每日安全情报报告 · 2026-04-25

每日安全情报报告 · 2026-04-25发布时间2026-04-25 12:53 CST情报周期2026-04-24 2026-04-25风险概览 高危漏洞 5 项 | 在野利用 4 项 | PoC 公开 2 项 | 安全事件 5 项一、高危漏洞速报 CVE-2026-35031 — Jellyfin 字幕上传路径穿越 RCECVSS 9.9字段详情CVE 编号CVE-2026-35031CVSS 评分9.9严重漏洞类型路径穿越 → 任意文件写入 → RCECWE-22受影响组件Jellyfin Media Server 10.11.7修复版本10.11.7认证要求需字幕上传权限的低权限用户利用状态PoC 已公开披露日期2026-04-14漏洞详情漏洞位于字幕上传端点POST /Videos/{itemId}/SubtitlesFormat字段未正确验证攻击者可通过路径穿越写入任意文件如/etc/ld.so.preload再借助 LD_PRELOAD 注入实现以 root 权限执行任意代码。攻击链字幕上传 → 路径穿越 → 写入/etc/ld.so.preload→ 读取数据库 → 提取管理员凭据 → LD_PRELOAD RCEroot 权限修复建议立即升级至 Jellyfin 10.11.7临时缓解措施禁用非管理员用户的上传字幕权限限制对 Jellyfin 端口8096的网络访问。NVD 详情 | 阿里云 AVD | GitHub PoCkeraattin CVE-2026-20180 — Cisco ISE 已认证远程命令执行CVSS 9.9字段详情CVE 编号CVE-2026-20180CVSS 评分9.9严重漏洞类型输入验证不足 → 命令注入受影响组件Cisco Identity Services Engine (ISE)利用条件需要只读管理员Read Only Admin权限利用状态尚无在野利用记录披露日期2026-04-15漏洞详情Cisco ISE 对用户输入的验证不足拥有只读管理员权限的攻击者可通过构造恶意 HTTP 请求注入操作系统命令获得用户级 Shell 并进一步提升至 root 权限。在单节点部署场景下还可触发拒绝服务DoS。同期补丁Cisco 同日修复了 ISE 系列中的 CVE-2026-20147CVSS 9.9输入验证不足 RCE及 Webex SSO 身份冒充漏洞 CVE-2026-20184。修复建议应用 Cisco 4月安全公告最新补丁审查并收紧 ISE 管理界面的访问控制避免将管理接口暴露于公网。Cisco 安全公告 | TheHackerNews 分析 Cisco Catalyst SD-WAN Manager — 三重高危漏洞CISA KEV 在野利用⚠️ 在野利用字段详情CVE 编号CVE-2026-20122 / CVE-2026-20128 / CVE-2026-20133受影响组件Cisco Catalyst SD-WAN Manager利用状态 已在野利用CISA KEV 2026-04-20 新增联邦修复截止2026-05-04风险说明SD-WAN Manager 处于网络架构核心控制层一旦沦陷将影响整个网络编排层漏洞详情CISA 于 2026-04-20 将这三个 Cisco Catalyst SD-WAN Manager 漏洞纳入 KEV 目录证实存在在野利用。攻击者可利用这些漏洞控制 SD-WAN 管理平面影响分布式广域网的连接、策略和信任关系风险极高。修复建议联邦机构须于 2026-05-04 前完成修复企业用户建议立即应用 Cisco 最新安全更新隔离 SD-WAN Manager 管理接口。CISA KEV 公告 | CyberSixt 分析 Oracle April 2026 CPU — 481 个安全补丁含 34 个严重漏洞字段详情发布日期2026-04-22修复总量481 个安全补丁涉及 241 个 CVE严重漏洞数34 个CVSS ≥ 9.0受影响产品Oracle Communications、Fusion Middleware、MySQL、E-Business Suite、Java SE、Virtualization 等 20 产品系列可远程利用是部分无需认证重点关注-Oracle Identity Manager ConnectorCVE-2026-34287、CVE-2026-34289多个高危 RCE 漏洞-Oracle Virtualization9 个新安全补丁其中 1 个无需认证即可远程利用- 本次 CPU 是 Oracle 历史上补丁量最大的季度更新之一修复建议企业应优先修复所有 CVSS ≥ 9.0 的漏洞尤其是 Oracle Identity Manager 和 Oracle Fusion Middleware 组件。