每日安全情报报告 · 2026-04-25

发布时间 ：2026-04-25 12:53 CST
情报周期 ：2026-04-24 ～ 2026-04-25
风险概览：🔴 高危漏洞 5 项 | 🟠 在野利用 4 项 | 🟡 PoC 公开 2 项 | 📰 安全事件 5 项

一、高危漏洞速报

🔴 CVE-2026-35031 --- Jellyfin 字幕上传路径穿越 RCE（CVSS 9.9）

字段	详情
CVE 编号	CVE-2026-35031
CVSS 评分	9.9（严重）
漏洞类型	路径穿越 → 任意文件写入 → RCE（CWE-22）
受影响组件	Jellyfin Media Server < 10.11.7
修复版本	10.11.7+
认证要求	需字幕上传权限的低权限用户
利用状态	PoC 已公开
披露日期	2026-04-14

漏洞详情 ：漏洞位于字幕上传端点 POST /Videos/{itemId}/Subtitles，Format 字段未正确验证，攻击者可通过路径穿越写入任意文件（如 /etc/ld.so.preload），再借助 LD_PRELOAD 注入实现以 root 权限执行任意代码。

攻击链 ：字幕上传 → 路径穿越 → 写入 /etc/ld.so.preload → 读取数据库 → 提取管理员凭据 → LD_PRELOAD RCE（root 权限）

修复建议：立即升级至 Jellyfin 10.11.7+；临时缓解措施：禁用非管理员用户的"上传字幕"权限，限制对 Jellyfin 端口（8096）的网络访问。

NVD 详情 | 阿里云 AVD | GitHub PoC（keraattin）

🔴 CVE-2026-20180 --- Cisco ISE 已认证远程命令执行（CVSS 9.9）

字段	详情
CVE 编号	CVE-2026-20180
CVSS 评分	9.9（严重）
漏洞类型	输入验证不足 → 命令注入
受影响组件	Cisco Identity Services Engine (ISE)
利用条件	需要只读管理员（Read Only Admin）权限
利用状态	尚无在野利用记录
披露日期	2026-04-15

漏洞详情：Cisco ISE 对用户输入的验证不足，拥有只读管理员权限的攻击者可通过构造恶意 HTTP 请求注入操作系统命令，获得用户级 Shell 并进一步提升至 root 权限。在单节点部署场景下还可触发拒绝服务（DoS）。

同期补丁：Cisco 同日修复了 ISE 系列中的 CVE-2026-20147（CVSS 9.9，输入验证不足 RCE）及 Webex SSO 身份冒充漏洞 CVE-2026-20184。

修复建议：应用 Cisco 4月安全公告最新补丁；审查并收紧 ISE 管理界面的访问控制，避免将管理接口暴露于公网。

Cisco 安全公告 | TheHackerNews 分析

🔴 Cisco Catalyst SD-WAN Manager --- 三重高危漏洞（CISA KEV 在野利用）⚠️ 在野利用

字段	详情
CVE 编号	CVE-2026-20122 / CVE-2026-20128 / CVE-2026-20133
受影响组件	Cisco Catalyst SD-WAN Manager
利用状态	🔴 已在野利用，CISA KEV 2026-04-20 新增
联邦修复截止	2026-05-04
风险说明	SD-WAN Manager 处于网络架构核心控制层，一旦沦陷将影响整个网络编排层

漏洞详情：CISA 于 2026-04-20 将这三个 Cisco Catalyst SD-WAN Manager 漏洞纳入 KEV 目录，证实存在在野利用。攻击者可利用这些漏洞控制 SD-WAN 管理平面，影响分布式广域网的连接、策略和信任关系，风险极高。

