agent-skills项目结构详解:轻松理解技能组织与工作流设计
2026/5/7 11:00:38
每日安全情报报告 · 2026-05-07
报告日期:2026年05月07日(周四)
情报窗口:近 24-48 小时
数据来源:NVD、CISA KEV、TheHackerNews、FreeBuf、Palo Alto Networks 官方公告、GitHub
编写说明:本报告涵盖近48小时内新增/持续活跃的高危漏洞、PoC动态及安全资讯,所有外部链接均使用 Markdown 格式。
📊 风险等级汇总
| 等级 | 数量 |
|---|---|
| 🔴 严重(CVSS ≥ 9.0) | 3 |
| 🟠 高危(7.0 ≤ CVSS < 9.0) | 2 |
| 🟡 在野利用标记 | 4 |
| 📌 PoC 已公开 | 3 |
一、最新高危漏洞(CVE 详情)
🔴 CVE-2026-0300|Palo Alto PAN-OS User-ID 认证门户缓冲区溢出 RCE
| 项目 | 详情 |
|---|---|
| 漏洞类型 | 缓冲区溢出(Buffer Overflow / CWE-787) |
| 受影响组件 | Palo Alto Networks PAN-OS User-ID Authentication Portal(Captive Portal)服务 |
| CVSS 评分 | 9.3(严重)/ 8.7(内网访问场景) |
| 在野利用 | ✅ 已确认在野利用(limited exploitation) |
| 披露时间 | 2026-05-06 |
| 修复状态 | ❌ 未修复,官方补丁预计 2026-05-13 起分批发布 |
受影响版本:
| PAN-OS 分支 | 受影响版本 | 修复版本(ETA) |
|---|---|---|
| PAN-OS 12.1 | < 12.1.4-h5, < 12.1.7 | ≥ 12.1.4-h5(05/13)、≥ 12.1.7(05/28) |
| PAN-OS 11.2 | < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12 | 分批于 05/13~05/28 发布 |
| PAN-OS 11.1 | < 11.1.4-h33 等(详见官方公告) | 分批于 05/13~05/28 发布 |
| PAN-OS 10.2 | < 10.2.7-h34 等(详见官方公告) | 分批于 05/13~05/28 发布 |
漏洞描述:未经身份验证的攻击者可通过向 User-ID Authentication Portal 发送精心构造的数据包,在 PA-Series 和 VM-Series 防火墙上以 root 权限执行任意代码。该漏洞已被观测到在野利用,主要针对将 Portal 暴露于互联网的设备。
临时缓解措施:
1. 将 User-ID Authentication Portal 访问权限限制为仅受信任的内部 IP 地址
2. 在接口管理配置文件中禁用 Response Pages
3. 如不需要该功能,可直接禁用 User-ID Authentication Portal
- 📎 NVD 详情
- 📎 Palo Alto 官方公告
- 📎 TheHackerNews 报道
🔴 CVE-2026-41940|cPanel & WHM 认证绕过(在野利用,已被武器化)
| 项目 | 详情 |
|---|---|
| 漏洞类型 | 认证绕过(Authentication Bypass) |
| 受影响组件 | cPanel & WebHost Manager (WHM) |
| CVSS 评分 | 9.8(严重) |
| 在野利用 | ✅ 已确认在野利用(自 2026 年 2 月起) |
| 披露时间 | 2026-04-29(公开披露) |
| 修复状态 | ✅ 官方已发布补丁 |
漏洞描述:cPanel 控制面板存在严重认证绕过漏洞,未经身份验证的远程攻击者可直接获取完整管理权限。该漏洞自 2026 年 2 月起已在野利用,已有公开 PoC,截至 4 月 30 日仍有超过 44,000 个 cPanel 实例疑似被攻陷。
近期武器化动态(2026-05-02 确认):攻击者利用该漏洞针对东南亚(菲律宾、老挝)政府及军事实体发起定向攻击,攻击链涉及 CAPTCHA 绕过、SQL 注入、AdaptixC2 远控框架及 OpenVPN/Ligolo 隧道工具。另有多个第三方团伙利用该漏洞部署 Mirai 僵尸网络变种和 Sorry 勒索软件。
- 📎 Dataminr 情报简报
- 📎 TheHackerNews 武器化报道
- 📎 HelpNetSecurity 报道
🔴 CVE-2026-32201|Microsoft SharePoint Server 欺骗零日(持续在野利用)
| 项目 | 详情 |
|---|---|
| 漏洞类型 | 欺骗(Spoofing) |
| 受影响组件 | Microsoft SharePoint Server |
| CVSS 评分 | 6.5(重要),但实际风险极高 |
| 在野利用 | ✅ 已确认在野利用,用于投递 Web Shell |
