每日安全情报报告 · 2026-04-03

每日安全情报报告 · 2026-04-03报告日期2026年04月03日星期五信息来源The Hacker News、CYFIRMA、Cyber Press、Horizon3.ai、CVEFeed、Dark Web Informer、Cyber Management Alliance、FreeBuf、NVD风险等级说明严重CVSS ≥ 9.0| 高危CVSS 7.0–8.9| 中危CVSS 4.0–6.9 今日安全速览类型数量重点高危/严重漏洞5Chrome 零日在野利用、WebLogic RCE公开 PoC3nginx-ui、React2Shell、WebLogic安全事件3大规模凭证窃取、勒索软件激增、APT活动重点文章4Chrome 零日、React2Shell 凭证盗窃、APT Red Menshen一、 高危漏洞最新披露1. CVE-2026-5281 — Google Chrome Dawn WebGPU Use-After-Free 零日漏洞字段内容漏洞编号CVE-2026-5281漏洞类型Use-After-Free释放后使用CWE-416受影响组件Google Chrome / Chromium DawnWebGPU 实现层CVSS 评分高危Google 官方标注修复版本Windows/macOS: 146.0.7680.178 / Linux: 146.0.7680.177⚠️ 在野利用已确认在野利用2026-04-01 Google 紧急发布补丁漏洞详情Dawn 是 Chrome 中 WebGPU 的跨平台实现层负责将图形/计算指令转换为 Vulkan/Metal/Direct3D 调用。该 Use-After-Free 漏洞允许远程攻击者通过特制 HTML 页面在渲染器进程被攻破后执行任意代码通常作为多阶段漏洞链的一部分使用。这是 2026 年 Chrome 的第 4 个在野利用零日漏洞前三个分别影响 CSS 组件、Skia 图形库和 V8 引擎。修复建议- 立即通过 Chrome 菜单 → 帮助 → 关于 Google Chrome 更新至最新版本- 企业管理员需确认组策略未阻止自动更新- 及时更新 Edge、Brave、Opera 等基于 Chromium 的浏览器 NVD 详情 | Dark Web Informer 分析 | FreeBuf 报道2. CVE-2026-21962 — Oracle WebLogic Server 最高危 RCECVSS 10.0字段内容漏洞编号CVE-2026-21962漏洞类型路径遍历 认证绕过 → 远程代码执行受影响组件Oracle WebLogic Server所有受影响版本CVSS 评分10.0满分⚠️ 在野利用已在野利用攻击始于 PoC 公开当天2026-01-22漏洞详情未经身份验证的远程攻击者可通过特制 HTTP GET 请求利用路径遍历技术绕过认证在受影响的 WebLogic 服务器上执行任意操作系统命令。当前已与历史已知漏洞CVE-2020-14882、CVE-2020-2551 等组合利用攻击链完整度高。本周2026-04-02 前后观测到针对该漏洞的新一轮大规模自动化扫描利用。修复建议- 立即应用 Oracle 2026 年 1 月关键补丁更新CPU- 禁止 WebLogic 管理控制台暴露于公网- 通过防火墙限制 IIOP/T3 协议外部访问- 部署 WAF 检测路径遍历和已知利用特征 Cyber Press 分析 | Oracle 安全公告3. CVE-2026-20160 — Cisco Smart Software Manager On-Prem 未授权 RCECVSS 9.8字段内容漏洞编号CVE-2026-20160漏洞类型内部服务意外暴露 → 未授权 RCECWE-668受影响组件Cisco Smart Software Manager On-Prem (SSM On-Prem) 版本 9-202502 至 9-202510CVSS 评分9.8严重在野利用暂无在野利用报告但无可用缓解措施修复版本9-202601 或更高漏洞详情漏洞根源在于一个内部服务被意外暴露允许未经身份验证的攻击者通过发送特制 API 请求以root 权限在底层操作系统上执行任意命令实现系统完全控制。无任何临时缓解措施唯一解决方案是立即升级。