修复建议：联邦机构须于 2026-05-04 前完成修复；企业用户建议立即应用 Cisco 最新安全更新，隔离 SD-WAN Manager 管理接口。

CISA KEV 公告 | CyberSixt 分析

🟠 Oracle April 2026 CPU --- 481 个安全补丁（含 34 个严重漏洞）

字段	详情
发布日期	2026-04-22
修复总量	481 个安全补丁，涉及 241 个 CVE
严重漏洞数	34 个（CVSS ≥ 9.0）
受影响产品	Oracle Communications、Fusion Middleware、MySQL、E-Business Suite、Java SE、Virtualization 等 20+ 产品系列
可远程利用	是（部分无需认证）

重点关注 ：

Oracle Identity Manager Connector ：CVE-2026-34287、CVE-2026-34289，多个高危 RCE 漏洞
Oracle Virtualization ：9 个新安全补丁，其中 1 个无需认证即可远程利用
本次 CPU 是 Oracle 历史上补丁量最大的季度更新之一

修复建议：企业应优先修复所有 CVSS ≥ 9.0 的漏洞，尤其是 Oracle Identity Manager 和 Oracle Fusion Middleware 组件。Oracle 强烈建议尽快应用所有适用补丁。

Oracle 官方 CPU 公告 | Tenable 分析 | Qualys 解读

🟠 CVE-2023-27351 / CVE-2024-27199 --- PaperCut & TeamCity CISA KEV 截止日⚠️ 在野利用

CVE	产品	CVSS	状态
CVE-2023-27351	PaperCut NG/MF	9.8	🔴 在野大规模利用，联邦截止 4月23日
CVE-2024-27199	JetBrains TeamCity	10.0	🔴 在野利用，联邦截止 4月23日

说明：CISA 于 2026-04-20 新增的 8 个 KEV 漏洞中，PaperCut 和 TeamCity 的修复截止日期为 4 月 23 日（昨日），尚未完成修复的组织面临极高风险。这两个漏洞均已被攻击者在野大规模利用，曾被国家级 APT 组织用于初始访问。

CISA KEV 公告 | TheHackerNews 速报

二、漏洞 PoC 情报

🛠️ PoC #1 --- CVE-2026-35031：Jellyfin 字幕路径穿越 RCE

来源：GitHub --- keraattin/CVE-2026-35031（查看仓库）
披露日期 ：2026-04-15
严重程度：CVSS 9.9

漏洞原理 ：POST /Videos/{itemId}/Subtitles 端点的 Format 字段未过滤路径穿越字符，攻击者可写入 /etc/ld.so.preload，利用 LD_PRELOAD 机制实现 root 级 RCE。

使用步骤（检测用途，仅限授权测试）：

bash 复制代码

# 1. 克隆仓库
git clone https://github.com/keraattin/CVE-2026-35031.git
cd CVE-2026-35031

# 2. 安装依赖
pip install requests urllib3

# 3. 检测单个目标
python CVE-2026-35031_Jellyfin_RCE_detector.py -t http://TARGET_IP:8096

# 4. 批量扫描（CIDR 范围）
python CVE-2026-35031_Jellyfin_RCE_detector.py -t http://10.0.0.0/24

# 5. 或使用 Nmap NSE 脚本
sudo cp CVE-2026-35031_Jellyfin_RCE.nse /usr/share/nmap/scripts/
sudo nmap --script-updatedb
nmap -sV -p 8096 --script CVE-2026-35031_Jellyfin_RCE TARGET_IP

验证是否已被利用：

bash 复制代码

# 检查 ld.so.preload 是否被篡改
cat /etc/ld.so.preload

# 检查可疑字幕文件
find /var/lib/jellyfin/subtitles -type f -newer /proc -ls

⚠️ 免责声明：以上步骤仅用于授权范围内的安全测试，未经授权的攻击行为属于违法犯罪。

GitHub PoC | 阿里云 AVD 漏洞详情

🛠️ PoC #2 --- CVE-2026-26720：Twenty CRM 无认证 RCE + 永久后门

来源：GitHub --- 公开 PoC（2026-04-17 披露）
CVSS 评分 ：9.8（严重）
受影响组件：Twenty CRM

漏洞特点 ：该漏洞极为危险------无需身份认证即可执行任意代码，且可在系统中植入永久后门（即使升级或重装后仍可能持久存在）。该漏洞已在 GitHub 上公开 PoC 代码。