Oracle 强烈建议尽快应用所有适用补丁。Oracle 官方 CPU 公告 | Tenable 分析 | Qualys 解读 CVE-2023-27351 / CVE-2024-27199 — PaperCut TeamCity CISA KEV 截止日⚠️ 在野利用CVE产品CVSS状态CVE-2023-27351PaperCut NG/MF9.8 在野大规模利用联邦截止 4月23日CVE-2024-27199JetBrains TeamCity10.0 在野利用联邦截止 4月23日说明CISA 于 2026-04-20 新增的 8 个 KEV 漏洞中PaperCut 和 TeamCity 的修复截止日期为 4 月 23 日昨日尚未完成修复的组织面临极高风险。这两个漏洞均已被攻击者在野大规模利用曾被国家级 APT 组织用于初始访问。CISA KEV 公告 | TheHackerNews 速报二、漏洞 PoC 情报️ PoC #1 — CVE-2026-35031Jellyfin 字幕路径穿越 RCE来源GitHub — keraattin/CVE-2026-35031查看仓库披露日期2026-04-15严重程度CVSS 9.9漏洞原理POST /Videos/{itemId}/Subtitles端点的Format字段未过滤路径穿越字符攻击者可写入/etc/ld.so.preload利用 LD_PRELOAD 机制实现 root 级 RCE。使用步骤检测用途仅限授权测试# 1. 克隆仓库 git clone https://github.com/keraattin/CVE-2026-35031.git cd CVE-2026-35031 # 2. 安装依赖 pip install requests urllib3 # 3. 检测单个目标 python CVE-2026-35031_Jellyfin_RCE_detector.py -t http://TARGET_IP:8096 # 4. 批量扫描CIDR 范围 python CVE-2026-35031_Jellyfin_RCE_detector.py -t http://10.0.0.0/24 # 5. 或使用 Nmap NSE 脚本 sudo cp CVE-2026-35031_Jellyfin_RCE.nse /usr/share/nmap/scripts/ sudo nmap --script-updatedb nmap -sV -p 8096 --script CVE-2026-35031_Jellyfin_RCE TARGET_IP验证是否已被利用# 检查 ld.so.preload 是否被篡改 cat /etc/ld.so.preload # 检查可疑字幕文件 find /var/lib/jellyfin/subtitles -type f -newer /proc -ls⚠️免责声明以上步骤仅用于授权范围内的安全测试未经授权的攻击行为属于违法犯罪。GitHub PoC | 阿里云 AVD 漏洞详情️ PoC #2 — CVE-2026-26720Twenty CRM 无认证 RCE 永久后门来源GitHub — 公开 PoC2026-04-17 披露CVSS 评分9.8严重受影响组件Twenty CRM漏洞特点该漏洞极为危险——无需身份认证即可执行任意代码且可在系统中植入永久后门即使升级或重装后仍可能持久存在。该漏洞已在 GitHub 上公开 PoC 代码。使用步骤检测用途仅限授权测试# 1. 克隆 PoC 仓库参考开源安全研究仓库 git clone https://github.com/0xMarcio/cve cd cve # 2. 安装 Python 依赖 pip install requests # 3. 针对 Twenty CRM 目标执行检测 # 注意具体 PoC 脚本因研究人员不同而有差异 # 基本思路向 CRM API 端点发送未认证的命令注入 Payload # 4. 建议检测目标是否运行了受影响版本的 Twenty CRM curl -s http://TARGET:PORT/api/version缓解建议- 立即更新 Twenty CRM 至最新版本- 检查系统是否已有持久化后门迹象计划任务、crontab、新增系统用户- 审计应用日志中的未授权 API 访问记录⚠️免责声明仅用于授权安全测试未经许可的测试属违法行为。