每日安全情报报告 · 2026-07-01

每日安全情报报告 · 2026-07-01

数据窗口:2026-06-28 ~ 2026-07-01(重点近 24-48 小时)

涵盖:高危 CVE / 公开 PoC / 在野利用 / 厂商安全公告 / 重要安全事件

风险等级:🔴 严重 (CVSS ≥ 9.0) | 🟠 高 (7.0~8.9) | 🟡 中 (4.0~6.9)


一、🔴 今日焦点(24 小时内必读)

1. 🛑 SimpleHelp RMM CVE-2026-48558 认证绕过 --- CVSS 10.0 严重

  • 风险等级:🔴 严重(确认在野利用 · CISA KEV)
  • 漏洞类型:OIDC 认证流程未校验身份令牌加密签名(JWT 签名验证缺失)
  • 受影响组件:SimpleHelp 5.5.15 及更早版本、6.0 预发布版本(远程监控管理平台 RMM)
  • 触发条件:配置 OIDC 认证即受影响;攻击者可创建新的"技术员"账户并获得管理员级别访问
  • 威胁态势 :攻击者已利用该漏洞部署 TaskWeaver 加载器恶意软件,专攻 MSP(托管服务提供商)及其下游客户;列入 CISA KEV 目录
  • NVD 详情NVD CVE-2026-48558
  • 阿里云详情AVD-2026-48558
  • Horizon3 攻击研究Horizon3.ai 详细披露
  • 威胁建模专题Threat-Modeling 专项报告
  • CVEFeed 详情CVEFeed 漏洞卡片
  • 51CTO 中文解读51CTO 漏洞详解
  • CN-SEC 入侵检测CN-SEC 中文分析
  • 处置建议:立即升级至 SimpleHelp 5.5.16 / 6.0 正式版;运行 Horizon3 IoC 扫描器扫描所有托管端点;轮换 RMM 凭据;MSP 通知下游客户。

2. 🛑 Microsoft 365 Apps Excel UAF → RCE --- CVSS 8.8 高

  • 风险等级:🟠 高(PoC 公开,恶意文件传播)
  • 漏洞类型:Microsoft 365 Excel 释放后使用(Use-After-Free)→ 远程代码执行
  • 触发条件 :用户打开恶意 .xlsx 文件
  • 威胁态势:PoC 已公开,存在被武器化风险;官方标注为严重级别
  • 威胁建模日报June 30 漏洞情报报告
  • 微软 6 月补丁日(关联背景)The Hacker News 报道
  • FreeBuf 6 月补丁日专题FreeBuf 206 漏洞分析
  • 处置建议:立即应用 2026-06 微软补丁日更新;限制外部 Excel 附件执行;启用 AMSI / Attack Surface Reduction Rules;EMOTET / Qakbot 类投递链需重点排查。

3. 🛑 Windows Server NTLM 反射绕过 --- SYSTEM 权限提升

  • 风险等级:🟠 高(PoC 已公开)
  • 漏洞类型:NTLM 反射绕过(NTLM Reflection Bypass)
  • 触发条件:中间人场景或结合其他攻击链,远程可获取 SYSTEM 权限
  • 威胁态势:PoC 公开在野传播,进一步放大了 NTLM 中继攻击的风险面
  • 威胁建模日报June 30 漏洞情报报告
  • BleepingComputer NTLM 历史背景Netlogon RCE 在野利用
  • 处置建议:域控与服务器强制 SMB/LDAPS 签名;禁用 NTLMv1;启用 EPA(Extended Protection for Authentication);部署 LDAP 通道绑定与 SMB 签名策略;监控 NTLM 中继事件。

二、🔴 高危/严重 CVE 速览(近 48 小时)