使用步骤（检测用途，仅限授权测试）：

bash 复制代码

# 1. 克隆 PoC 仓库（参考开源安全研究仓库）
git clone https://github.com/0xMarcio/cve
cd cve

# 2. 安装 Python 依赖
pip install requests

# 3. 针对 Twenty CRM 目标执行检测
# 注意：具体 PoC 脚本因研究人员不同而有差异
# 基本思路：向 CRM API 端点发送未认证的命令注入 Payload

# 4. 建议：检测目标是否运行了受影响版本的 Twenty CRM
curl -s http://TARGET:PORT/api/version

缓解建议 ：

立即更新 Twenty CRM 至最新版本
检查系统是否已有持久化后门迹象（计划任务、crontab、新增系统用户）
审计应用日志中的未授权 API 访问记录

⚠️ 免责声明：仅用于授权安全测试，未经许可的测试属违法行为。

DIESEC 漏洞追踪报告 | NVD 参考

三、安全事件与威胁情报

🔥 事件一：FIRESTARTER 后门攻击美国联邦机构 Cisco 防火墙设备

时间：2026-04-24 披露
严重性 ：🔴 极高
来源：CISA + 英国 NCSC 联合公告

CISA 与英国国家网络安全中心（NCSC）联合披露，一个名为 FIRESTARTER 的此前未知后门恶意软件成功入侵了一家美国联邦政府机构的 Cisco Firepower 设备（运行 ASA 或 FTD 软件）。

关键发现 ：

FIRESTARTER 能够在 补丁安装后仍保持持久存在 ，即"打了补丁也清不掉"
攻击者利用了 Cisco ASA/FTD 的已知 CVE 漏洞作为初始入口（相关 CVE 已纳入 CISA KEV 目录，联邦机构本应强制修复）
CISA 已发布 AR26-113A 分析报告，提供了 FIRESTARTER 的详细 IOC 和检测指导
CISA 和 NCSC 评估认为该后门可能在受感染的 Cisco 设备上持续活跃

攻击影响：此次事件再次证明，仅完成补丁部署不足以清除已植入的后门------防御者需要在修复之外，主动开展入侵检测和清除工作。

CISA AR26-113A 报告 | The Register 报道 | GovInfoSecurity 分析

🔥 事件二：Kyber 勒索软件 --- 后量子加密新威胁（Windows + VMware ESXi）

时间：2026-04-22 首次发现，2026-04-24 Rapid7 发布分析报告
严重性 ：🟠 高
来源：Rapid7、CYFIRMA、CSA Labs

安全研究人员于 2026-04-22 发现新型勒索软件 Kyber ，以其宣称采用"后量子加密"技术为特点，同时攻击 Windows 系统 和 VMware ESXi 虚拟化环境。

技术特征 ：

Windows 变种 ：加密密钥使用 Kyber1024 保护（后量子密码算法）
Linux/ESXi 变种 ：研究人员发现其"后量子"声明有夸大成分，实际使用的是常规对称加密，但针对 VMware ESXi 的破坏力极强
专门针对虚拟化基础设施 、文件服务器和业务连续性平台
攻击目标定位于恢复拒绝------让受害者无法在不支付赎金的情况下恢复

防御建议 ：

将 VMware ESXi 管理接口从公网隔离，部署双因素认证
确保存在离线/不可变的备份（勒索软件专门针对在线备份和快照）
警惕"后量子勒索软件"的炒作噱头，但需认真对待其对虚拟化基础设施的实际威胁

