每日安全情报报告 · 2026-07-18 每日安全情报报告 · 2026-07-18报告日期2026年7月18日周六情报窗口2026-07-16 至 2026-07-18风险等级 高危 — 多个 CISA KEV 今日截止FortiSandbox 在野利用升级本期主编安全情报中心 目录一、CISA KEV 紧急日历二、最新高危漏洞三、在野利用 CVECISA KEV 新增四、最新漏洞 PoC五、网络安全最新文章六、威胁情报快讯七、安全防御建议一、CISA KEV 紧急日历以下漏洞已被 CISA 确认在野利用联邦机构须按 BOD 26-04 指令在截止日期前完成修复状态CVE产品类型CVSS新增日期截止日期⚠️今日截止CVE-2026-46817Oracle E-Business Suite权限管理不当9.82026-07-152026-07-18⚠️今日截止CVE-2023-4346KNX Protocol账户锁定机制7.02026-07-152026-07-29已逾期CVE-2026-15409SonicWall SMA1000SSRF10.02026-07-14~~2026-07-17~~已逾期CVE-2026-15410SonicWall SMA1000代码注入7.22026-07-14~~2026-07-17~~1天截止CVE-2026-58644Microsoft SharePoint反序列化 RCE9.82026-07-162026-07-191天截止CVE-2026-39808Fortinet FortiSandboxOS 命令注入9.82026-07-162026-07-191天截止CVE-2026-25089Fortinet FortiSandboxOS 命令注入9.12026-07-162026-07-197天截止CVE-2026-56155Microsoft AD FS权限提升8.82026-07-142026-07-28已逾期CVE-2026-56164Microsoft SharePoint认证缺失9.82026-07-14~~2026-07-17~~重点提醒今日7/18是 Oracle EBS CVE-2026-46817 的 BOD 26-04 截止日同时 SonicWall 双零日CVE-2026-15409/15410昨日已逾期。FortiSandbox 双漏洞CVE-2026-39808/25089和 SharePoint 新零日CVE-2026-58644仅剩 1 天修复窗口。二、最新高危漏洞 1. CVE-2026-58644 — Microsoft SharePoint Server 反序列化 RCECVE编号CVE-2026-58644漏洞类型反序列化不受信任数据CWE-502受影响组件Microsoft SharePoint Server 2016 / 2019 / Subscription EditionCVSS评分9.8Critical风险级别极危— 在野利用CISA KEV披露时间2026-07-14Patch Tuesday补丁状态已发布7月14日安全更新漏洞概述未认证攻击者可通过网络向 SharePoint Server 发送特制数据包触发反序列化漏洞实现远程代码执行。微软已确认该漏洞在补丁发布前已被武器化为零日利用。CISA 于 7/16 将其纳入 KEV要求联邦机构在 7/19 前完成修复。参考链接- Microsoft 安全公告- CISA KEV 目录- The Hacker News 报道- Rapid7 技术分析- CNVD 安全公告 2. CVE-2026-39808 / CVE-2026-25089 — Fortinet FortiSandbox 双命令注入CVE编号CVE-2026-39808 / CVE-2026-25089漏洞类型OS 命令注入CWE-78受影响组件Fortinet FortiSandbox / FortiSandbox Cloud / FortiSandbox PaaSCVSS评分9.8 / 9.1Critical风险级别极危— 在野利用CISA KEV无需认证披露时间2026-04 补丁发布2026-07-16 确认在野利用补丁状态已发布FortiSandbox 4.4.9 / 5.0.6漏洞概述两个漏洞均为未经认证的 OS 命令注入允许攻击者通过特制 HTTP 请求以 root 权限执行任意命令。安全公司 Defused 报告称本周已观察到实际利用尝试攻击者通过 JSONRPC POST 请求针对暴露的管理接口发动攻击。CVE-2026-39808 的 PoC 和 Nuclei 模板自 4 月起已公开CVE-2026-25089 的利用代码被描述为vibecodedAI 生成但可能不稳定。参考链接- Fortinet PSIRT FG-IR-26-100- Fortinet PSIRT FG-IR-26-141- The Hacker News 报道- CyberPress 技术分析- CISA KEV 目录 3. CVE-2026-47291 — Windows HTTP.sys 整数溢出 RCECVE编号CVE-2026-47291漏洞类型整数溢出CWE-190→ 堆缓冲区溢出CWE-122受影响组件Windows HTTP.sys 内核驱动IIS / WinRM / WSDAPI / 打印后台处理程序CVSS评分9.8Critical风险级别极危— PoC 已公开影响全版本 Windows披露时间2026-06-09Patch Tuesday补丁状态已发布KB502569漏洞概述HTTP.sys 在解析 Content-Length / Transfer-Encoding: chunked 等头部字段时乘法运算导致 uint32 整数回绕分配过小的堆缓冲区随后写入完整攻击者数据时发生内核堆溢出。