CVE 编号 组件 漏洞类型 CVSS 风险 状态
CVE-2026-48558 SimpleHelp RMM OIDC JWT 签名验证缺失 10.0 🔴 CISA KEV · 在野利用
CVE-2026-33825(BlueHammer) Microsoft Defender 本地权限提升至 SYSTEM 🟠 CISA KEV · 勒索软件利用
CVE-2026-46817 Oracle E-Business Suite Payments 未授权远程接管 9.8 🔴 在野利用
CVE-2026-20230 Cisco Unified CM WebDialer SSRF → Root RCE 严重 🔴 在野利用 · CISA KEV
CVE-2026-20262 Cisco Catalyst SD-WAN Manager 路径遍历 严重 🔴 在野利用 · CISA KEV
CVE-2026-12569 PTC Windchill/FlexPLM 未认证反序列化 RCE 严重 🔴 在野利用 · CISA KEV
Microsoft 365 Excel(无新 CVE) Microsoft 365 Apps UAF → RCE 8.8 🟠 PoC 公开
Windows NTLM 反射 Windows Server NTLM 反射绕过 🟠 PoC 公开

三、🟠 重要漏洞详情

1. SimpleHelp CVE-2026-48558:RMM 认证绕过 CVSS 10.0

  • 漏洞位置:OIDC 认证流程的身份令牌(ID Token)签名验证逻辑
  • 触发条件:服务器启用 OIDC 单点登录;攻击者提交未签名/篡改的 ID Token 即可创建技术员账户
  • 攻击效果:获取 SimpleHelp RMM 管理员权限,横向控制所有下游托管客户
  • 威胁建模专题Threat-Modeling 详细分析
  • CISA KEV 收录CISA KEV 目录
  • Horizon3 IoCHorizon3 攻击研究
  • 安全分析CVEFeed 漏洞卡片
  • 中文解读FreeBuf / 51CTO / CN-SEC 同步披露
  • 处置建议:MSP 优先紧急升级;评估过去 30 天 RMM 登录日志中的异常技术员账户创建;轮换所有通过 RMM 派发的客户凭据;排查 TaskWeaver 加载器 IoC。

2. Microsoft 365 Excel UAF → RCE(6 月 30 日新增)

  • 漏洞类型:Excel 释放后使用(UAF),可被恶意 .xlsx 文档触发
  • 触发条件:用户打开/启用外部 Excel 附件
  • 攻击效果:本地任意代码执行,常被勒索软件 / Qakbot 类投递链武器化
  • 威胁建模日报June 30 报告
  • 微软补丁日分析The Hacker News 6 月补丁日
  • FreeBuf 6 月解读FreeBuf 206 漏洞细节
  • Talos 详细分析Talos Snort 规则与重点漏洞
  • 处置建议:应用 6 月补丁日更新;邮件网关拦截宏文档;ASR 规则阻断 Office 子进程;禁用宏执行;优先修复高危用户(财务 / HR)。

3. Windows Server NTLM 反射绕过(6 月 30 日)

  • 漏洞类型:NTLM 反射(NTLM Reflection)攻击绕过,可获取 SYSTEM 权限
  • 触发条件:结合 SMB / LDAP / HTTP 等 NTLM 认证场景;常作为初始访问后的权限提升阶段
  • 攻击效果:SYSTEM 权限接管
  • 威胁建模日报June 30 报告
  • NTLM 历史背景BleepingComputer Netlogon RCE
  • 处置建议:域控与服务器启用强制 SMB/LDAPS 签名;NLA + EPA 全量开启;监控 NTLM 中继告警(4624/4672 异常)。

4. Microsoft Defender BlueHammer CVE-2026-33825(确认勒索利用)

  • 漏洞类型:Windows Defender 本地权限提升至 SYSTEM
  • 触发条件:本地低权限用户执行触发代码
  • 威胁态势:勒索软件团伙已武器化利用;CISA KEV 收录
  • CISA KEV 详情CISA KEV 目录
  • Security.nl 报道Security.nl 详情
  • 威胁建模日报June 30 报告
  • 处置建议:应用 6 月 Defender 平台更新;EDR 监控异常子进程;强化本地权限分离;蜜罐重点观察。

