每日安全情报报告 · 2026-05-06威胁等级总览 严重 3 项 | 高危 4 项 | 中危 2 项数据来源CISA KEV、NVD、FreeBuf、Google Android Security Bulletin、Qualcomm Security Bulletin、InfoSecBulletin、奇安信CERT、Cyber Press、DarkWebInformer覆盖周期2026-05-04 ~ 2026-05-06近 48 小时一、高危漏洞速报 CVE-2026-0073 | Android 零点击 RCE — Google 5月安全公告风险级别 严重CriticalCVSS 评分CriticalGoogle 官方定级NVD 富化中漏洞类型身份认证绕过 / 远程代码执行受影响组件Android System — adbd无线 ADB 守护进程Android 14/15/16/16-qpr2在野利用⚠️已在野利用Google 5月安全公告确认披露日期2026-05-04Google Android 安全公告漏洞详情该漏洞位于 Android 无线调试守护进程 adbd 中的adbd_tls_verify_cert()函数。由于 TLS 双向认证逻辑存在错误攻击者无需持有有效证书或完成配对即可在同一局域网内建立完全认证的 ADB 调试会话获得设备shell级别命令执行权限。攻击者可读取应用数据、安装恶意 APK、捕获屏幕并可与本地提权漏洞组合实现完整控制。零点击特性使其在公共 Wi-Fi 场景机场、酒店、办公室下极为危险。攻击流程1. 通过 mDNS 服务广告扫描同一网络内开启无线调试的 Android 设备2. 构造恶意 TLS 握手包触发adbd_tls_verify_cert()逻辑绕过3. 建立未授权 ADB 会话执行adb shell任意命令修复建议- 立即更新至 2026-05-01 安全补丁级别设置 → 安全与隐私 → 系统更新- 不使用时关闭无线调试开发者选项 → 无线调试- 避免在修补前使用公共 Wi-FiNVD 详情 | Google Android 安全公告2026年5月 | FreeBuf 分析 CVE-2026-25254 | 高通芯片组 RCE — 权限不当风险级别 严重CVSS 评分9.8 / 10Critical漏洞类型权限不当CWE-285/ 远程代码执行受影响组件Qualcomm Software Center (QSC) v1.17.1 / v1.19.1 / v1.21.0SocketIO 接口在野利用暂未确认高通 5月安全公告首发披露日期2026-05-04Qualcomm 5月安全公告漏洞详情漏洞存在于高通 Software Center 的 SocketIO 接口中由于访问权限配置错误远程攻击者无需设备物理访问权限即可发送恶意请求触发任意代码执行。受影响的 QSC 软件广泛部署于搭载高通芯片的手机、IoT 设备和汽车信息娱乐系统中攻击面极大。附加高危 CVE-CVE-2026-25262CVSS 高危高通组件内存损坏漏洞可导致 DoS 或代码执行修复建议- 等待设备 OEM 厂商推送系统安全更新及时安装- 企业 MDM 管理员应催促终端厂商补丁进度Qualcomm 5月安全公告 | InfoSecBulletin 分析 | Cyber Press 详情 CVE-2026-33846 | GnuTLS DTLS 堆溢出 RCE风险级别 严重GnuTLS 3.8.12 及以下版本CVSS 评分Critical奇安信 CERT 评级高危漏洞类型堆缓冲区溢出 / 远程代码执行受影响组件GnuTLS ≤ 3.8.12DTLS 握手片段重组模块merge_handshake_packet()在野利用暂未确认建议立即修补披露日期2026-05-04GnuTLS 3.8.13 安全更新同步披露漏洞详情GnuTLS 是 Linux 生态系统中最广泛部署的 TLS/DTLS 加密库之一Red Hat、SUSE、Debian、Ubuntu 均内置。该漏洞位于 DTLS 握手片段重组逻辑中攻击者可发送构造的碎片化 DTLS 握手消息触发merge_handshake_packet()中的堆缓冲区溢出导致服务崩溃或远程代码执行。VPN 网关、邮件服务器、Web 服务器等大量依赖 GnuTLS 的服务均受影响。本次 3.8.13 版本共修复 12 个安全漏洞。修复建议- 立即升级至 GnuTLS 3.8.13 或对应发行版安全补丁- 升级后重启所有依赖 GnuTLS 的服务- 临时缓解限制 DTLS 流量暴露面监控异常握手包GnuTLS 官方安全公告 | OpenCVE 详情 | 奇安信 CERT 通报 CVE-2026-42511 | FreeBSD dhclient BOOTP 注入 Root RCE潜伏 12 年风险级别 高危CVSS 评分8.1High漏洞类型配置注入 / 命令注入BOOTP 字段未净化受影响组件FreeBSD dhclient全部受支持版本13.5 / 14.x / 15.0在野利用⚠️已在野利用AI 辅助发现并报告FreeBSD-SA-26:12披露日期2026-04-29FreeBSD 安全公告漏洞详情FreeBSD 默认 IPv4 DHCP 客户端dhclient在处理 DHCP 服务器返回的 BOOTP 文件字段时未对嵌入的双引号字符进行转义导致攻击者可向dhclient.conf配置文件注入任意指令。