每日安全情报报告 · 2026-05-05

报告日期 ：2026年5月5日（周二）
情报窗口 ：近 24-48 小时
数据来源：NVD、CISA KEV、TheHackerNews、FreeBuf、安全客、Progress Software、CERT-EU、Sophos、BleepingComputer

风险概况

级别	数量	说明
🔴 严重	3	MOVEit认证绕过、cPanel认证绕过（在野）、Linux Copy Fail（在野）
🟠 高危	3	MOVEit提权、Windows Defender提权（在野）、SharePoint欺骗（在野）
🟡 中危	1	Wireshark协议解析DoS
⚠️ 在野利用	5	CVE-2026-41940、CVE-2026-31431、CVE-2026-32201、CVE-2026-33825、CVE-2026-21643

一、最新高危漏洞（CVE 详情）

🔴 CVE-2026-4670 --- Progress MOVEit Automation 认证绕过（严重）

漏洞类型：认证绕过（CWE-305: Authentication Bypass by Primary Weakness）
受影响组件：Progress MOVEit Automation 2025.0.0 ～ 2025.0.9 之前、2024.0.0 ～ 2024.1.8 之前，及所有更早版本
CVSS 评分 ：9.8（严重） --- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞描述：未经认证的远程攻击者可直接绕过 MOVEit Automation 的身份验证机制，获取管理权限，导致数据泄露和远程代码执行。
修复版本 ：MOVEit Automation 2025.0.9 / 2024.1.8
在野利用：暂未发现公开在野利用，但厂商于2026年5月4日紧急发布通告，建议立即升级
参考链接：
NVD 详情
Progress 官方安全公告
BleepingComputer 报道

🔴 CVE-2026-41940 --- cPanel & WHM 认证绕过零日（严重 · 在野利用）

漏洞类型：认证绕过 → 远程代码执行
受影响组件：cPanel & WHM（约150万实例暴露，44000+ 已被攻陷）
CVSS 评分 ：9.8（严重）
漏洞描述：攻击者无需任何认证即可绕过 cPanel/WHM 登录机制，获取最高权限控制面板，进而远程执行代码。部分攻击甚至清空了整个网站及备份。
在野利用 ：✅ 已在野大规模利用 （自2026年2月起），CISA KEV 已收录，联邦机构修复截止日 2026年5月3日（已到期）
POC 状态 ：✅ 已公开（CVE-2026-41940 POC）
参考链接：
TheHackerNews 报道
Dataminr 情报简报

🔴 CVE-2026-31431（Copy Fail）--- Linux 内核本地提权（严重 · 在野利用）

漏洞类型：页缓存污染 → 本地权限提升（CWE-669: Incorrect Resource Transfer Between Spheres）
受影响组件：Linux 内核 4.14+（2017年起），所有主流发行版（Ubuntu、Debian、CentOS、RHEL、麒麟等）
CVSS 评分 ：7.8（高危），但实际可利用性极高，被称为"史诗级提权漏洞"
漏洞描述 ：Linux 内核 algif_aead 模块在处理 AF_ALG 加密操作时存在逻辑错误，本地普通用户可向任意可读文件的页缓存写入4个受控字节，篡改 setuid 程序（如 su、sudo）获取 root 权限。利用仅需732字节脚本，1秒内完成提权。
在野利用 ：✅ 已在野利用 ，CISA 于2026年5月1日将其加入 KEV 目录
修复版本：Linux 内核 6.14.4 / 6.12.25 / 6.6.87 / 6.1.134 等后续版本
参考链接：
NVD 详情
微软安全博客分析
Sophos PoC 分析
CERT-EU 安全通告

🟠 CVE-2026-5174 --- Progress MOVEit Automation 权限提升（高危）

漏洞类型：输入验证不当 → 权限提升（CWE-20）
受影响组件：Progress MOVEit Automation（同 CVE-2026-4670 受影响版本）
CVSS 评分 ：7.7（高危）
漏洞描述：经过身份验证的低权限用户可通过输入验证缺陷提升权限，结合 CVE-2026-4670 可实现完全系统接管。
修复版本 ：MOVEit Automation 2025.0.9 / 2024.1.8
参考链接：
NVD 详情
HelpNetSecurity 报道