5. Oracle E-Business Suite CVE-2026-46817(在野利用持续)

  • 漏洞位置:Oracle Payments 文件传输组件
  • 触发条件:未认证,HTTP 网络访问
  • 威胁态势:6 月 27-28 周末首次观测到利用,6 月 29 日 Captured live attack activity
  • Cybersecurity News 报道Oracle EBS 在野利用
  • Security.nl 报道Security.nl 详情
  • NVD 详情NVD CVE-2026-46817
  • 处置建议:应用 Oracle 2026-05 CPU 补丁;EBS 接口收敛至内网;监控 Oracle Payments 日志异常上传/下载。

四、🟠 关键在野利用 KEV 持续态势

BOD 26-04 强制 3 天修复周期 --- 累计 22 个 KEV,27 个逾期

CVE 编号 组件 状态 关键链接
CVE-2026-20262 Cisco SD-WAN Manager 在野利用 · 已逾期 Threat-Modeling 专题
CVE-2026-20230 Cisco Unified CM 在野利用 · 已逾期 HelpNetSecurity 报道 · TheHackerWire 分析
CVE-2026-12569 PTC Windchill/FlexPLM 在野利用 · Webshell 已部署 BleepingComputer 报道
CVE-2026-20245 Cisco Catalyst SD-WAN 在野利用 · +5 天逾期 The Hacker News 报道
CVE-2026-42271 LiteLLM 在野利用 · +7 天逾期 Threat-Modeling 报告
CVE-2026-20253 Splunk Enterprise 在野利用 · +10 天逾期 CISA 公告
CVE-2026-34908/34909/34910 Ubiquiti UniFi OS × 3 在野利用 · +4 天逾期 Threat-Modeling 报告
CVE-2025-67038 Lantronix EDS5000 在野利用 · +4 天逾期 Threat-Modeling 报告
CVE-2026-0257 Palo Alto PAN-OS GlobalProtect 在野利用 · +27 天逾期(最久) CybersecurityNews 报道

数据洞察:BOD 26-04 期间共新增 22 个 KEV,平均 1.3 天/个。Cisco 4 个、Ubiquiti 3 个 CVSS 10.0 集中爆发。AI 框架系列(Mastra、LiteLLM、AutoGen、Flowise)首次成系统性 KEV 模式。


五、💣 公开 PoC 与利用工具包

1. Gitea act_runner CVE-2026-58053 容器逃逸 PoC

  • 仓库bikini/exploitarium - gitea-act-runner-container-options-poc
  • 使用步骤
    bash git clone https://github.com/bikini/exploitarium.git cd exploitarium/gitea-act-runner-container-options-poc # 查看 PoC 脚本(marker-only,验证 container.options 注入点) cat README.md
  • 漏洞机制 :workflow container.options 字段被直接拼接到 Docker HostConfig,仅强制 privileged: false,其他 --pid=host / --cap-add / --security-opt / --volume=/:/host 全部通过。
  • 威胁评估:公共 Gitea 实例任何贡献者可发起 pull request 投递恶意 workflow;CI/CD 主机被接管后所有 runner 凭据、部署密钥、源码外泄。
  • NVD 详情NVD CVE-2026-58053
  • OpenCVE 详情OpenCVE 漏洞卡片
  • 官方文档Gitea act_runner 使用说明
  • 威胁建模专题Threat-Modeling 详细分析
  • NOPJ 中文解读NOPJ 漏洞分析
  • 处置建议 :升级 act_runner;轮换所有 CI/CD 密钥;审查历史 workflow 的 container.options;公共仓库必须启用 workflow 审批门禁。

2. ANTLR4 CVE-2026-13500 解析器代码注入 PoC

  • 漏洞位置:ANTLR4 OutputFile.java 语法 action block handler(≤4.13.2)
  • PoC 来源Wooyun Issue Tracker
  • 使用步骤
    bash # 安装 ANTLR4 4.13.2 # 创建恶意 .g4 语法文件,在 action 块中注入 Java 代码 # 通过 ANTLR 工具链执行时将触发代码注入
  • 威胁评估:ANTLR4 是 Java/C#/Python/SQL 解析器的事实标准;任何接受外部 grammar 生成的 CI/CD 流水线都面临供应链注入风险。
  • VulDB 详情VulDB CVE-2026-13500
  • 威胁建模日报June 29 报告
  • 处置建议:升级 ANTLR4 至 4.13.2+;拒绝未可信源 grammar;CI/CD 生成代码必经审计。