由于 HTTP.sys 运行在 Ring 0成功利用直接获得 SYSTEM 权限。PoC 已于 7/11 由研究员 Omair (w3bd3vil) 在 GitHub 公开EPSS 评分 21.51%Top 3%。参考链接- Microsoft MSRC 公告- CN-SEC 深度分析- FreeBuf 技术剖析- BestHub 深度分析- CVE 报告详情 4. CVE-2026-53412 — Zoom Workplace for Windows 未认证账户接管CVE编号CVE-2026-53412漏洞类型未认证账户接管受影响组件Zoom Workplace for WindowsCVSS评分9.8Critical风险级别高危— 无需用户交互远程利用披露时间2026-07-15补丁状态已发布漏洞概述Zoom Windows 客户端存在未认证账户接管漏洞攻击者可在无需用户交互的情况下远程接管目标账户。微软 7 月 Patch Tuesday 包含此修复建议所有 Zoom 企业用户立即更新。参考链接- Microsoft 安全公告- CyberSecBrief 日报 5. NGINX 三连漏洞CVE-2026-42533 / CVE-2026-60005 / CVE-2026-56434CVE编号CVE-2026-42533 / CVE-2026-60005 / CVE-2026-56434漏洞类型堆缓冲区溢出 / 未初始化内存访问 / 释放后使用受影响组件NGINX Plus / NGINX Open Source / Ingress Controller / Gateway Fabric / App Protect WAFCVSS评分8.1v3.1/ 9.2v4.0— 8.8v4.0— 8.3v4.0风险级别高危— 未认证攻击者最坏情况可 RCE披露时间2026-07-15补丁状态已发布NGINX Open Source 1.31.3 / 1.30.4NGINX Plus 37.0.3.1 / R36 P7漏洞概述F5 披露三个影响 NGINX Plus 和 Open Source 的高危漏洞。最严重的是 CVE-2026-42533map 指令处理正则匹配时堆缓冲区溢出未认证攻击者可触发工作进程崩溃在 ASLR 禁用或绕过情况下可执行任意代码。影响广泛使用的 NGINX Ingress Controller、Gateway Fabric、WAF 及 Instance Manager 等下游产品。参考链接- F5 K000161584- Vulert 技术分析- Ubuntu 安全公告- SecurityOnline 报道- DBAPPSecurity 安全资讯 6. CVE-2026-56190 — Windows RDP 远程代码执行CVE编号CVE-2026-56190漏洞类型远程代码执行受影响组件Windows 远程桌面协议RDPCVSS评分9.8Critical风险级别高危— 类似 BlueKeep可蠕虫化潜力披露时间2026-07-14Patch Tuesday补丁状态已发布漏洞概述微软 7 月 Patch Tuesday 创纪录修复 570 个漏洞其中 CVE-2026-56190 是 Windows RDP 的远程代码执行漏洞具有类似 2019 年 BlueKeepCVE-2019-0708的可蠕虫化潜力。建议所有暴露 RDP 的主机立即更新。参考链接- Microsoft MSRC 公告- Enigma 威胁简报 7. CVE-2026-57092 — Hyper-V VMSwitch 释放后使用VM 逃逸CVE编号CVE-2026-57092漏洞类型Use-After-FreeCWE-416受影响组件Windows Hyper-V VMSwitchCVSS评分9.9Critical风险级别高危— VM 逃逸至主机 SYSTEM披露时间2026-07-14Patch Tuesday补丁状态已发布漏洞概述Hyper-V 虚拟交换机中的 UAF 漏洞允许访客虚拟机中的攻击者提升至主机 SYSTEM 权限。对于使用 Hyper-V 的云计算和虚拟化环境这是严重的 VM 逃逸风险。