🟠 CVE-2026-33825 --- Windows Defender 本地提权（高危 · 在野利用）

漏洞类型：TOCTOU 竞态条件 → 本地权限提升
受影响组件：Microsoft Windows Defender（10亿+ 设备）
CVSS 评分 ：7.8（高危）
在野利用 ：✅ 已在野利用（BlueHammer / RedSun 漏洞链），CISA KEV 已收录
参考链接：
CISA KEV 目录
TheHackerNews 报道

🟠 CVE-2026-32201 --- Microsoft SharePoint 欺骗零日（高危 · 在野利用）

漏洞类型：欺骗攻击（Spoofing）
受影响组件：Microsoft SharePoint Server
CVSS 评分 ：6.5（中危），但因在野利用评为高危
在野利用 ：✅ 已在野利用 ，CISA KEV 已收录，联邦修复截止日 2026年4月28日（已到期）
参考链接：
MSN/微软官方说明

🟡 CVE-2026-5405 --- Wireshark RDP 协议解析崩溃（中危）

漏洞类型：协议解析器崩溃 → 拒绝服务（可能为 RCE）
受影响组件：Wireshark 4.6.0 ～ 4.6.4，4.4.0 ～ 4.4.14
CVSS 评分 ：7.8（高危）
漏洞描述：RDP 协议解析器存在缺陷，攻击者可构造恶意数据包导致 Wireshark 崩溃，可能执行任意代码。
修复版本：Wireshark 4.6.5 / 4.4.15
参考链接：
TheHackerWire 详情
CyberPress 报道

二、最新漏洞 POC / 利用工具

📌 CVE-2026-31431（Copy Fail）--- Linux 内核提权 POC

POC 仓库 ：rootsecdev/cve_2026_31431 | painoob/Copy-Fail-Exploit-CVE-2026-31431

使用步骤：

bash 复制代码

# 1. 克隆 POC 仓库
git clone https://github.com/rootsecdev/cve_2026_31431.git
cd cve_2026_31431

# 2. 安装依赖（编译环境）
# Ubuntu/Debian
sudo apt-get install gcc make linux-headers-$(uname -r)
# CentOS/RHEL
sudo yum install gcc make kernel-devel

# 3. 编译 exploit
make

# 4. 验证漏洞是否存在（不触发利用）
./test_cve_2026_31431.py

# 5. 执行提权 exploit
./exploit_cve_2026_31431
# 成功后获取 root shell

注意事项 ：

该漏洞影响2017年后所有主流 Linux 发行版
POC 仅732字节，可靠性极高（"1秒root"）
容器环境中也可用于容器逃逸
立即升级内核至修复版本！

📌 CVE-2026-41940 --- cPanel & WHM 认证绕过 POC

POC 状态：✅ 已公开

参考信息 ：Dataminr 情报简报

概述：

攻击者通过构造特殊请求绕过 cPanel/WHM 认证
无需认证即可获取 WHM root 级别访问权限
公开 POC 已出现，44000+ 服务器已被攻陷
影响东南亚政府、MSP 和托管提供商

缓解措施 （如暂时无法升级）：

限制 cPanel/WHM 管理端口（2083/2087）的访问源 IP
监控异常的管理员登录行为
立即联系托管服务商确认补丁状态

📌 CVE-2026-4670 / CVE-2026-5174 --- MOVEit Automation POC

POC 状态：⚠️ 暂无公开 POC，但漏洞评分极高（9.8），建议立即升级

修复步骤：

bash 复制代码

# 检查当前版本
cat /opt/moveit-automation/version.txt

# 升级到修复版本（需管理员权限）
# 参考 Progress 官方升级指南
# 2025.0.9 或 2024.1.8 及以上

参考链接 ：Progress 官方安全公告

三、网络安全最新文章

📰 CISA 将 Linux Copy Fail 漏洞 CVE-2026-31431 纳入 KEV 目录

来源：CISA | 日期：2026年5月1日

CISA 确认 CVE-2026-31431（Copy Fail）已在野利用，强制联邦机构在截止日前修复。该漏洞影响2017年以来几乎所有 Linux 发行版，本地普通用户可获取 root 权限。

📰 剧毒助手：钓鱼活动利用 SimpleHelp 和 ScreenConnect RMM 工具攻击 80+ 组织

来源：TheHackerNews | 日期：2026年5月4日

Securonix 观察到代号 VENOMOUS#HELPER 的钓鱼活动，自2025年4月起已影响80+ 组织（主要在美国）。攻击者诱导受害者安装合法的 RMM 工具 SimpleHelp 和 ScreenConnect，建立持久远程访问，疑似经济动机的初始访问经纪人（IAB）或勒索软件前置团伙运营。

