# 每日安全情报报告 · 2026-06-02
> **报告日期**:2026-06-02
> **数据窗口**:2026-05-30 ~ 2026-06-02(近 4 天)
> **覆盖范围**:高危漏洞、在野利用 CVE、PoC 情报、安全事件、行业动态
---
## 一、高危漏洞速览(近 24-48 小时重点)
| # | CVE 编号 | 漏洞类型 | 受影响组件 | CVSS | 在野利用 | 风险等级 |
|---|---------|---------|-----------|------|---------|---------|
| 1 | CVE-2026-41089 | 栈缓冲区溢出 → RCE | Windows Netlogon(域控制器) | **9.8** | ✅ 是 | 🔴 严重 |
| 2 | CVE-2026-8633 | 代码注入 → RCE | IBM WebSphere Plug-ins 8.5/9.0 | **9.8** | ❌ 暂无 | 🔴 严重 |
| 3 | CVE-2026-0257 | 认证绕过 | PAN-OS GlobalProtect | **9.1** | ✅ 是 | 🔴 严重 |
| 4 | CVE-2026-8732 | 认证缺失 | WP Maps Pro ≤ 6.1.0 | **9.8** | ✅ 是 | 🔴 严重 |
| 5 | (待分配) | 参数注入 → RCE | Gogs 自托管 Git 服务 | **9.4** | ❌ 暂无 | 🔴 严重 |
| 6 | CVE-2026-40933 | 不安全反序列化 → RCE | Flowise AI ≤ 3.0.x | **9.9** | ❌ PoC 公开 | 🔴 严重 |
---
## 二、高危漏洞详情
### 1. CVE-2026-41089 — Windows Netlogon 零点击 RCE(在野利用中 🔥)
**描述**:Windows Netlogon 服务在处理 CLDAP 查询时存在栈缓冲区溢出漏洞(CWE-121)。未授权攻击者可通过 UDP 389 端口发送特制数据包,在域控制器上远程执行代码,**无需任何认证**。
**受影响版本**:所有受支持的 Windows Server(包括 Server 2025、2022、2019、2016),详情见下表:
| 服务器版本 | 修复版本 |
|-----------|----------|
| Windows Server 2016 | 10.0.14393.9140 |
| Windows Server 2019 | 10.0.17763.8755 |
| Windows Server 2022 | 10.0.20348.5074 |
| Windows Server 2022 23H2 | 10.0.25398.2330 |
| Windows Server 2025 | 10.0.26100.32772 |
| 2012 / 2012 R2 | ESU 补丁 |
**利用状态**:
- 比利时网络安全中心(CCB)于 2026-06-01 发出紧急警告,确认该漏洞已在野被积极利用。
- 攻击者通过发送包含超长用户名的 CLDAP ping,溢出 `NlGetLocalPingResponse` 的 528 字节栈缓冲区,导致 LSASS 崩溃,并可进一步实现远程代码执行。
**威胁程度**:域控制器接管、整个 Windows 域沦陷。
**修复建议**:立即安装微软 2026 年 5 月补丁。如无法立即修补,建议在网络层监控 CLDAP `User` 过滤字段超过 20-30 字符的异常请求,并监控 LSASS 崩溃事件(事件 ID 1000)。
**参考链接**:
- [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-41089)
- [CCB 紧急警报](https://dailysecurityreview.com/resources/cve-2026-41089-exploited-windows-netlogon-rce-under-active-attack/)
- [GitHub PoC 仓库](https://github.com/0xABCD01/CVE-2026-41089)
- [PurpleOps 深度分析](https://purple-ops.io/blog/cve-2026-41089-netlogon-rce)
- [IT之家中文报道](https://www.ithome.com/0/958/415.htm)
---
### 2. CVE-2026-8633 — IBM WebSphere Plug-ins 远程代码执行
**描述**:IBM Web Server Plug-ins for WebSphere Application Server 和 WebSphere Liberty 8.5/9.0 中存在代码注入漏洞(CWE-94)。未授权攻击者可通过特制请求实现远程代码执行,CVSS 3.1 评分 9.8,攻击复杂度低、无需认证。
**受影响版本**:
- WebSphere Plug-ins 8.5.0.0 - 8.5.5.29
- WebSphere Plug-ins 9.0.0.0 - 9.0.5.27