3. cURL CVE-2026-8932 25 年历史漏洞 PoC(参考集合)

  • CVE 集合cURL 8.21.0 Security Advisory
  • 漏洞类型:mTLS 连接重用导致身份验证绕过(自 cURL 7.7 起,潜伏 25 年)
  • 使用步骤
    bash # 升级 cURL # Linux: 源码编译或升级到 libcurl 8.21.0 # 验证版本 curl --version
  • 威胁评估:所有使用 cURL/libcurl 的客户端(数亿设备)、容器镜像、嵌入式系统。
  • SecurityWeek 报道SecurityWeek 25 年漏洞分析
  • Aisle 6 CVE 集合Aisle Blog 详细分析
  • 威胁建模专题cURL 8.21.0 安全公告
  • 处置建议:升级至 cURL 8.21.0;检查容器基础镜像版本;mTLS 场景重新评估连接复用安全。

4. Microsoft 365 Excel UAF → RCE PoC

  • PoC 媒介 :恶意 .xlsx 文件
  • 使用步骤
    bash # PoC 投递通常通过钓鱼邮件附带 Excel 文档 # 受害者打开文档 → 宏/UAF 触发 → 远程代码执行 # 防御:邮件网关拦截 + ASR 规则
  • 威胁建模日报June 30 报告
  • 微软 6 月补丁The Hacker News 6 月补丁日
  • Talos 规则Talos 6 月分析
  • 处置建议:应用 6 月补丁日更新;ASR 规则拦截 Office 子进程;邮件网关宏文档拦截。

5. Windows NTLM 反射绕过 PoC

  • PoC 类别:中继/反射工具链(结合 ntlmrelayx、responder 等)
  • 使用步骤
    bash # 中间人场景触发 NTLM 反射 # 攻击者监听 → 强制 NTLM 认证 → 反射到本地服务 → 提权 SYSTEM # 防御:强制 SMB/LDAPS 签名 + NLA + EPA
  • 威胁建模日报June 30 报告
  • NTLM 历史BleepingComputer Netlogon RCE
  • 处置建议:强制 SMB/LDAPS 签名;NLA + EPA;监控 NTLM 中继事件。

6. Miasma / Mini Shai-Hulud 蠕虫供应链 PoC

  • 关联漏洞The Hacker News - Miasma 供应链攻击
  • 关联 CVE(部分):CVE-2026-21852 / CVE-2026-22708 / CVE-2026-33634 / CVE-2026-42271 / CVE-2026-45321 / CVE-2026-45758 / CVE-2026-46412 / CVE-2026-48027
  • 威胁评估:通过 npm 包 + GitHub Actions + CI/CD 基础设施横向传播,Shai-Hulud 蠕虫变种
  • BleepingComputer Red Hat 报道Red Hat npm 包沦陷
  • Security Boulevard 报道Miasma 蠕虫波及数百 npm 包
  • 处置建议 :审计 package-lock.json;固定可信版本;CI/CD 凭据轮换;GitHub Actions 权限最小化。