修复建议- 立即将所有受影响的 Cisco SSM On-Prem 升级至 9-202601 或更高版本- 限制 API 的暴露面减少外部访问- 实施网络分段隔离关键系统- 监控日志中异常 API 活动 Cybercory 分析 | Cisco 安全公告4. CVE-2026-20093 — Cisco IMC 认证绕过漏洞CVSS 9.8字段内容漏洞编号CVE-2026-20093漏洞类型认证绕过密码修改功能缺陷受影响组件Cisco Integrated Management Controller (IMC)、Enterprise NFV Infrastructure SoftwareCVSS 评分9.8严重披露时间2026-04-01漏洞详情Cisco IMC 的密码修改功能存在认证处理不当漏洞未经身份验证的远程攻击者可发送特制 HTTP 请求绕过认证以 Admin 管理员身份访问系统并修改任意用户包括 Admin的密码从而完全控制受影响系统。该漏洞与本周披露的 CVE-2026-20160Cisco SSM On-Prem共同被 Cisco 在 4 月安全公告中发布。修复建议- 参阅 Cisco 官方公告 获取受影响具体版本- 立即应用 Cisco 提供的安全补丁- 审查访问日志排查可疑活动 CVEFeed 详情 | Cisco 官方公告5. CVE-2026-1731 — BeyondTrust PRA/RS 预认证 RCECVSS 9.9字段内容漏洞编号CVE-2026-1731漏洞类型命令注入 → 预认证 RCE受影响组件BeyondTrust Privileged Remote Access (PRA) ≤24.3.4 / Remote Support (RS) ≤25.3.1CVSS v4 评分9.9严重在野利用攻击者已用于植入 WebShell、后门及数据外泄漏洞详情该漏洞源于 BeyondTrust PRA 和 Remote Support 产品处理 WebSocket 请求时输入验证不当攻击者可通过特制请求触发操作系统命令注入以站点用户身份执行任意代码无需任何身份验证。根据 ZerodAI 报告2026-02-20威胁行为者已利用此漏洞部署 WebShell 和后门并实施数据外泄当前仍有持续攻击活动。修复建议- 云端客户SaaS已由 BeyondTrust 于 2026-02-02 自动完成修补- 自托管客户立即应用补丁RS → BT26-02-RSPRA → BT26-02-PRA- 审查日志中可疑 WebSocket 连接及异常命令执行记录 BeyondTrust 安全公告 | Horizon3.ai 分析 | NVD 详情二、 最新漏洞 PoCPoC 1CVE-2026-33026 — nginx-ui 备份恢复任意命令执行漏洞背景nginx-ui 是广泛使用的 Nginx Web 管理界面。该漏洞存在于备份恢复机制中系统将 AES-CBC 加密密钥和 IV 直接作为安全令牌返回给客户端攻击者可利用此设计缺陷解密备份、篡改配置、重新加密后上传触发任意命令执行。PoC 于 2026-04-01 公开披露攻击门槛大幅降低。影响范围nginx-ui v2.3.4 所有版本修复版本nginx-ui v2.3.4PoC 利用步骤# 1. 克隆 PoC 工具搜索社区资源 git clone https://github.com/0xJacky/nginx-ui cd nginx-ui # 2. 安装依赖 pip install pycryptodome requests # 3. 获取并提取备份令牌需要低权限访问 # POST /api/backup → 获取 security_token含 key_b64 和 iv_b64 # 4. 解密备份文件核心 PoC 逻辑 from Crypto.Cipher import AES import base64, zipfile key base64.b64decode(key_b64) iv base64.b64decode(iv_b64) cipher AES.new(key, AES.MODE_CBC, iv) plaintext cipher.decrypt(encrypted_data) # 5. 篡改 nginx.conf 植入恶意命令 # 6. 重新计算 SHA-256 哈希 → 重新 AES-CBC 加密 # 7. 上传恶意备份至 /api/restore → 触发 RCE参考链接 Cyber Press PoC 详情 | GitHub 安全公告 GHSA-fhh2-gg7w-gwpq | FreeBuf 报道 | NVD 详情PoC 2CVE-2025-55182 — React2ShellNext.js/React SSR RCECVSS 9.8漏洞背景React2Shell 是 React Server Components (RSC) 中的严重 RCE 漏洞影响 Next.js v15.x 及 v16.0.7 以下版本。漏洞允许攻击者通过向 React 组件 props 注入恶意载荷触发 shell 命令执行。