| 披露时间 | 2026-04-14(微软补丁日披露) |
| 修复状态 | ⚠️ 无补丁(零日),CISA KEV 已收录 |
漏洞描述:未经身份验证的攻击者可在 SharePoint Server 上执行任意代码,无需任何权限。该漏洞已被在野利用以投递 Web Shell 或恶意软件。截至 5 月初,仍有超过 1,300 台服务器暴露于公网且未应用任何缓解措施。
- 📎 CISA KEV 目录
- 📎 Security Arsenal 检测指南
- 📎 MSN 报道(1300+ 服务器暴露)
🟠 CVE-2026-31431|Linux 内核 "Copy Fail" 本地提权(容器逃逸)
| 项目 | 详情 |
|---|---|
| 漏洞类型 | 内核内存越界写入(algif_aead 加密子系统) |
| 受影响组件 | Linux 内核(4.14 及以上版本,2017 年起引入) |
| CVSS 评分 | 7.8(高危) |
| 在野利用 | ⚠️ PoC 已公开,稳定性高,风险极大 |
| 披露时间 | 2026-04-29 |
| 修复状态 | 部分内核版本已修复,需核实具体发行版状态 |
漏洞描述:代号为 "Copy Fail" 的漏洞存在于 Linux 内核algif_aead加密代码中,允许任何非特权进程向页面缓存写入任意 4 字节数据,从而实现本地提权至 root。该漏洞同时可用于容器逃逸。已有 732 字节的 Python PoC 公开,据报告在多个主流 Linux 发行版上稳定可靠。
- 📎 NVD 详情
- 📎 Sophos 分析报告
- 📎 多伦多大学安全通告
- 📎 Microsoft 安全博客
🟠 CVE-2026-40466 / CVE-2026-41044|Apache ActiveMQ 远程代码执行漏洞
| 项目 | 详情 |
|---|---|
| 漏洞类型 | 不当输入验证(CVE-2026-40466)+ 代码注入(CVE-2026-41044) |
| 受影响组件 | Apache ActiveMQ Broker / Apache ActiveMQ All |
| CVSS 评分 | 待 NVD 官方评分(预估高危) |
| 在野利用 | ⚠️ 需关注,建议立即评估 |
| 披露时间 | 2026-04-24(官方修复公告) |
| 修复状态 | ✅ 官方已发布修复版本 |
漏洞描述:Apache ActiveMQ 存在两个高危险漏洞,攻击者可利用不当输入验证和代码注入缺陷实现远程代码执行。Apache ActiveMQ 是广泛部署的开源消息中间件,影响范围较大。
- 📎 阿里云漏洞详情
- 📎 奇安信 CERT 监测报告
- 📎 深度漏洞实验室通告
二、最新漏洞 PoC(使用步骤)
📌 CVE-2026-0300 — Palo Alto PAN-OS 未授权 RCE
PoC 仓库:github.com/bannned-bit/CVE-2026-0300-PANOS
使用步骤:
# 步骤1:克隆仓库 git clone https://github.com/bannned-bit/CVE-2026-0300-PANOS.git cd CVE-2026-0300-PANOS # 步骤2:安装依赖 pip install -r requirements.txt # 步骤3:执行利用(目标需开启 User-ID Authentication Portal 且可公网访问) python Poc.py --target <目标IP> --port <端口>⚠️注意:该漏洞尚无官方补丁(补丁预计 2026-05-13 起发布),在野利用已确认。面向互联网的 PAN-OS 设备需立即采取缓解措施。
📌 CVE-2026-31431 — Linux "Copy Fail" 本地提权
PoC 来源:已公开于 GitHub 及安全研究机构
使用步骤:
# 步骤1:获取 PoC git clone https://github.com/CanFerac/Polymorph.git cd Polymorph/CVE-2026-31431 # 步骤2:查看内核版本是否受影响 uname -r # 受影响版本:4.14 <= Linux kernel < 修复版本(各发行版不同) # 步骤3:编译并执行 PoC(需本地普通用户权限) gcc -o exploit exploit.c ./exploit # 成功后将获取 root shell⚠️注意:该 PoC 仅需本地普通用户权限,732 字节极简利用代码,稳定性高,同时支持容器逃逸。
- 📎 PoC 参考仓库
- 📎 Sophos 技术分析
📌 CVE-2026-41940 — cPanel 认证绕过
PoC 来源:已公开(cPanelSniper 等)
使用步骤:
# PoC 已公开,可通过以下方式获取分析 # 注意:该漏洞自 2026 年 2 月起已在野利用,请仅在授权环境中测试 # 参考 PoC 分析文章 # 来源:https://www.dataminr.com/resources/intel-brief/cve-2026-41940-zero-day-with-public-poc/⚠️注意:该漏洞已被多个威胁团伙武器化,用于部署 Mirai 僵尸网络和 Sorry 勒索软件。cPanel 官方已发布补丁,请立即升级。
三、网络安全最新文章