7. Edgecution 恶意 Edge 扩展 → Python 后门 PoC


六、📰 精选网络安全文章

漏洞与事件报道

  1. F5 Labs Weekly Threat Bulletin -- July 1st, 2026本周威胁公报 --- Cisco UCM Webshell、Chrome 149 18 个严重漏洞、cURL 25 年漏洞、Miasma 蠕虫、Edgecution 勒索五大主题
  2. Threat-Modeling Vulnerability Intelligence Report -- June 30, 20266 月 30 日报告 --- SimpleHelp CVSS 10.0 + Oracle EBS + Defender BlueHammer + WolfSSL + Excel UAF + NTLM 反射
  3. Threat-Modeling Vulnerability Intelligence Report -- June 29, 20266 月 29 日报告 --- BOD 26-04 22 KEV 周期结束回顾 + ANTLR4 + Gitea act_runner + Windows Secure Boot
  4. Threat-Modeling Vulnerability Intelligence Report -- June 28, 20266 月 28 日报告 --- FFmpeg RASC + RustDesk + libssh2 + Node.js TLS
  5. The Hacker News -- Microsoft Patches Record 206 Flaws6 月补丁日报道 --- 3 个零日 + 39 个严重漏洞
  6. FreeBuf -- 微软 2026 年 6 月补丁日206 漏洞深度分析 --- 中文详细解读
  7. Talos Blog -- Microsoft Patch Tuesday June 2026Talos 规则与重点漏洞 --- Snort 规则集
  8. CybersecurityNews -- Microsoft June 2026 Patch Tuesday198/206 漏洞分析 --- 零日攻击链分析
  9. BleepingComputer -- Microsoft June 2026 Patch Tuesday6 个零日修复 --- RoguePlanet/CTFMON 零日详情
  10. SecurityWeek -- 25-Year-Old Vulnerability Patched in curlcURL 25 年漏洞 --- cURL 8.21.0 公告
  11. SecurityWeek -- Chrome 149 Update Resolves 18 Severe VulnerabilitiesChrome 149 详情 --- WebGL UAF CVSS 9.6
  12. HelpNetSecurity -- Cisco Unified CM Flaw Exploited to Drop WebshellsCisco UCM Webshell 详情 --- 自动化攻击链
  13. The Hacker News -- Miasma Supply Chain AttackMiasma 供应链攻击 --- 数百 npm 包沦陷
  14. BleepingComputer -- Red Hat npm Packages CompromisedRed Hat npm 包沦陷 --- 官方渠道被植入后门
  15. BleepingComputer -- Malicious Edge Extension Abuses Native Messaging恶意 Edge 扩展 --- 沙箱逃逸链
  16. Ars Technica -- Dozens of Red Hat Packages BackdooredRed Hat 供应链攻击深度报道 --- npm 渠道供应链
  17. CybersecurityNews -- Windows Secure Boot Certificate ExpiredWindows Secure Boot 证书过期 --- 运营性事件
  18. SecurityBoulevard -- Miasma Wave Hits Hundreds of npm PackagesMiasma 蠕虫大规模爆发 --- Shai-Hulud 演化
  19. The Hacker News -- CISA Adds Cisco, Chrome, Arista Flaws to KEVCISA KEV 6 月 10 日更新 --- 多个 7.8 CVSS 漏洞
  20. BleepingComputer -- Critical Windows Netlogon RCE Flaw Now ExploitedNetlogon 在野利用 --- 5 月补丁日漏洞武器化

中文安全社区精选

  1. FreeBuf 漏洞频道FreeBuf 漏洞总览 --- 每日漏洞速递
  2. FreeBuf 早报 -- 2026 年 AI 推动 CVE 激增至 6.6 万AI 与 CVE 增长 --- Langflow CVE-2026-5027 复现
  3. CN-SEC -- 2026 年高危漏洞 TOP10 盘点TOP10 修复实战 --- Q1 1847 个高危漏洞分析
  4. 腾讯云开发者 -- 2026 多品类高危漏洞与新型复合攻击复合网络攻击检测 --- PAN-OS/Linux/OAuth 四层防御
  5. 知乎 -- 2026 年上半年全球常规被利用漏洞全景上半年漏洞全景 --- 25 个被攻击者利用 CVE 深度分析

厂商与研究公告

  1. Microsoft -- RoguePlanet Zero-Day Tracked as CVE-2026-50656Defender 零日 --- Defender Windows 11/10 零日修复
  2. Cisco Security Advisory -- Unified CM SSRFCisco UCM 官方公告 --- WebDialer 详细说明
  3. GitHub Security Blog -- Securing the git push pipelineCVE-2026-3854 GitHub 响应 --- 4 月 RCE 事件复盘
  4. Wiz Blog -- GitHub RCE CVE-2026-3854 BreakdownWiz 详细分析 --- 共享存储节点影响
  5. SecurityAffairs -- CVE-2026-3854 GitHub FlawSecurityAffairs 报道 --- 远程代码执行分析