DIESEC 漏洞追踪报告 | NVD 参考三、安全事件与威胁情报 事件一FIRESTARTER 后门攻击美国联邦机构 Cisco 防火墙设备时间2026-04-24 披露严重性 极高来源CISA 英国 NCSC 联合公告CISA 与英国国家网络安全中心NCSC联合披露一个名为FIRESTARTER的此前未知后门恶意软件成功入侵了一家美国联邦政府机构的Cisco Firepower设备运行 ASA 或 FTD 软件。关键发现- FIRESTARTER 能够在补丁安装后仍保持持久存在即打了补丁也清不掉- 攻击者利用了 Cisco ASA/FTD 的已知 CVE 漏洞作为初始入口相关 CVE 已纳入 CISA KEV 目录联邦机构本应强制修复- CISA 已发布AR26-113A分析报告提供了 FIRESTARTER 的详细 IOC 和检测指导- CISA 和 NCSC 评估认为该后门可能在受感染的 Cisco 设备上持续活跃攻击影响此次事件再次证明仅完成补丁部署不足以清除已植入的后门——防御者需要在修复之外主动开展入侵检测和清除工作。CISA AR26-113A 报告 | The Register 报道 | GovInfoSecurity 分析 事件二Kyber 勒索软件 — 后量子加密新威胁Windows VMware ESXi时间2026-04-22 首次发现2026-04-24 Rapid7 发布分析报告严重性 高来源Rapid7、CYFIRMA、CSA Labs安全研究人员于 2026-04-22 发现新型勒索软件Kyber以其宣称采用后量子加密技术为特点同时攻击Windows 系统和VMware ESXi 虚拟化环境。技术特征-Windows 变种加密密钥使用Kyber1024保护后量子密码算法-Linux/ESXi 变种研究人员发现其后量子声明有夸大成分实际使用的是常规对称加密但针对 VMware ESXi 的破坏力极强- 专门针对虚拟化基础设施、文件服务器和业务连续性平台- 攻击目标定位于恢复拒绝——让受害者无法在不支付赎金的情况下恢复防御建议- 将 VMware ESXi 管理接口从公网隔离部署双因素认证- 确保存在离线/不可变的备份勒索软件专门针对在线备份和快照- 警惕后量子勒索软件的炒作噱头但需认真对待其对虚拟化基础设施的实际威胁Rapid7 分析报告 | CSA Labs 研究 事件三Elite Enterprise 勒索软件 — 隐蔽式加密全面破坏时间2026-04-14~24 持续活跃严重性 高来源CYFIRMA 每周情报报告2026-04-24Elite Enterprise勒索软件是一种高破坏性勒索软件最大特点是加密文件但不改变文件名使受害者在数据已完全无法访问时仍难以察觉异常导致响应延迟。技术细节- 混合加密AES-256文件加密RSA-4096密钥保护- 核心破坏行为删除卷影副本VSS、可能修改 MBR/VBR 引导扇区- 破坏管理工具、云资源和网络基础设施- 勒索金额227 BTC7 天期限声称不可谈判- 生成 HTML 和 TXT 双格式勒索信防御重点- 监控卷影副本VSS删除行为- 检测异常的 MBR/VBR 写入操作- 实施不可变备份策略避免勒索软件触及备份CYFIRMA 情报报告 | PCRisk 分析 事件四CrystalX RAT — 高隐蔽性长期驻留木马时间2026-04-24 CYFIRMA 披露严重性 高来源CYFIRMA 每周情报报告CrystalX RAT是一款强调隐蔽性和持久性的远控木马主要目标为 Windows 系统已发现全球范围内的感染案例。主要 TTP- 利用WMIwmiadap.exe进行间接执行规避检测- 将恶意进程注入svchost.exe等合法系统进程- 在临时目录中部署随机命名文件- 与底层安全驱动\Device\KsecDD交互可能用于高权限操作- 采用加壳和混淆对抗逆向分析检测建议- 监控wmiadap.exe的异常子进程行为- 检测svchost.exe与临时目录的不寻常连接- 使用基于行为的 EDR 检测规则而非单纯的签名匹配CYFIRMA 情报报告 事件五Booking.com 数据泄露 精准钓鱼攻击浪潮时间2026-04-24 新一轮确认严重性 中高来源DIESEC 安全资讯Booking.com确认遭受数据泄露攻击者获取了用户的预订详情、旅行日期、目的地及个人联系信息不含支付数据随即引发大规模精准钓鱼攻击浪潮。泄露信息姓名、邮件、电话号码、预订详情、旅行日期/目的地未泄露支付卡数据攻击利用方式攻击者利用高度上下文化的旅行信息仿冒 Booking.com 向受影响用户发送极具欺骗性的钓鱼邮件包含准确的预订号和行程信息诱导用户点击恶意链接或泄露账号密码。