**利用状态**:暂无在野利用报告,但 CISA SSVC 评估标记为"可自动化利用",需高度警惕。
**修复建议**:
- 9.0.x:应用临时修复 PH71342 或升级至 Fix Pack 9.0.5.28+
- 8.5.x:应用临时修复 PH71342 或升级至 Fix Pack 8.5.5.30+
**参考链接**:
- [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-8633)
- [IBM 安全公告](https://www.ibm.com/support/pages/node/7274072)
- [IBM 临时修复 (PH71342)](https://www.ibm.com/support/pages/node/7273976)
- [Cybercory 详细报道](https://cybercory.com/2026/06/01/critical-alert-ibm-websphere-plug-ins-flaws-expose-enterprises-to-remote-code-execution/)
---
### 3. CVE-2026-0257 — PAN-OS GlobalProtect 认证绕过(在野利用中 🔥)
**描述**:Palo Alto Networks PAN-OS GlobalProtect 门户/网关存在认证绕过漏洞(CWE-565),攻击者可绕过安全限制建立未授权连接。**CVSS 9.1**,已被列入 CISA KEV 目录,联邦机构修复截止日期为 2026-06-01。
**利用状态**:
- 自 2026-05-17 起被积极利用,攻击流量来自 Vultr 和 Dromatics Systems 基础设施。
- 漏洞公开披露仅 **4 天**后即遭大规模利用。
**修复建议**:立即升级至 PAN-OS 已修复版本,并检查 GlobalProtect 认证覆盖 Cookie 配置。
**参考链接**:
- [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-0257)
- [Palo Alto 安全公告](https://security.paloaltonetworks.com/CVE-2026-0257)
- [CISA KEV 目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
- [Threat-Modeling 专题分析](https://threat-modeling.com/palo-alto-pan-os-globalprotect-auth-bypass-cve-2026-0257/)
- [GitHub PoC 仓库](https://github.com/akashsingh0454/CVE-2026-0257-PoC)
---
### 4. CVE-2026-8732 — WP Maps Pro 认证缺失漏洞(在野利用中 🔥)
**描述**:WordPress 插件 WP Maps Pro(Envato Market 销售,超 15,800 次购买)≤ 6.1.0 版本存在关键功能缺少认证漏洞(CWE-306)。攻击者通过插件 AJAX 端点中暴露的 nonce,**一次 HTTP 请求即可创建未授权管理员账户**,实现完全网站接管。**CVSS 9.8**。
**利用状态**:已观察到积极利用——攻击者批量创建 rogue 管理员账户。
**修复建议**:立即更新至 6.1.1+ 版本,并审计 WordPress 管理员账户列表,删除未知管理员。
**参考链接**:
- [NVD 详情](https://nvd.nist.gov/vuln/detail/CVE-2026-8732)
- [Daily Security Review 报道](https://dailysecurityreview.com/cyber-security/wp-maps-pro-flaw-exploited-to-create-unauthorized-admin-accounts/)
---
### 5. Gogs RCE 零日漏洞 — CVSS 9.4,无补丁
**描述**:自托管 Git 服务 Gogs 存在参数注入漏洞,**任何已认证用户**均可通过特制 Git 操作在暴露于互联网的服务器上实现远程代码执行。**目前无官方补丁**,Rapid7 已发布 Metasploit 利用模块。
**受影响范围**:全球超 **50,000** 家企业在自托管 Gogs 实例上运行私有代码仓库。
**利用状态**:虽未观测到在野大规模利用,但 Metasploit 模块的发布极大降低了攻击门槛。
**修复建议**:
- 限制 Gogs 实例仅内网可访问
- 启用严格的用户认证策略
- 监控异常 Git 操作行为
- 关注 Gogs 官方安全公告
**参考链接**:
- [TheHackerNews 报道](https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html)
- [Daily Security Review 分析](https://dailysecurityreview.com/resources/gogs-cvss-9-4-rce-zero-day-has-no-patch-and-a-metasploit-module/)
