每日安全情报报告 · 2026-06-30

每日安全情报报告 · 2026-06-30

数据窗口:2026-06-28 ~ 2026-06-30(重点近 24-48 小时)

涵盖:高危 CVE / 公开 PoC / 在野利用 / 厂商安全公告 / 重要安全事件

风险等级:🔴 严重 (CVSS ≥ 9.0) | 🟠 高 (7.0~8.9) | 🟡 中 (4.0~6.9)


一、🔴 今日焦点(24 小时内必读)

1. 🛑 Oracle E-Business Suite CVE-2026-46817 在野利用 --- CVSS 9.8 严重

  • 风险等级:🔴 严重(确认在野利用)
  • 漏洞类型:Oracle Payments 文件传输未授权远程接管
  • 受影响组件:Oracle E-Business Suite 12.2.3 ~ 12.2.15(File Transmission 组件)
  • 触发条件:仅需 HTTP 网络访问,无需认证
  • 威胁态势:6 月 27-28 日周末首次观测到利用,6 月 29 日 Captured live attack activity,威胁行为者已批量攻击
  • NVD 详情NVD CVE-2026-46817
  • 阿里云详情阿里云 AVD 详情
  • 在野利用报道Cybersecurity News 报道
  • 深度分析Anavem 详细分析
  • 处置建议:立即应用 Oracle 2026-04 CPU 补丁;外部 EBS 接口收敛至内网;监控 Oracle Payments 日志异常上传/下载

2. 🛑 Splunk Secure Gateway CVE-2026-20251 反序列化 RCE 公开 PoC --- CVSS 8.8 高

  • 风险等级:🟠 高(PoC 公开)
  • 漏洞类型:App Key Value Store jsonpickle 不安全反序列化
  • 受影响组件:Splunk Enterprise + Cloud Platform,启用 SSG 应用的低权限用户可触发
  • 利用方式 :低权限用户向 KV Store mobile_alerts 集合写入恶意 JSON 文档 → 反序列化触发 RCE
  • NVD/Splunk 公告SVD-2026-0601
  • 阿里云详情AVD-2026-20251
  • PoC 公开报道Cybersecurity News 报道
  • PoC 代码仓库reactivezero/CVE-2026-20251
  • 处置建议:升级 Splunk 至 9.4.4 / 9.3.6 / 9.2.8 / 9.1.10 或更高;临时缓解可关闭 SSG 应用

二、🔴 高危/严重 CVE 速览(近 48 小时)

CVE 编号 组件 漏洞类型 CVSS 风险 状态
CVE-2026-46817 Oracle EBS Payments 未认证远程接管 9.8 🔴 在野利用
CVE-2026-12537 Google Gemini CLI / run-gemini-cli 容器启动器 OS 命令注入 9.8 🔴 厂商已修
CVE-2026-41120 Dell Wyse Management Suite RCE(低权限无需用户交互) 9.8 🔴 厂商已修
CVE-2026-49506 Dell Wyse Management Suite RCE 7.2 🟠 厂商已修
CVE-2026-20950 Microsoft 365 Excel UAF → RCE 8.8 🟠 公开披露
CVE-2026-20251 Splunk SSG 反序列化 RCE 8.8 🟠 PoC 公开
CVE-2026-33017 Langflow AI Workflow 未认证 RCE 9.3-10.0 🔴 持续在野

三、🟠 重要漏洞详情

1. CVE-2026-12537:Google Gemini CLI 容器启动器 OS 命令注入 --- CVSS 9.8

2. CVE-2026-41120 / 49506:Dell Wyse Management Suite 双重 RCE --- CVSS 9.8 / 7.2

  • 漏洞类型:CVE-2026-41120 为"接受外部不受信任数据与受信数据"(CVSS 9.8);CVE-2026-49506 严重度 7.2
  • 受影响版本:Wyse Management Suite 5.5 HF1 之前
  • 触发条件:低权限远程攻击者无需用户交互
  • 厂商公告Dell Security Advisory(外链汇总)
  • NVD 详情(代表性)SentinelOne CVE-2026-22766
  • 安全分析BaseFortify 详细
  • 处置建议:升级至 WMS 5.5 HF1;限制 WMS 管理控制台访问源

3. CVE-2026-20950:Microsoft 365 Apps Excel UAF → RCE --- CVSS 8.8

  • 漏洞类型:Excel Use-After-Free,可通过恶意 .xlsx 触发
  • 触发条件:用户打开恶意 Excel 文件
  • 攻击效果:本地任意代码执行
  • NVD 详情SentinelOne CVE-2026-20950
  • 复现报道Cybersecurity News 详情
  • 处置建议:应用 2026-06 补丁日更新;限制外部 Excel 附件执行;启用 AMSI / Attack Surface Reduction

4. CVE-2026-33017:Langflow AI Workflow 平台未认证 RCE --- CVSS 9.3-10.0


四、💣 公开 PoC 与利用工具包

1. Splunk SSG CVE-2026-20251 反序列化 PoC

  • 仓库reactivezero/CVE-2026-20251
  • 使用步骤
    bash git clone https://github.com/reactivezero/CVE-2026-20251.git cd CVE-2026-20251 # 依据 README 配置 Splunk 凭据,运行 PoC python3 exploit.py --target <splunk_host> --user <low_priv_user> --payload <rce_payload>
  • 适用版本:Splunk Enterprise 9.0.0 ~ 9.4.3 / 9.3.5 / 9.2.7 / 9.1.9