Rapid7 分析报告 | CSA Labs 研究

🔥 事件三：Elite Enterprise 勒索软件 --- 隐蔽式加密全面破坏

时间：2026-04-14~24 持续活跃
严重性 ：🟠 高
来源：CYFIRMA 每周情报报告（2026-04-24）

Elite Enterprise 勒索软件是一种高破坏性勒索软件，最大特点是加密文件但不改变文件名，使受害者在数据已完全无法访问时仍难以察觉异常，导致响应延迟。

技术细节 ：

混合加密：AES-256 （文件加密）+ RSA-4096 （密钥保护）
核心破坏行为：删除卷影副本（VSS）、可能修改 MBR/VBR 引导扇区
破坏管理工具、云资源和网络基础设施
勒索金额：227 BTC ，7 天期限，声称"不可谈判"
生成 HTML 和 TXT 双格式勒索信

防御重点 ：

监控卷影副本（VSS）删除行为
检测异常的 MBR/VBR 写入操作
实施不可变备份策略（避免勒索软件触及备份）

CYFIRMA 情报报告 | PCRisk 分析

🔥 事件四：CrystalX RAT --- 高隐蔽性长期驻留木马

时间：2026-04-24 CYFIRMA 披露
严重性 ：🟠 高
来源：CYFIRMA 每周情报报告

CrystalX RAT 是一款强调隐蔽性和持久性的远控木马，主要目标为 Windows 系统，已发现全球范围内的感染案例。

主要 TTP ：

利用 WMI（wmiadap.exe） 进行间接执行，规避检测
将恶意进程注入 svchost.exe 等合法系统进程
在临时目录中部署随机命名文件
与底层安全驱动（\Device\KsecDD）交互，可能用于高权限操作
采用加壳和混淆对抗逆向分析

检测建议 ：

监控 wmiadap.exe 的异常子进程行为
检测 svchost.exe 与临时目录的不寻常连接
使用基于行为的 EDR 检测规则，而非单纯的签名匹配

CYFIRMA 情报报告

🔥 事件五：Booking.com 数据泄露 + 精准钓鱼攻击浪潮

时间：2026-04-24 新一轮确认
严重性 ：🟡 中高
来源：DIESEC 安全资讯

Booking.com 确认遭受数据泄露，攻击者获取了用户的预订详情、旅行日期、目的地及个人联系信息（不含支付数据），随即引发大规模精准钓鱼攻击浪潮。

泄露信息 ：姓名、邮件、电话号码、预订详情、旅行日期/目的地
未泄露：支付卡数据

攻击利用方式：攻击者利用高度上下文化的旅行信息，仿冒 Booking.com 向受影响用户发送极具欺骗性的钓鱼邮件（包含准确的预订号和行程信息），诱导用户点击恶意链接或泄露账号密码。

用户建议 ：

对任何声称来自 Booking.com 的邮件/短信保持警惕，勿点击链接
直接登录 Booking.com 官网核实账户信息
启用账户双因素认证（2FA）

DIESEC 报道 | 4月数据泄露汇总

四、本周精选安全文章

📖 文章一：CISA 和 NCSC 联合发布 FIRESTARTER 后门技术分析报告

来源：CISA 官方
摘要：美国 CISA 与英国 NCSC 联合发布技术分析报告 AR26-113A，详细记录了 FIRESTARTER 后门如何入侵美国联邦机构 Cisco Firepower 设备，并能在设备完成补丁修复后持续存在。报告提供了 IOC 指标、YARA 规则和清除建议。这是 2026 年迄今最重要的政府级网络安全披露之一。

阅读原文

📖 文章二：Oracle 4 月 CPU 修复 481 个漏洞 --- Tenable 深度解读

来源：Tenable 博客
摘要：Tenable 对 Oracle 2026 年 4 月关键补丁更新进行了深度分析。本次 CPU 共涉及 241 个 CVE、481 个安全补丁，覆盖超过 28 个产品系列，其中 34 个严重漏洞（CVSS ≥ 9.0）。文章详细梳理了各产品线的风险优先级，帮助企业制定修复计划。