- [CSDN 中文深度解析](https://blog.csdn.net/weixin_42376192/article/details/161558298)
---
### 6. CVE-2026-40933 — Flowise AI 远程代码执行(PoC 公开)
**描述**:Flowise AI(GitHub 星标超 52,000)在 MCP 适配器中存在不安全序列化漏洞,已认证攻击者可通过配置恶意 MCP stdio 服务器,以 Flowise 进程权限执行任意操作系统命令。**CVSS 9.9**。由 Obsidian Security 于 2026 年 4 月披露,修复版本 3.1.0 已发布。
**利用状态**:PoC 公开,攻击门槛极低,**一键恶意导入即可触发 RCE**。
**修复建议**:立即升级至 Flowise 3.1.0+ 并审查所有 MCP 适配器配置。
**参考链接**:
- [GitHub 安全公告 (GHSA-c9gw-hvqq-f33r)](https://github.com/advisories/GHSA-c9gw-hvqq-f33r)
- [CVE Feed 详情](https://cvefeed.io/vuln/detail/CVE-2026-40933)
- [Daily Security Review 报道](https://dailysecurityreview.com/resources/public-exploit-raises-flowise-cve-2026-40933-rce-to-immediate-risk-2/)
---
## 三、最新漏洞 PoC(概念验证代码)
### PoC 1:CVE-2026-41089 · Windows Netlogon RCE
**来源**:[GitHub](https://github.com/0xABCD01/CVE-2026-41089)
**作者**:0xABCD01 | **语言**:Python 3.8+(纯标准库) | **许可证**:MIT
**使用步骤**:
```bash
# 1. 克隆仓库
git clone https://github.com/0xABCD01/CVE-2026-41089.git
cd CVE-2026-41089
# 2. 无需依赖安装(纯 Python 标准库)
# 3. 连接性测试(短用户名,无溢出)
python3 poc.py 10.0.50.21 corp.local
# 4. 默认溢出攻击
python3 poc.py 10.0.50.21 corp.local -l 130
# 5. 更大载荷 + 更长超时(适用于慢速网络)
python3 poc.py 10.0.50.21 corp.local -l 200 -t 10
```
**说明**:该 PoC 演示 DoS 效果(LSASS 崩溃 → 域控制器重启)。理论上栈破坏可启用 RCE,但当前 PoC 仅限 DoS。**仅在授权系统上测试**。
---
### PoC 2:CVE-2026-0257 · PAN-OS GlobalProtect 认证绕过
**来源**:[GitHub](https://github.com/akashsingh0454/CVE-2026-0257-PoC)
**作者**:akashsingh0454
**使用步骤**:
```bash
# 1. 克隆仓库
git clone https://github.com/akashsingh0454/CVE-2026-0257-PoC.git
cd CVE-2026-0257-PoC
# 2. 安装依赖
pip install -r requirements.txt
# 3. 运行 PoC
python3 exploit.py -t <target_ip> -p <port>
```
**说明**:演示利用 GlobalProtect Cookie 认证绕过机制建立未授权连接。**仅供安全研究使用**。
---
### PoC 3:CIFSwitch · Linux 内核 CIFS 本地提权(潜伏 19 年)
**来源**:[GitHub](https://github.com/manizada/CIFSwitch)
**作者**:Asim Viladi Oglu Manizada(2026-05-27 披露)
**漏洞追踪**:[suominen/cifswitch](https://github.com/suominen/cifswitch)
**使用步骤**:
```bash
# 1. 克隆 PoC 仓库
git clone https://github.com/manizada/CIFSwitch.git
cd CIFSwitch
# 2. 阅读详细分析文章
# https://heyitsas.im/posts/cifswitch/
# 3. 编译 PoC(需 gcc + libkeyutils-dev)
make
# 4. 运行提权利用
./cifswitch
```