七、🛡️ 本期重点防御建议

立即行动(24 小时内)

  1. SimpleHelp 紧急升级 --- 5.5.16+ / 6.0 正式版;MSP 优先排查 RMM 异常技术员账户
  2. Cisco UCM 补丁 --- WebDialer 默认未启用,启用环境需立即应用 Cisco 安全公告补丁
  3. Excel UAF 防护 --- 邮件网关拦截宏/外部 Excel 附件;ASR 规则启用
  4. NTLM 反射加固 --- 强制 SMB/LDAPS 签名;NLA + EPA 全量

本周行动

  1. BOD 26-04 逾期 27 项 KEV 全部清账 --- 重点 Cisco 4 个 + Ubiquiti 3 个
  2. Gitea act_runner 升级 --- 公共 Gitea 实例优先;轮换 CI/CD 密钥
  3. Microsoft Defender 平台更新 --- BlueHammer LPE + RoguePlanet 零日
  4. Windows Secure Boot 证书更新 --- 应用 OEM UEFI 固件更新;Linux shim 更新
  5. Oracle EBS 5 月 CPU 补丁 --- 收敛 EBS 接口至内网
  6. cURL/libcurl 8.21.0 升级 --- 容器基础镜像 + 嵌入式系统

战略建议

  1. AI 工具供应链审计 --- Langflow/Mastra/AutoGen/Flowise 等 AI 框架均已进 KEV;定期评估 AI 平台攻击面
  2. MSP / RMM 攻击面收敛 --- 2026 上半年 MSP 供应链成重点目标(SimpleHelp/Kaseya 模式)
  3. KEV 周期复盘 --- 22 个 KEV / 27 个逾期 / 3 天 BOD 强制周期,需在运营层面建立 72 小时修复能力
  4. NTLM 退役路线图 --- 全面转向 Kerberos + 证书认证;减少中继攻击面
  5. CI/CD 零信任 --- 强制 workflow 审批门禁;公共仓库 PR 必须人工 review

八、📊 本期关键数据

指标 数值
数据窗口 2026-06-28 ~ 2026-07-01
高危/严重 CVE(近 48 小时) 8+
公开 PoC 数量 7
在野利用 CVE 持续 9+(KEV 累计 22,逾期 27)
数据来源 8+(F5 Labs、Threat-Modeling、BleepingComputer、The Hacker News、FreeBuf、SecurityWeek、Cisco、Microsoft)

九、🔗 报告引用来源汇总

来源 链接 类型
F5 Labs Weekly Threat Bulletin f5.com/labs 威胁情报周报
Threat-Modeling.com threat-modeling.com 漏洞情报日报
CISA KEV cisa.gov/known-exploited-vulnerabilities-catalog 官方 KEV 目录
NVD nvd.nist.gov 官方漏洞数据库
BleepingComputer bleepingcomputer.com 安全新闻
The Hacker News thehackernews.com 安全新闻
SecurityWeek securityweek.com 安全新闻
FreeBuf freebuf.com 中文安全社区
HelpNetSecurity helpnetsecurity.com 安全新闻
Talos Intelligence blog.talosintelligence.com 思科 Talos
GitHub Security Lab github.com/advisories 漏洞公告
阿里云 AVD avd.aliyun.com 中文漏洞库
Horizon3.ai horizon3.ai 攻击研究
CVEFeed cvefeed.io 漏洞聚合
Microsoft Security msrc.microsoft.com 微软公告

本报告由自动化威胁情报流程生成,数据来源覆盖官方漏洞数据库、厂商安全公告、安全研究机构与社区媒体。报告聚焦近 24-48 小时高风险漏洞,所有外部链接均使用 Markdown 锚文本格式便于点击跳转。

相关推荐
忡黑梨2 小时前
安装 Claude Code(使用 DeepSeek API)
网络·网络安全
零零信安17 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手17 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub17 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
爱网络爱Linux17 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc17 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing17 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
Chengbei1117 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
X7x517 天前
深度拆解网络安全“闭环”之王——APPDRR模型
网络安全·网络攻击模型·安全威胁分析·安全架构·appdrr模型