業者 Austin Ginder 近日發布報告，指出廣泛使用的開源網站管理系統 WordPress 上，有不少用戶使用的外掛程式 Quick Page/Post Redirect 存在潛藏 5 年的後門，影響超過 7 萬個網站，可能導致內容注入與惡意程式碼散播等問題。

https://www.ithome.com.tw/news/175662

5/10

Zara 雲端資料外洩：20 萬名客戶資料流向暗網

快時尚巨頭 Zara 證實，由於第三方雲端分析商（Anodot）的身份驗證令牌（Tokens）遭竊，導致其位於 Snowflake/BigQuery 環境中的資料庫被非法存取。約 19.7 萬名客戶的電子郵件、購買紀錄與服務工單遭外洩，攻擊者隨後在暗網公開了部分內容。

https://www.infosecurity-magazine.com/news/zara-data-breach-impacts-200000/

跨國釣魚攻擊 Operation HookedWing 曝光：四年滲透逾 500 家組織

資安公司 SOCRadar 揭露了一場名為「Operation HookedWing」的長期網路釣魚行動。該攻擊已持續超過四年，攻擊者成功竊取了超過 500 家組織、逾 2,000 組使用者的憑證。受害者遍布全球多個關鍵基礎設施領域，涵蓋航空旅遊、能源、金融、政府機構及科技產業。

https://www.securityweek.com/over-500-organizations-hit-in-years-long-phishing-campaign/

5/11

Instructure (Canvas LMS) 再度遭駭：全球逾 330 所大學受影響

駭客組織 ShinyHunters 利用系統漏洞再度入侵教育科技巨頭 Instructure，竄改了 Canvas 學習管理系統的登入頁面與行動 App。攻擊者在頁面植入勒索訊息，宣稱已竊取學生 ID、電子郵件等資料，並要求受影響學校在 5 月 12 日前支付贖金。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12906

cPanel/WHM 爆發身份驗證繞過漏洞 CVE-2026-41940

雲端主機管理平台 cPanel & WHM 披露了一個高風險漏洞。遠端攻擊者可利用該漏洞繞過身分驗證機制，取得主機管理權限。這將直接威脅託管在雲端環境中的數百萬個網站及其後端資料庫。

https://thehackernews.com/2026/05/cpanel-cve-2026-41940-under-active.html

惡意程式 ZiChatBot 透過 PyPI 套件散布，針對 Windows 與 Linux 用戶而來

資安公司卡巴斯基近日揭露駭客組織 OceanLotus（APT32）於 PyPI 儲存庫的攻擊活動，攻擊者自2025年7月上傳一系列的惡意套件，而這些套件確實具備駭客宣稱的功能，不過實際上卻會根據受害電腦的作業系統。

https://www.ithome.com.tw/news/175669