2. Langflow CVE-2026-33017 PoC

  • 仓库MaxMnMl/langflow-CVE-2026-33017-poc
  • 使用步骤
    bash git clone https://github.com/MaxMnMl/langflow-CVE-2026-33017-poc.git cd langflow-CVE-2026-33017-poc pip install -r requirements.txt # 通过 /api/v1/load_db/endpoint 注入恶意 flow data python3 exploit.py --url http://<langflow_target>:7860

3. cURL/libssh2 漏洞 PoC 集合(持续更新)

4. Linux 内核 Copy-Fail(CVE-2026-31431)系列 PoC

5. n8n Ni8mare CVE-2026-21858 RCE PoC(CVSS 10.0)

  • 仓库Chocapikk/CVE-2026-21858
  • 风险等级:🔴 严重(CVSS 10.0)
  • 影响:n8n 工作流自动化平台远程代码执行

6. Langflow RCE 武器化事件复盘文章(含完整 EXP)


五、🛡️ 重要安全事件与 APT 动态

1. 🇯🇵 KDDI 数据泄露:6 家 ISP 1420 万邮箱凭证外泄

2. 🇷🇺 Turla APT 部署 STOCKSTAY .NET 后门 --- 持续针对乌克兰

3. 🤖 Mozilla 0DIN:Claude Code 恶意 GitHub 仓库可完全控制开发者系统

  • 研究方:Mozilla Zero Day Investigative Network (0DIN)
  • 漏洞本质:Agentic coding 工具执行仓库 README/错误日志中隐藏指令,绕开传统代码审查
  • 影响:Claude Code、Cursor 等 Agent 编码工具
  • 影响范围:开发者主机失陷 → 供应链投毒 → 组织级入侵
  • 披露时间:2026-06-29
  • 详细分析
  • Cybersecurity News 详细
  • The Decoder 报道
  • OpenSourceForU 分析
  • Aviatrix 技术分析

六、📰 精选安全文章(10 篇)

  1. Oracle E-Business Suite CVE-2026-46817 在野利用 --- 严重 9.8 未认证远程接管,Captured live attack 已在野;6 月 27-28 周末开始批量利用。 阅读原文

  2. Splunk Secure Gateway CVE-2026-20251 反序列化 RCE PoC 公开 --- 9 天前发布补丁,本周公开 PoC,KV Store 写一个 JSON 文档即可 RCE。 阅读原文

  3. Mozilla 0DIN:Claude Code 恶意 GitHub 仓库可完全控制开发者系统 --- Agent 编码工具执行恶意 README 隐藏指令,绕过传统代码审计。 阅读原文

  4. Google Gemini CLI CVE-2026-12537 容器命令注入 --- CI/CD 环境中 Gemini CLI 0.39.1 之前版本存在容器逃逸,CVSS 9.8。 阅读原文

  5. Dell Wyse Management Suite 多重 RCE 漏洞 --- WMS 5.5 HF1 之前,低权限远程攻击者无需用户交互触发。 阅读原文

  6. Microsoft 365 Apps Excel CVE-2026-20950 UAF RCE --- 恶意 Excel 文件触发,攻击者可在用户系统上执行任意代码。 阅读原文

  7. EvilTokens 钓鱼攻陷 340+ Microsoft 365 组织 --- 借 OAuth 2.0 Device Authorization Grant 流绕过 MFA,AI 增强让命中数激增。 阅读原文

  8. KDDI 数据泄露:6 家日本 ISP 1420 万邮箱凭证外泄 --- 共享邮件后端第三方软件漏洞,6 月 17 日发生、6 月 29 日披露。 阅读原文

  9. Turla APT 部署 STOCKSTAY .NET 后门 --- Google 披露俄 FSB 关联组织新后门,针对乌克兰政府军事目标。 阅读原文

  10. RedAmon AI 红队工具链:侦察 → 利用 → 后渗透 --- 开源攻击性 AI 平台整合 Claude/GPT,自动化攻击生命周期。 阅读原文


七、🏭 厂商安全公告(本周更新)

厂商 公告主题 链接
Google Gemini CLI CVE-2026-12537 修复 GitHub Advisory
Splunk SVD-2026-0601 SSG 反序列化 官方公告
Dell Wyse Management Suite 多重漏洞 CyberWebSpider 汇总
Oracle EBS Payments 12.2.x 漏洞 NVD CVE-2026-46817
Mozilla 0DIN Claude Code 供应链攻击 Aviatrix 详情
Langflow CVE-2026-33017 持续跟踪 JFrog 后续分析

八、📊 本期安全态势总结

攻击面焦点

  • AI 平台 / 编码代理:Langflow(10.0)、Gemini CLI(9.8)、Claude Code(供应链)三连击,AI 工具攻击面成系统性风险
  • 企业 ERP:Oracle EBS Payments(9.8)确认在野利用
  • IT 管理平台:Splunk SSG、Dell Wyse 双双 RCE
  • 数据泄露:日本 KDDI 共享后端 1420 万凭证外泄,事件响应要求加密化、零信任

防御建议(优先级排序)

  1. 立即处置(24h 内):Oracle EBS CPU 补丁、Splunk SSG 升级/卸载、Wyse WMS 升级、Gemini CLI 升级
  2. 本周内:审计 Agent 编码工具执行权限;强制 Langflow 启用认证
  3. 持续监控:跟踪 CISA KEV 新增项、KEV 逾期列表;启用 PowerShell / AMSI / EDR 行为检测

工具与情报源


九、🔗 延伸阅读


报告生成时间:2026-06-30 09:55 GMT+8

数据来源:The Hacker News / Cybersecurity News / SecurityAffairs / FreeBuf / 安全客 / NVD / CISA KEV / GitHub / 厂商安全公告

免责声明:本报告仅用于安全情报分享,请勿用于非法用途