📰 Palo Alto PAN-OS 零日漏洞在野利用,根本无补丁(TheHackerNews)
全球知名防火墙厂商 Palo Alto Networks 于 2026 年 5 月 6 日紧急披露了一个 PAN-OS 零日漏洞 CVE-2026-0300,该漏洞允许未经身份验证的攻击者通过 User-ID Authentication Portal 实现 root 级别远程代码执行。最令人担忧的是,官方补丁最早要到 2026 年 5 月 13 日才开始分批发布,而现在漏洞已经在野利用。建议所有将 User-ID Portal 暴露于互联网的用户立即采取缓解措施。
- 📎 阅读原文
📰 cPanel 漏洞被武器化,东南亚政府机构遭定向攻击(TheHackerNews)
安全研究人员 Ctrl-Alt-Intel 于 2026 年 5 月 2 日确认,CVE-2026-41940(cPanel 认证绕过漏洞)已被武器化,用于针对菲律宾和老挝的政府及军事实体发起定向网络攻击。攻击链极为精细:攻击者利用硬编码凭据和 CAPTCHA 绕过技术侵入印度尼西亚国防部门训练门户,继而通过 SQL 注入实现 RCE,最终使用 AdaptixC2 框架建立持久化访问并窃取大量中国铁路行业文档。这标志着该漏洞已从普通僵尸网络利用升级为有组织的国家级攻击活动。
- 📎 阅读原文
📰 Linux "Copy Fail" 漏洞:潜伏 9 年的史诗级本地提权(FreeBuf)
2026 年 4 月 29 日,一个潜伏在 Linux 内核中长达 9 年的本地提权漏洞被公开披露,代号 "Copy Fail"(CVE-2026-31431)。该漏洞位于内核加密子系统algif_aead中,允许普通用户通过 4 字节越界写入实现完整 root 提权,甚至可用来逃逸容器限制。该漏洞影响自 2017 年引入的 Linux 内核 4.14 及以上所有版本,已有极简 PoC(仅 732 字节)公开,稳定性极高,建议所有 Linux 服务器管理员立即评估风险并应用内核补丁。
- 📎 阅读原文
📰 SharePoint 零日持续在野利用,1300+ 服务器仍暴露(MSN / Security Arsenal)
尽管微软已于 2026 年 4 月补丁日披露了 SharePoint Server 零日漏洞 CVE-2026-32201,并确认其正在被在野利用,但截至 5 月初,全球仍有超过 1,300 台 SharePoint 服务器暴露于公网且未采取任何缓解措施。该漏洞允许未经身份验证的攻击者远程执行代码,已被用于投递 Web Shell。CISA 已将其加入 KEV 目录,联邦机构修复截止日为 2026 年 4 月 28 日(已到期)。
- 📎 阅读原文
📰 Apache ActiveMQ 双漏洞预警,消息中间件面临 RCE 风险(国家资通安全研究院)
台湾国家资通安全研究院于 2026 年 5 月 6 日发布漏洞警报,指出 Apache ActiveMQ 存在两个高危险安全漏洞(CVE-2026-40466 与 CVE-2026-41044),类型分别为不当输入验证和代码注入,均已通过官方安全公告完成修复。Apache ActiveMQ 作为广泛部署的开源消息中间件,在企业级 Java 应用和分布式系统中使用极为广泛,建议所有使用该组件的组织立即核查版本并升级至安全版本。
- 📎 阅读原文
四、附录:CISA KEV 目录更新动态
| 日期 | 新增漏洞数量 | 重点漏洞 |
|---|---|---|
| 2026-04-20 | 8 个 | Cisco Catalyst SD-WAN(3个)、Samsung MagicINFO、SimpleHelp(2个)、D-Link DIR-823X |
| 2026-04-25 | 4 个 | Samsung MagicINFO、SimpleHelp(2个)、D-Link DIR-823X(联邦截止日 2026-05-08) |
| 2026-05-01 | 1 个 | 待确认 |
说明:CISA KEV(Known Exploited Vulnerabilities)目录收录已被确认在野利用的漏洞,联邦机构须在截止日前完成修复。私营企业应参考同一时间表作为风险控制依据。
五、风险提示与建议
- 🔴 紧急:Palo Alto PAN-OS 用户请立即核查是否开启 User-ID Authentication Portal,并采取缓解措施(限制访问/禁用功能),等待 05-13 官方补丁
- 🔴 紧急:cPanel 用户请立即应用官方补丁,并排查是否已被入侵(使用 cPanel 官方检测脚本)
- 🔴 高危:Linux 服务器管理员请立即评估 CVE-2026-31431 影响,应用最新内核补丁
- 🔴 高危:SharePoint Server 管理员请立即限制公网访问,并应用所有可用缓解措施
- 🟠 关注:Apache ActiveMQ 用户请升级至官方修复版本
报告生成时间:2026-05-07 08:00 (UTC+8)
下一份报告:2026-05-08 08:00