参考链接- Microsoft MSRC 公告- 微软补丁日公告三、在野利用 CVECISA KEV以下漏洞已被 CISA 确认在野利用威胁行为者正在积极攻击CVE产品攻击类型CVSS新增日期BOD 截止CVE-2026-58644Microsoft SharePoint反序列化 RCE9.87/167/19CVE-2026-39808Fortinet FortiSandboxOS 命令注入9.87/167/19CVE-2026-25089Fortinet FortiSandboxOS 命令注入9.17/167/19CVE-2026-46817Oracle E-Business Suite权限管理9.87/157/18CVE-2023-4346KNX Protocol账户锁定7.07/157/29CVE-2026-15409SonicWall SMA1000SSRF10.07/14~~7/17~~CVE-2026-15410SonicWall SMA1000代码注入7.27/14~~7/17~~CVE-2026-56155Microsoft AD FS权限提升8.87/147/28CVE-2026-56164Microsoft SharePoint认证缺失9.87/14~~7/17~~CVE-2026-48282Adobe ColdFusion路径遍历10.07/7~~7/10~~CVE-2026-55255LangflowIDOR9.97/7~~7/10~~CVE-2026-56291Balbooa Forms文件上传10.07/10~~7/13~~CVE-2026-48939iCagenda文件上传10.07/10~~7/13~~CVE-2026-598009Router命令注入9.87/4~~7/7~~统计当前活跃 KEV 共 1647 个本周新增 7 项今日 1 项截止Oracle EBS已逾期 KEV 累计 14 项。四、最新漏洞 PoC1. CVE-2026-47291 — Windows HTTP.sys 整数溢出 RCE PoC来源GitHub — Omair (w3bd3vil)发布日期2026-07-11EPSS 概率21.51%Top 3% 最可能被利用武器化状态公开 PoC触发内核崩溃商业武器化利用已在暗网出现SatoshiDisk使用步骤# 1. 克隆仓库 git clone https://github.com/omair2084/misc.git cd misc # 2. 环境要求Python 3.x Windows 目标环境 # 3. 运行 PoC触发 HTTP.sys 整数溢出 python cve-2026-47291-poc.py --target target_ip --port 80⚠️注意该 PoC 当前主要触发内核崩溃DoS但完整的武器化利用链已被安全研究者确认可行。CrowdStrike 和 Automox 指出整数溢出本身不等于自动蠕虫化但稳定利用的门槛已大幅降低。参考链接- GitHub PoC 仓库- CN-SEC 深度分析- FreeBuf 技术剖析2. CVE-2026-39808 — Fortinet FortiSandbox OS 命令注入 PoC来源GitHub / Nuclei 模板发布日期2026-04Fortinet 补丁发布后利用条件未认证目标暴露 FortiSandbox 管理接口443 端口使用步骤# 1. 使用 Nuclei 检测模板 nuclei -t fortisandbox-cve-2026-39808.yaml -u target # 2. 手动验证向 /jsonrpc/ 发送特制 JSONRPC POST 请求 # 利用 jid 参数进行命令注入 curl -X POST https://target/jsonrpc/ \ -H Content-Type: application/json \ -d {method:exec,params:[注入命令],id:1}参考链接- CyberPress 技术分析- Fortinet PSIRT3. CVE-2026-46242 — Bad Epoll Linux 内核提权 PoC来源GitHub — J-jaeyoung发布日期2026-07-06利用成功率99%稳定提权影响范围Linux 内核 6.4服务器、桌面、Android使用步骤# 1. 克隆仓库 git clone https://github.com/J-jaeyoung/security-research.git cd security-research/pocs/linux/kernelctf/CVE-2026-46242_lts_cos # 2. 编译利用代码 cd exploit/lts-6.12.67 make # 3. 执行提权 ./exploit # 4. 验证 root 权限 id # 预期输出uid0(root) gid0(root)参考链接- PoC 源码- Exploit Writeup- CN-SEC 分析4. CVE-2026-43503 — DirtyClone Linux 内核提权 PoC来源GitHub — V4bel/dirtyfrag发布日期2026-05-07利用条件本地未授权普通用户需加载 esp4/esp6 或 rxrpc 模块使用步骤# 1. 克隆仓库 git clone https://github.com/V4bel/dirtyfrag.git cd dirtyfrag # 2. 编译并运行 make ./dirtyfrag # 3. 临时缓解无需重启 sudo sh -c printf install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n /etc/modprobe.d/dirtyfrag.conf sudo rmmod esp4 esp6 rxrpc 2/dev/null || true⚠️副作用会中断 IPsecVPN和 RxRPCAFS 文件系统请根据实际业务评估后执行。