漏洞已潜伏 12 年。当系统重启或网络服务重启时被篡改的租约文件以root权限执行攻击者获得完整系统控制权。可用于部署勒索软件或在企业内网横向移动。攻击条件攻击者须与目标在同一广播域本地网络或控制 DHCP 服务器。修复建议# 获取安全补丁 freebsd-update fetch install # 或从源码应用补丁 FreeBSD-SA-26:12.dhclientFreeBSD 安全公告 SA-26:12 | NVD 详情 | Cyber Press 分析 CVE-2026-42354 | Sentry SSO 认证绕过 — 账户完全接管风险级别 高危CVSS 评分9.1Critical漏洞类型SSO 身份链接绕过 / 账户接管ATO受影响组件Sentry 自托管版本 21.12.0 ~ 26.4.0多组织部署SaaS 版本不受影响在野利用未确认建议立即修补披露日期2026-05-04漏洞详情攻击者通过在同一 Sentry 实例中配置恶意 SAML Identity Provider利用账户链接逻辑缺陷可绕过认证接管任意已知邮箱地址的用户账户实现账户完全接管。Sentry 是企业广泛使用的错误追踪与性能监控平台被攻击后可导致大量应用程序错误日志和内部代码泄露。修复建议- 立即升级至 Sentry26.4.1或更高版本- 审计所有 SAML 配置和用户链接日志- 启用多因素认证MFA并检查异常账户活动奇安信 CERT 通报 | Sentry 发行说明 CVE-2026-22679 | 泛微 e-cology DubboAPI 未授权 RCE — 在野利用风险级别 高危CVSS 评分9.0高危漏洞类型未授权访问 / 远程代码执行受影响组件泛微 e-cology 102026-03-12 之前版本—/papi/esearch/data/devops/dubboApi/debug/method端点在野利用⚠️已在野利用Shadowserver Foundation 2026-03-31 首次观测持续活跃披露日期2026-03-315月持续在野扩大漏洞详情泛微 e-cology 10 的 DubboApi 调试接口在生产环境中未被禁用且无任何身份认证和权限控制攻击者通过构造 POST 请求控制interfaceName和methodName参数即可调用任意 Java 内部方法实现远程代码执行、文件读取和 Webshell 植入。国内企业 OA 系统大量部署攻击面极广。修复建议- 升级至 2026-03-12 之后的官方补丁版本- 立即在网络层封禁对该调试端点的外网访问- 检查系统日志排查是否已被植入 Webshell阿里云漏洞库 | FreeBuf 分析 CVE-2026-2441 | Microsoft Edge 高危漏洞 — 在野利用风险级别 高危CVSS 评分高危具体分值未公开漏洞类型Chromium 引擎缺陷 / 远程代码执行受影响组件Microsoft Edge稳定版 145.0.3800.58扩展稳定版 144.0.3719.130在野利用⚠️已在野利用Chromium 团队确认披露日期2026-05-06博客披露漏洞详情该漏洞源自 Chromium 项目的渲染引擎组件缺陷攻击者通过诱导用户访问恶意网页即可触发。成功利用后可导致远程代码执行、绕过浏览器安全限制或数据窃取。当前最新稳定版147.0.3912.98已修复该漏洞。修复建议- 在地址栏输入edge://settings/help立即更新至最新版本- 企业管理员通过 WSUS / Intune 强制推送更新KnightLi 博客分析二、最新漏洞 PoC 动态PoC 1CVE-2026-31431 Copy Fail — Linux 内核本地提权CISA KEV已在野利用严重程度 高危CVSS 7.8在野利用影响范围Linux 内核 AF_ALG 接口Cloud / Kubernetes 环境高风险PoC 使用步骤# 1. 克隆公开 PoC 仓库 git clone https://github.com/painoob/Copy-Fail-Exploit-CVE-2026-31431.git cd Copy-Fail-Exploit-CVE-2026-31431 # 2. 安装依赖需 gcc Linux 内核头文件 sudo apt-get install gcc linux-headers-$(uname -r) # 3. 编译利用程序仅 732 字节 shellcode make # 4. 执行本地提权 ./exploit # 成功后获得 root shell约 1 秒内完成技术原理利用 AF_ALG 套接字、splice() 系统调用与 authencesn 的 ESN 暂存写操作三者组合覆盖页缓存数据实现无授权用户到 root 的完整提权。CISA 已于 2026-05-01 将其加入 KEV联邦机构要求立即修补。GitHub PoC 仓库 | NVD 详情 | Microsoft 安全博客分析 | Sophos 技术解析PoC 2CVE-2026-41940 cPanel 认证绕过 — Sorry 勒索软件在野大规模利用严重程度 严重CVSS 9.8已在野大规模利用44,000 IP 被攻击影响范围cPanel WHM版本 11.40全球约 150 万服务器 / 7000 万网站PoC 使用步骤仅供安全研究请勿用于非法攻击# 1. 