**说明**:漏洞源于 Linux 内核 `cifs.spnego` 密钥类型缺失校验,非特权用户可伪造密钥描述,诱使以 root 权限运行的 `cifs.upcall` 加载恶意共享库。影响自 **Linux 2.6.24(2007 年)至今**的所有内核版本(Ubuntu、RHEL、Debian 等发行版均受影响)。主线修复 commit:[`3da1fdf4efbc`](https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2)。
---
### PoC 4:Gogs RCE Zero-Day · Metasploit 模块
**来源**:Rapid7 Metasploit Framework
**披露**:2026-05-28
**使用步骤**:
```bash
# 1. 确保 Metasploit 已安装且更新至最新
msfupdate
# 2. 启动 msfconsole
msfconsole
# 3. 搜索并加载 Gogs 利用模块
search gogs
use exploit/multi/http/gogs_argument_injection_rce
# 4. 设置目标参数
set RHOSTS <target_ip>
set RPORT 3000
set USERNAME <username>
set PASSWORD <password>
# 5. 执行利用
run
```
**说明**:适用于任何已知凭据的 Gogs 实例(需有效用户账户)。目前无官方补丁,强烈建议将 Gogs 实例限制在内网访问。
---
## 四、网络安全最新文章
### 1. [LLMShare 攻击活动:滥用 ChatGPT 共享域名传播恶意软件](https://dailysecurityreview.com/cyber-security/llmshare-campaign-hosts-infostealer-downloads-on-chatgpts-own-domain-2/)
> **来源**:Daily Security Review · 2026-06-01
> **摘要**:由 Push Security 发现的 LLMShare 攻击活动滥用 ChatGPT 在 `chatgpt.com` 上的共享链接功能,托管虚假故障页面,向 Windows 和 macOS 用户分发信息窃取恶意软件。这是首次观测到利用 AI 平台自有域名进行恶意软件分发的攻击方式,具有高度迷惑性。
---
### 2. [Dashlane 遭遇多国协调暴力破解攻击,冻结受影响的客户账户](https://dailysecurityreview.com/cyber-security/dashlane-suspends-accounts-after-multi-country-brute-force-campaign-2/)
> **来源**:Daily Security Review · 2026-06-01
> **摘要**:知名密码管理器 Dashlane 检测到来自多个国家/地区的协调暴力破解登录尝试后,暂时冻结了受影响的客户账户。攻击实施者利用从其他数据泄露中获取的凭据进行撞库攻击,凸显了即使对安全产品本身也需要实施严格访问控制的重要性。
---
### 3. [荷兰警方捣毁含 1700 万台被感染设备的僵尸网络](https://dailysecurityreview.com/cyber-security/dutch-police-seize-200-servers-in-17-million-device-botnet-takedown-2/)
> **来源**:Daily Security Review · 2026-06-01
> **摘要**:荷兰执法部门联合托管服务提供商展开大规模协调行动,缴获 **200 多台**命令与控制(C2)服务器,成功捣毁一个包含 **1700 万台**被攻陷设备的僵尸网络。这是 2026 年以来规模最大的僵尸网络打击行动。
---
### 4. [恶意 npm 包 codexui-android 以每周 2.9 万次下载窃取 OpenAI 令牌](https://dailysecurityreview.com/cyber-security/malicious-npm-package-codexui-android-steals-openai-tokens-at-scale/)
> **来源**:Daily Security Review · 2026-06-01
> **摘要**:恶意 npm 包 `codexui-android` 在被移除前以约 **每周 29,000 次**的下载量大规模窃取开发者的 OpenAI Codex 身份验证令牌。该攻击利用开发者生态信任,通过伪装成 Android UI 组件库的方式绕过安全审查。
---
### 5. [微软发现 14 个恶意 npm 包由单一行为者操控,窃取 AWS 密钥](https://dailysecurityreview.com/cyber-security/microsoft-14-npm-packages-linked-to-single-actor-stealing-aws-keys-2/)
> **来源**:Daily Security Review · 2026-06-01
> **摘要**:微软威胁情报团队将 14 个冒充 OpenSearch 和 Elasticsearch 的恶意 npm 包归因于**单一威胁行为者**。这些包从开发者环境中窃取 AWS 凭证和 CI/CD 密钥,展现了当今 npm 供应链攻击的专业化与组织化趋势。