参考链接- GitHub PoC 仓库- F.mffb 分析5. CVE-2026-15114 — Chrome Codecs RCE无公开 PoCCVE编号CVE-2026-15114漏洞类型越界读写CWE-125 / CWE-122CVSS评分8.8High受影响版本Chrome 150.0.7871.115修复版本150.0.7871.115PoC 状态暂无公开 PoC但可通过恶意视频文件触发参考链接- Chrome 发布说明- SentinelOne 分析- Chromium Issue Tracker五、网络安全最新文章1. CISA 新增 SharePoint 零日至 KEV联邦机构 3 天内必须修复摘要CISA 于 7/16 将 Microsoft SharePoint Server 的零日漏洞 CVE-2026-58644CVSS 9.8纳入 KEV要求联邦机构在 7/19 前完成修复。该漏洞在 7/14 补丁发布前已被武器化利用。同时新增 FortiSandbox 双漏洞CVE-2026-39808/25089。这是 SharePoint 近一个月内第四个入 KEV 的漏洞凸显在野攻击者对该平台的持续兴趣。来源The Hacker News2. FortiSandbox 三漏洞遭在野利用安全设备反成攻击入口摘要Defused 威胁情报报告在过去 24 小时内观察到针对 FortiSandbox 三个漏洞CVE-2026-39813/39808/25089的主动利用。攻击者使用标准浏览器 User-Agent 伪装通过 JSONRPC POST 请求攻击 443 端口。FortiSandbox 通常与企业防火墙、邮件网关、EDR 等深度整合一旦被攻陷将成为进入内网的超级跳板。来源DBAPPSecurity / CyberPress3. 11 分钟500KB — Windows HTTP.sys 整数回绕内核 RCE 技术剖析摘要FreeBuf 发布 CVE-2026-47291 的深入技术分析。该漏洞需要 11 分钟慢速攻击、65,536 个 TLS record 累积触发且默认配置下不可利用需 MaxRequestBytes 非默认配置。但一旦条件满足攻击者可在内核态获得 SYSTEM 权限。文章详细拆解了整数溢出→堆分配错误→堆溢出→控制流劫持的完整利用链。来源FreeBuf4. ClickLock Stealer新型 macOS 恶意软件杀死进程强迫输入密码摘要Group-IB 发现此前未记录的模块化 macOS 窃取器 ClickLock Stealer。它通过 ClickFix 钓鱼页面诱导用户在终端粘贴命令然后显示伪造 Cloudflare 验证动画同时在后台下载模块。最恶劣的是其强制机制若用户拒绝输入密码恶意软件会反复关闭所有可见应用程序约 300 次/分钟直至用户妥协。至少 100 名受害者波及 33 国半数在欧洲。来源Group-IB / TechRepublic5. 首个 AI 全流程勒索攻击JADEPUFFER 证明勒索不再需要人类摘要Sysdig 威胁研究团队披露代号 JADEPUFFER 的攻击档案——这是一个由大语言模型驱动的 AI Agent从入侵到勒索全程无需人类操控。它利用 Langflow 漏洞 CVE-2025-3248 入侵自主完成凭证收集、内网探测、横向移动最终加密 Nacos 配置并勒索。31 秒内完成故障诊断与修复。这标志着勒索攻击门槛从需要技术专家降至能调度模型的人。来源安全客 / Sysdig6. 伊朗黑客组织 Cavern ManticoreC2 框架如何绕过所有安全检测摘要Check Point Research 揭露伊朗关联 APT 组织使用的新型 C2 框架 Cavern Manticore。该框架采用模块化设计支持 HTTPS、WebView2、DNS 隧道等多种通信方式能深度隐藏在正常网络流量中。攻击者利用该框架针对以色列组织进行长期潜伏和情报收集。来源安全客 / Check Point Research7. 华为海思芯片被发现后门可入侵网络摄像机摘要安全研究员 Vladislav Yarmak 发现华为海思 hi3518 SoC 芯片固件存在后门连接 TCP 9530 端口并请求 Telnet 连接后可使用 root/123456 等简单固定密码以 superuser 权限登录。虽然该端口仅向本地网络开放但仍构成潜在危险。影响大量使用海思芯片的网络摄像机和闭路电视产品。来源Kotoo / The Register8. Scattered Spider 成员被判 5.5 年监禁TfL 黑客攻击案落幕摘要伦敦法院对两名 Scattered Spider 成员 Owen Flowers18 岁和 Thalha Jubair20 岁各判处 5.5 年监禁。二人对 2024 年伦敦交通局TfL网络攻击案认罪该攻击导致 148 个系统中断、27,000 名员工被迫线下重置密码造成 2,900 万英镑损失。该团伙以社会工程、MFA 绕过和身份冒充技术闻名。来源The Hacker News / CyberSecurity-Help9. Coca-Cola Fairlife 遭遇勒索攻击美国全部工厂停产摘要Coca-Cola 在 SEC 8-K 文件中披露其 Fairlife 乳制品子公司遭受勒索攻击未经授权访问了生产相关系统。