阅读原文

📖 文章三：Kyber 勒索软件 --- 后量子加密正在成为攻击武器

来源：CSA Labs（云安全联盟研究院）
摘要：CSA Labs 在最新研究笔记中深度分析了 Kyber 勒索软件如何将 NIST 后量子密码标准（Kyber1024）反向用作攻击工具。文章指出这是企业加速加密迁移计划的最有力论据------防御者必须迁移至抗量子算法，否则面临密钥永久无法恢复的风险。

阅读原文

📖 文章四：CISA KEV 新增 8 个在野利用漏洞 --- 含 Cisco SD-WAN 三漏洞

来源：The Hacker News
摘要：本文详细梳理了 CISA 于 2026-04-20 新增至 KEV 目录的 8 个在野利用漏洞，包括 Cisco Catalyst SD-WAN Manager 三个高危漏洞（联邦修复截止 5月4日）、PaperCut NG/MF（截止 4月23日）和 JetBrains TeamCity（截止 4月23日）。文章分析了各漏洞的利用场景和紧急修复优先级。

阅读原文

📖 文章五：朝鲜 Sapphire Sleet（Lazarus）扩大 macOS 攻击行动

来源：CYFIRMA 每周情报报告（2026-04-24）
摘要：CYFIRMA 最新情报显示，朝鲜关联的 APT 组织 Sapphire Sleet（Lazarus Group 的一个部门）正在加强针对 macOS 用户的攻击，通过社会工程学诱骗目标运行伪装成软件更新的恶意 AppleScript 文件。主要针对加密货币交易所、资本市场机构和金融科技公司，意在窃取凭据和大规模数据外泄。

阅读原文

五、风险优先级汇总

优先级	CVE / 事件	受影响范围	建议行动
🔴 P0-立即处置	CVE-2023-27351 PaperCut（CISA KEV，已过截止日）	PaperCut NG/MF 用户	立即打补丁，检查是否已被入侵
🔴 P0-立即处置	CVE-2024-27199 TeamCity（CISA KEV，已过截止日）	JetBrains TeamCity 用户	立即升级，清查访问日志
🔴 P0-立即处置	FIRESTARTER 后门（Cisco ASA/FTD）	联邦机构 + 企业 Cisco 防火墙	部署 CISA IOC，主动检测 + 清除
🔴 P1-24小时内	CVE-2026-35031 Jellyfin（CVSS 9.9，PoC 公开）	自托管 Jellyfin 媒体服务器	升级至 10.11.7+，禁用字幕上传
🔴 P1-24小时内	CVE-2026-20180 Cisco ISE（CVSS 9.9）	Cisco ISE 部署	应用最新补丁，收紧管理访问
🟠 P2-本周内	Cisco SD-WAN CVE-2026-20122/20128/20133（KEV）	SD-WAN 网络	联邦须 5月4日前修复，企业即刻行动
🟠 P2-本周内	Oracle CPU 481 个补丁（含 34 个严重）	Oracle 产品用户	优先修复 CVSS ≥ 9.0 漏洞
🟡 P3-关注	Kyber 勒索软件（VMware ESXi 定向攻击）	虚拟化基础设施	隔离 ESXi 管理接口，验证离线备份

六、今日关键数字

📊 481 --- Oracle 4 月 CPU 补丁总数（历史级规模）
📊 8 --- CISA 本周新增 KEV 漏洞数
📊 9.9 --- Jellyfin CVE-2026-35031 和 Cisco ISE CVE-2026-20180 的 CVSS 满分
📊 227 BTC --- Elite Enterprise 勒索软件索取赎金金额（约 1,700 万美元）
📊 1 --- 被 FIRESTARTER 成功攻击的美国联邦机构（已确认）

报告生成时间：2026-04-25 12:53 CST
数据来源：CISA、Oracle、Cisco、CYFIRMA、Rapid7、TheHackerNews、DIESEC、GitHub、Tenable、Qualys、CSA Labs
本报告仅供安全研究与防御参考，所有 PoC 信息均用于授权安全测试目的。