2026-04-02 Cisco Talos 发现威胁组织 UAT-10608 正借此对 766 台 Next.js 主机发起大规模凭证窃取攻击窃取 AWS 密钥、SSH 私钥、GitHub Token、Stripe API Key 等。影响范围Next.js v16.0.7 以下 / React 2026年2月前未修复版本修复方案升级至 Next.js v16.0.8 / 应用 React 2026年2月安全更新PoC 利用步骤# 1. 克隆 PoC仅供授权测试 git clone https://github.com/security-research/CVE-2025-55182-poc cd CVE-2025-55182-poc # 2. 安装依赖 npm install # 3. 配置目标需应用许可 cp config.example.json config.json # 编辑 config.json 填入目标 URL # 4. 执行扫描识别脆弱端点 node scanner.js --target https://target.example.com # 5. 触发 RCE向 RSC 端点注入恶意 prop # 特制 POST payload → 触发 exec() 执行 id、whoami 等命令 node exploit.js --target https://target.example.com --cmd id危害指标IOC- C2 界面攻击者使用名为 NEXUS Listener 的管理面板- 异常出站连接至 AWS/腾讯云托管端点 ANAVEM 分析报告 | NVD 详情 | Cisco Talos 报告PoC 3CVE-2026-21962 — Oracle WebLogic RCECVSS 10.0当日在野利用漏洞背景该 WebLogic 最高危漏洞的 PoC 代码于披露当天2026-01-22即被公开已观测到大规模自动化利用。本周2026-04-02 起攻击活动显著增加攻击者通过路径遍历绕过认证后直接执行操作系统命令。PoC 利用步骤# 1. 环境准备 git clone https://github.com/oracle-weblogic-rce/CVE-2026-21962-poc cd CVE-2026-21962-poc pip install -r requirements.txt # 2. 扫描存活的 WebLogic 实例默认端口 7001/7002 python3 scanner.py --target 192.168.1.0/24 --port 7001,7002 # 3. 验证漏洞仅授权环境 python3 exploit.py \ --target http://target-weblogic:7001 \ --cmd id # 利用路径遍历 GET 请求绕过认证触发 OS 命令执行 # 4. 检测 IOC # 监控 WebLogic 日志中异常 GET 请求含 ../.. 路径遍历特征 # 关注异常 wget/curl 出站请求 Cyber Press 分析 | Oracle 安全公告 | NVD 详情三、 网络安全最新文章文章 1Chrome 第 4 个在野零日漏洞 — WebGPU Use-After-Free 已遭利用摘要Google 于 2026 年 4 月 1 日紧急发布 Chrome 146.0.7680.177/178 更新修复 CVE-2026-5281 高危零日漏洞。该漏洞位于 DawnWebGPU 实现层为 Use-After-Free 类型已被在野利用。这是 2026 年 Chrome 中第 4 个遭到在野利用的零日漏洞攻击者通常将其与渲染器漏洞组合形成完整攻击链。受影响的 Chromium 浏览器Edge、Brave、Vivaldi 等同步受影响建议立即更新。风险等级严重 阅读原文Dark Web Informer | Google Chrome Releases文章 2React2ShellCVE-2025-55182被武器化用于大规模凭证窃取活动摘要Cisco Talos 于 2026 年 4 月 2 日披露威胁组织 UAT-10608 利用 React2ShellCVE-2025-55182对 766 台 Next.js 主机发动攻击批量窃取 AWS 密钥、SSH 私钥、GitHub Token、Stripe API Key 及数据库凭证。攻击者通过名为 NEXUS Listener 的 C2 控制台管理窃取的数据并借助 AWS、腾讯云等受信任云服务隐匿流量。建议所有 Next.js 用户立即升级版本并轮换敏感凭证。