📰 cPanel 严重漏洞被武器化，目标指向政府与 MSP 网络

来源：TheHackerNews | 日期：2026年5月4日

Ctrl-Alt-Intel 于2026年5月2日检测到未知威胁团伙利用 CVE-2026-41940 发起攻击，目标包括东南亚政府、军事实体，以及菲律宾、老挝、加拿大、南非、美国的管理服务提供商（MSP）。攻击者使用公开 POC 及自定义 exp，攻击源 IP 为 95.111.250[.]175。

📰 Progress 修复 MOVEit Automation 严重认证绕过漏洞

来源：BleepingComputer | 日期：2026年5月4日

Progress Software 警告客户立即修补 MOVEit Automation 的关键认证绕过漏洞 CVE-2026-4670（CVSS 9.8）。该漏洞允许未经认证的远程攻击者绕过身份验证控制，获取未授权访问权限。

📰 Silver Fox 通过伪报税主题钓鱼在印度和俄罗斯部署 ABCDoor 恶意软件

来源：TheHackerNews | 日期：2026年5月4日

卡巴斯基将与中国相关的网络犯罪团伙 Silver Fox 的新活动与恶意软件 ABCDoor 关联。攻击者通过伪装成印度所得税部门审计通知的钓鱼邮件发起攻击，后续还针对俄罗斯实体发起同类活动。两波活动均使用公开仓库的 Rust 语言加载器，下载执行 ValleyRAT 后门。

📰 全球联合执法：逮捕 276 人、关停 9 个加密骗局中心、缴获 7.01 亿美元

来源：TheHackerNews | 日期：2026年5月4日

由迪拜警方牵头，FBI、中国公安部参与的国际联合执法行动，共逮捕276名嫌疑人，关停9个针对美国民众的加密货币投资诈骗中心，涉案总损失达数百万美元，缴获资产价值 7.01亿美元。

📰 2026：AI 辅助攻击之年

来源：TheHackerNews | 日期：2026年5月4日

文章指出2025年 LLM 驱动的聊天与代理系统已升级为端到端编码工具，全年网络犯罪频率与严重程度均实现约翻倍增长。举例：2025年12月日本一名17岁青少年借助 AI 生成恶意代码，窃取日本最大网吧连锁品牌 Kaikatsu Club 超700万用户个人数据，凸显 AI 辅助攻击门槛大幅降低的趋势。

📰 Wireshark 修复多个高危漏洞，含 RCE 风险

来源：CyberPress | 日期：2026年5月2日

Wireshark 基金会发布 4.6.5 版本，修补超过40个安全漏洞，其中包括多个可能导致远程代码执行的高危缺陷，建议所有用户立即升级。

四、防御建议

立即修补严重漏洞：
MOVEit Automation 用户：立即升级至 2025.0.9 / 2024.1.8
Linux 用户：立即升级内核至修复版本（6.14.4+ / 6.12.25+ / 6.6.87+ / 6.1.134+）
cPanel/WHM 用户：立即升级并核查是否被入侵（CVE-2026-41940 已在野利用）
监控在野利用指标：
CVE-2026-31431：监控setuid程序完整性、异常权限提升行为
CVE-2026-41940：监控 cPanel/WHM 异常登录、文件被篡改或删除
VENOMOUS#HELPER：监控 SimpleHelp/ScreenConnect 异常安装
加固 RMM 工具使用：
对 SimpleHelp、ScreenConnect 等 RMM 工具的部署进行严格访问控制
启用多因素认证（MFA）
监控 RMM 工具相关的异常网络流量
AI 辅助攻击防范：
加强对 AI 生成恶意代码的检测能力
提升安全团队对 AI 驱动攻击的认知和应对能力

附录：参考链接汇总

漏洞/事件	链接
CVE-2026-4670 NVD	阅读原文
CVE-2026-5174 NVD	阅读原文
CVE-2026-31431 NVD	阅读原文
CVE-2026-41940 情报简报	阅读原文
CISA KEV 目录	阅读原文
Copy Fail POC GitHub	查看答案
Progress 官方公告	阅读原文

本报告由自动化安全情报系统生成，数据来源为公开渠道，仅供参考。请结合实际情况判断风险并采取措施。