用户建议- 对任何声称来自 Booking.com 的邮件/短信保持警惕勿点击链接- 直接登录 Booking.com 官网核实账户信息- 启用账户双因素认证2FADIESEC 报道 | 4月数据泄露汇总四、本周精选安全文章 文章一CISA 和 NCSC 联合发布 FIRESTARTER 后门技术分析报告来源CISA 官方摘要美国 CISA 与英国 NCSC 联合发布技术分析报告 AR26-113A详细记录了 FIRESTARTER 后门如何入侵美国联邦机构 Cisco Firepower 设备并能在设备完成补丁修复后持续存在。报告提供了 IOC 指标、YARA 规则和清除建议。这是 2026 年迄今最重要的政府级网络安全披露之一。阅读原文 文章二Oracle 4 月 CPU 修复 481 个漏洞 — Tenable 深度解读来源Tenable 博客摘要Tenable 对 Oracle 2026 年 4 月关键补丁更新进行了深度分析。本次 CPU 共涉及 241 个 CVE、481 个安全补丁覆盖超过 28 个产品系列其中 34 个严重漏洞CVSS ≥ 9.0。文章详细梳理了各产品线的风险优先级帮助企业制定修复计划。阅读原文 文章三Kyber 勒索软件 — 后量子加密正在成为攻击武器来源CSA Labs云安全联盟研究院摘要CSA Labs 在最新研究笔记中深度分析了 Kyber 勒索软件如何将 NIST 后量子密码标准Kyber1024反向用作攻击工具。文章指出这是企业加速加密迁移计划的最有力论据——防御者必须迁移至抗量子算法否则面临密钥永久无法恢复的风险。阅读原文 文章四CISA KEV 新增 8 个在野利用漏洞 — 含 Cisco SD-WAN 三漏洞来源The Hacker News摘要本文详细梳理了 CISA 于 2026-04-20 新增至 KEV 目录的 8 个在野利用漏洞包括 Cisco Catalyst SD-WAN Manager 三个高危漏洞联邦修复截止 5月4日、PaperCut NG/MF截止 4月23日和 JetBrains TeamCity截止 4月23日。文章分析了各漏洞的利用场景和紧急修复优先级。阅读原文 文章五朝鲜 Sapphire SleetLazarus扩大 macOS 攻击行动来源CYFIRMA 每周情报报告2026-04-24摘要CYFIRMA 最新情报显示朝鲜关联的 APT 组织 Sapphire SleetLazarus Group 的一个部门正在加强针对macOS 用户的攻击通过社会工程学诱骗目标运行伪装成软件更新的恶意 AppleScript 文件。主要针对加密货币交易所、资本市场机构和金融科技公司意在窃取凭据和大规模数据外泄。阅读原文五、风险优先级汇总优先级CVE / 事件受影响范围建议行动 P0-立即处置CVE-2023-27351 PaperCutCISA KEV已过截止日PaperCut NG/MF 用户立即打补丁检查是否已被入侵 P0-立即处置CVE-2024-27199 TeamCityCISA KEV已过截止日JetBrains TeamCity 用户立即升级清查访问日志 P0-立即处置FIRESTARTER 后门Cisco ASA/FTD联邦机构 企业 Cisco 防火墙部署 CISA IOC主动检测 清除 P1-24小时内CVE-2026-35031 JellyfinCVSS 9.9PoC 公开自托管 Jellyfin 媒体服务器升级至 10.11.7禁用字幕上传 P1-24小时内CVE-2026-20180 Cisco ISECVSS 9.9Cisco ISE 部署应用最新补丁收紧管理访问 P2-本周内Cisco SD-WAN CVE-2026-20122/20128/20133KEVSD-WAN 网络联邦须 5月4日前修复企业即刻行动 P2-本周内Oracle CPU 481 个补丁含 34 个严重Oracle 产品用户优先修复 CVSS ≥ 9.0 漏洞 P3-关注Kyber 勒索软件VMware ESXi 定向攻击虚拟化基础设施隔离 ESXi 管理接口验证离线备份六、今日关键数字481— Oracle 4 月 CPU 补丁总数历史级规模8— CISA 本周新增 KEV 漏洞数9.9— Jellyfin CVE-2026-35031 和 Cisco ISE CVE-2026-20180 的 CVSS 满分227 BTC— Elite Enterprise 勒索软件索取赎金金额约 1,700 万美元1— 被 FIRESTARTER 成功攻击的美国联邦机构已确认报告生成时间2026-04-25 12:53 CST数据来源CISA、Oracle、Cisco、CYFIRMA、Rapid7、TheHackerNews、DIESEC、GitHub、Tenable、Qualys、CSA Labs本报告仅供安全研究与防御参考所有 PoC 信息均用于授权安全测试目的。