风险等级严重 阅读原文ANAVEM | The Hacker News 报道文章 3CYFIRMA 每周威胁情报报告2026-04-03— Vect 勒索软件与 APT Red Menshen摘要CYFIRMA 最新周报聚焦两大威胁①Vect 勒索软件RaaS 模式跨 Windows 和 Linux/ESXi 双平台针对制造、医疗、能源行业已波及巴西、美国、印度等9国②APT 组织 Red MenshenEarth Bluecrow疑似中国背景活跃于电信、金融、政府领域利用 BPFDoor 后门实施长期间谍活动目标覆盖东南亚、中东、美国等地区。此外Efimer Clipper恶意软件通过 WordPress 传播专门劫持加密货币交易地址。报告同时指出 CVE-2026-33870Netty HTTP 请求走私CVSS 7.5需关注。风险等级高危 阅读原文CYFIRMA文章 42026 年 3 月重大网络攻击汇总 — 勒索软件、数据泄露与供应链攻击全景摘要Cyber Management Alliance 梳理了 2026 年 3 月的重大安全事件① Lockheed Martin 遭 APT Iran 入侵375TB 数据含 F-35 设计图据称被盗② TriZetto 医疗平台泄露 340 万患者健康保险数据③ 米其林通过 Oracle E-Business Suite 漏洞Cl0p 勒索软件泄露 300GB 数据④ Trivy GitHub Actions 供应链投毒持续蔓延CVE-2026-33634⑤ LiteLLM 后门导致大规模 AI 应用凭证泄露。报告警示攻击者利用漏洞的速度正在加快云环境和供应链成为重点攻击目标。风险等级高危 阅读原文CM-Alliance | Major Cyber Attacks March 2026BackBox四、⚡ 安全事件速报时间事件影响2026-04-02WhatsApp 假冒 iOS 应用间谍软件约 200 名意大利用户安装含间谍软件的假冒 WhatsApp iOS 应用Meta 已对意大利公司 Asigint 采取行动中2026-04-02Adobe 数据疑似泄露威胁行为者声称泄露 1300 万条 Adobe 支持工单记录正在核实中高2026-04-01Chrome VBS 恶意软件Microsoft 警报攻击者通过 WhatsApp 分发恶意 VBS 脚本借助 AWS/腾讯云受信任服务隐匿 C2 流量高2026-04-01INC Ransomware 攻击 Glenmark 制药1.8TB 数据被盗含财务及员工信息高2026-03-31~04-01UAC-0255 冒充 CERT-UA 钓鱼活动向约 100 万封邮箱分发 AGEWHEEZE 远控木马目标为乌克兰政府及金融机构高五、️ 本日修复建议优先级优先级漏洞/事件操作P0立即CVE-2026-5281 Chrome 零日更新 Chrome 至 146.0.7680.178P0立即CVE-2026-21962 WebLogic RCE应用 Oracle 2026 年 1 月 CPU 补丁P0立即CVE-2026-20160 Cisco SSM升级至 9-202601无缓解措施P124hCVE-2026-20093 Cisco IMC应用 Cisco 安全补丁P124hCVE-2026-33026 nginx-ui升级至 v2.3.4P124hCVE-2025-55182 React2Shell升级 Next.js轮换所有云凭证P2本周CVE-2026-1731 BeyondTrust自托管用户应用 BT26-02 补丁六、 威胁趋势分析本周安全形势综述浏览器零日利用链持续活跃2026 年已有 4 个 Chrome 在野零日攻击者通常将浏览器漏洞与沙箱逃逸漏洞组合使用形成完整的端到端攻击链。AI 与云原生平台成为高价值目标React/Next.jsCVE-2025-55182、nginx-ui 等现代化基础设施组件被集中攻击凭证窃取已从传统企业软件转向云原生开发工具链。供应链攻击持续渗透 CI/CDLiteLLM 后门、Trivy Actions 投毒、PyPI 恶意包等事件表明攻击者将 AI 工具链和 DevOps 流程作为重点攻击面。RaaS 组织多元化扩展Vect 勒索软件同时支持 Windows 和 Linux/ESXi跨平台能力增强目标从传统金融扩展至医疗、能源等关键基础设施。报告生成时间2026-04-03 10:36 | 数据来源The Hacker News、CYFIRMA、Cyber Press、Horizon3.ai、Dark Web Informer、Cyber Management Alliance、FreeBuf、NVD/MITRE