---
### 6. [Gogs CVSS 9.4 零日 RCE 漏洞:无补丁,Metasploit 模块已发布](https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html)
> **来源**:The Hacker News · 2026-05-30
> **摘要**:自托管 Git 服务 Gogs 存在 CVSS 9.4 严重级别的远程代码执行零日漏洞,任何已认证用户均可利用。Rapid7 已发布 Metasploit 利用模块,但官方补丁尚未推出。全球超过 50,000 家企业面临代码仓库资产泄露风险。
---
### 7. [CIFSwitch:潜伏 19 年的 Linux 内核提权漏洞 PoC 公开](https://cloud.tencent.com/developer/article/2676151)
> **来源**:腾讯云开发者社区 · 2026-05-30
> **摘要**:安全研究员 Asim Manizada 披露了潜伏 19 年的 Linux 内核本地提权漏洞 CIFSwitch,影响自 2.6.24 至 6.14+ 的所有内核版本。通过伪造 `cifs.spnego` 密钥描述,普通用户可获取 root 权限。PoC 已公开发布,建议所有 Linux 用户密切关注内核补丁更新。
---
### 8. [Flowise AI 一键 RCE 漏洞(CVE-2026-40933):PoC 与深度解析](https://blog.csdn.net/weixin_42376192/article/details/161612049)
> **来源**:CSDN · 2026-05-31
> **摘要**:CVE-2026-40933 是影响全球超 52,000 GitHub 星标的 Flowise AI 平台的严重 RCE 漏洞。攻击者通过恶意 MCP stdio 适配器配置即可在服务器上执行任意代码。Obsidian Security 已发布完整 PoC 及技术分析。
---
## 五、本周安全态势总结
| 维度 | 评估 |
|------|------|
| **在野利用活跃度** | 🔴 高 — Windows Netlogon、PAN-OS、WP Maps Pro 均在野积极利用中 |
| **供应链攻击趋势** | 🔴 严峻 — npm 生态连续多起大规模凭证窃取,单攻击者可操控 14+ 恶意包 |
| **零日漏洞态势** | 🟡 关注 — Gogs 零日无补丁但有 Metasploit 模块,CIFSwitch 19 年老洞曝光 |
| **AI 安全威胁** | 🟡 上升 — LLMShare 滥用 ChatGPT 域名、Flowise RCE、OpenAI 令牌窃取多线并进 |
| **执法行动** | 🟢 积极 — 荷兰捣毁 1700 万设备僵尸网络,全球协同打击初见成效 |
---
### 🛡️ 本周优先修复建议
1. **Windows 域控制器管理员**:立刻安装 2026 年 5 月安全补丁,修复 CVE-2026-41089
2. **PAN-OS 设备管理员**:升级 GlobalProtect,截止日期已过(06-01),CISA KEV 强制要求
3. **IBM WebSphere 用户**:应用 PH71342 临时修复或升级至最新 Fix Pack
4. **WordPress 管理员**:立即更新 WP Maps Pro 至 6.1.1+,审计管理员账户
5. **Gogs 自托管用户**:限制内网访问,禁止互联网暴露
6. **Linux 系统管理员**:关注 CIFSwitch 内核补丁更新,及时打补丁
7. **开发者**:审查项目中所有 npm 依赖,警惕伪装的恶意包
---
> **声明**:本报告仅供安全研究与态势感知参考。所有漏洞利用代码仅应在获得明确授权的系统上使用。
> **数据来源**:NVD、CISA KEV、TheHackerNews、Daily Security Review、Threat-Modeling.com、GitHub、MITRE CVE、Palo Alto Networks 安全公告、IBM 安全公告
> **生成时间**:2026-06-02 11:57 UTC+8每日安全情报报告 · 2026-06-02
菩提小狗2026-06-03 13:10
相关推荐
持敬chijing1 天前
Web渗透之前后端漏洞-文件包含漏洞lcreek1 天前
SQL 注入漏洞详解:从原理到防御的完整学习指南持敬chijing1 天前
Web渗透之前后端漏洞-文件上传漏洞-过滤绕过与配置文件漏洞-条件竞争漏洞txg6661 天前
MirrorFuzz:利用共享漏洞与大模型的深度学习框架 API 模糊测试是逍遥子没错1 天前
昆仑AI SRC赏金猎人实战手册X7x51 天前
重塑数字安全防线:深度解析P2DR安全模型的实战价值程序猿小三2 天前
Web 网络攻防实战HackTwoHub2 天前
最新Nessus2026.6.8版本主机漏洞扫描/探测工具Windows/Linux青藤云安全2 天前
主机安全体系化建设:基础级→增强级→先进级三级进阶指南