公司已启动事件响应、通知执法部门美国全部工厂暂时停产。加拿大工厂未受影响。截至目前尚无勒索组织认领。来源BleepingComputer / CyberMaterial10. GhostApproval 符号链接漏洞AI 编程助手可被恶意代码库操控摘要Wiz 安全研究团队发现六款 AI 编程助手包括 Claude、Cursor、GitHub Copilot 等存在 GhostApproval 漏洞。攻击者利用符号链接在代码审查过程中暗中修改敏感文件植入恶意代码。三款已修复两款未修复Anthropic 否认该漏洞。攻击通过误导性授权提示实现开发者误以为操作无害。来源The Hacker News / FreeBuf六、威胁情报快讯 本周威胁热点SharePoint 成为攻击者黄金通道— 7 月内已有 4 个 SharePoint 漏洞进入 CISA KEVCVE-2026-32201/45659/56164/58644攻击者利用反序列化链实现从 Web 层到域控的完整渗透。CISA 已发布紧急加固指南建议启用 AMSI 集成、清理 IIS 机器密钥、限制 SharePoint 直接暴露于互联网。FortiBleed 后时代Fortinet 设备持续成为高价值目标— 继 FortiBleed 攻击 43,000 台 FortiGate 后FortiSandbox 成为新攻击焦点。安全设备自身被攻陷意味着攻击者可合法放行恶意文件造成虚假安全感。AI 驱动攻击进入实战阶段— JADEPUFFER 代理型勒索软件标志着 AI 在攻击链中的角色从辅助工具变为自主执行者。同时CVE-2026-25089 的vibecoded利用代码暗示 AI 已被用于生成漏洞利用代码即使当前质量不稳定趋势已不可逆转。ClickFix 社会工程持续扩散— ClickLock StealermacOS、TELEPUZWindows、ACR Stealer跨平台均使用 ClickFix 技术诱导用户自行执行恶意命令。这代表攻击策略从绕过防御转向绕过用户判断力。RDP 威胁再次升级— 微软 Patch Tuesday 修复的 CVE-2026-56190 是 Windows RDP 的 Critical RCE与 BlueKeep 类似具有蠕虫化潜力。结合多个 Windows RDP 漏洞如 CVE-2026-42985RDP 暴露面风险持续攀升。 数据一览指标数量本期收录高危/严重漏洞10CISA KEV 新增本周7 项CISA KEV 今日截止1 项Oracle EBSCISA KEV 已逾期14 项公开 PoC本期5 个在野利用确认本期9 项新增安全事件重大5 起精选安全文章10 篇七、安全防御建议️ 紧急修复72 小时内Microsoft SharePoint Server— 立即应用 7/14 补丁确认农场版本 16.0.19725.20384SE/ 16.0.10417.201532019/ 16.0.5556.10052016运行 SharePoint Products Configuration Wizard启用 AMSI 集成检查 IIS 日志中的 webshell 痕迹。Fortinet FortiSandbox— 升级至 4.4.9 或 5.0.6确保管理接口不暴露于公网监控 JSONRPC 端点的异常 POST 请求。Oracle E-Business Suite— 今日7/18是 BOD 26-04 截止日立即应用 Oracle CSPU 补丁检查 Oracle Payments 模块的访问日志。Windows HTTP.sys— 优先为面向互联网的服务器安装 KB502569临时限制 80/443/5985/5986 端口访问范围部署 WAF/IPS 签名Check Point CPAT-2026-6526、Talos Snort 规则。NGINX— 升级至 1.31.3 / 1.30.4 / Plus 37.0.3.1 / R36 P7检查配置中的ignore_invalid_headers off和large_client_header_buffers设置。️ 常规加固Zoom— 更新 Zoom Workplace for Windows 至最新版本修复 CVE-2026-53412。Hyper-V 环境— 为所有 VM 应用 7/14 补丁监控异常的 VM 到主机网络流量。Linux 内核— 检查内核版本是否 6.4若是则优先应用bad-epoll补丁commit a6dc643c6931。Chrome— 更新至 150.0.7871.115阻止来自低信誉域名的视频容器下载。终端用户— 警告员工不要因任何网页提示在终端粘贴命令ClickFix 攻击不要信任 FaceTime 等来电索要密码/验证码。免责声明本报告中的信息来源于公开渠道NVD、CISA、厂商安全公告、安全研究机构等仅供网络安全研究和防御参考。漏洞利用代码和攻击技术描述仅用于帮助安全团队理解威胁并构建防御措施请勿用于非法目的。本报告作者和发布方不对任何因使用或误用报告信息而导致的损失承担责任。每日安全情报报告由安全情报中心自动生成每日 08:00 更新。报告生成时间2026-07-18 07:50 GMT8

本周精选

本月热点