克隆漏洞分析工具 git clone https://github.com/cPanelSniper/CVE-2026-41940-PoC.git cd CVE-2026-41940-PoC # 2. 安装依赖 pip install requests # 3. 执行认证绕过测试 # 原理通过 Basic 认证头注入 CRLF 字符利用会话加载机制逻辑缺陷绕过密码验证 python exploit.py --target https://your-cpanel-server:2083 --username admin # 4. 成功后获得无需密码的管理员访问攻击链cPanel 认证绕过 → 获得管理员权限 → 植入 Go 语言编写的Sorry勒索软件Linux ELF 加密器→ 加密全部 Web 文件勒索 BTC。修复措施# 更新 cPanel 至最新版本 /scripts/upcp --force # 检查是否已被入侵搜索勒索软件痕迹 find /home -name *.sorry -o -name SORRY-README.txt 2/dev/null奇安信 CERT 通告 | FreeBuf 分析 | IT-Connect 技术报告PoC 3CVE-2026-3965 Qinglong青龙面板认证绕过 — 已被植入挖矿程序严重程度 高危自 2 月起已被活跃利用影响范围Qinglong ≤ 2.20.1广泛部署于个人服务器和脚本托管平台PoC 使用步骤# 1. 克隆 PoC git clone https://github.com/security-researchers/CVE-2026-3965-QL-bypass.git # 2. 安装依赖 pip install requests # 3. 执行认证绕过 管理员密码重置 # 原理通过 URL 重写绕过访问控制访问密码重置 API python exploit.py --target http://your-qinglong:5700 # 4. 重置 admin 密码后登录执行命令 # 攻击者通常植入 .fullgc 等隐蔽挖矿程序排查入侵迹象# 检查异常进程和挖矿程序 ps aux | grep -E fullgc|xmrig|cryptonight find / -name .fullgc 2/dev/null # 升级修复 # 升级至 Qinglong 2.20.2奇安信 CERT 通报 | 阿里云漏洞库三、网络安全最新动态 文章一Sorry 勒索软件借 CVE-2026-41940 大规模入侵 cPanel 服务器来源SecureFact / LinkedIn 周刊2026-05-04摘要安全研究人员确认针对 cPanel CVE-2026-41940 的利用已从零星探测演变为大规模有组织攻击。至少 44,000 个 IP 地址运行 cPanel 的服务器已被入侵攻击者在获得管理员权限后批量部署Sorry勒索软件Go 语言编写的 Linux 加密器。受影响站点主要为中小企业建站平台和个人博客。攻击链从漏洞发现到加密勒索仅需数分钟建议所有 cPanel 用户立即升级并检查入侵迹象。阅读原文 | IT-Connect 详情报道 文章二ShinyHunters 联手攻击 Vimeo、Instructure、Medtronic — 单周三重数据泄露来源Innovate Cybersecurity2026-05-04摘要勒索组织 ShinyHunters 本周实施了三起重大数据盗窃事件。Vimeo通过第三方分析供应商 Anodot 泄露用户元数据与邮件地址InstructureCanvas 教育平台确认 2.75 亿条教育记录泄露波及约 9,000 所学校医疗设备巨头Medtronic确认 900 万条含个人身份信息的医疗记录遭到窃取已向 SEC 提交 8-K 披露。三起事件均指向 Anodot 供应链入侵路径显示威胁行为者正系统性地攻击 SaaS 供应商链路以实现一次入侵、多点泄露。阅读原文 文章三Android CVE-2026-0073 深度技术解析无线 ADB 零点击 RCE 机制来源DarkWebInformer2026-05-05/ FreeBuf2026-05-05摘要安全研究人员对 Google 5月 Android 安全公告中的 CVE-2026-0073 进行了深度技术分析。漏洞利用网络服务发现协议mDNS自动发现启用无线调试的目标设备通过构造恶意 SSDP 广播包触发 adbd 的 TLS 证书验证逻辑漏洞无需用户任何交互即可建立调试通道并获得系统级 shell 访问权限。分析人员警告该漏洞在企业 BYOD 环境中危害尤为严重且多数用户并不知晓无线调试默认处于可激活状态。建议立即更新 Android 并关闭无线调试功能。DarkWebInformer 分析 | FreeBuf 报道 文章四SHADOW-EARTH-053 攻击行动APT 利用旧漏洞突破全球政府网络来源InfoSecBulletin2026-05-05摘要安全研究人员披露了一项持续进行中的 APT 行动被追踪为 SHADOW-EARTH-053。该组织专门利用已公开但仍未修补的 N-Day 漏洞即旧漏洞攻击全球政府机构包括 CVE-2024-27199JetBrains TeamCity、CVE-2023-27351PaperCut等已被 CISA 收入 KEV 但仍有大量未修补系统的漏洞。报告指出77% 的成功入侵发生在漏洞补丁发布 30 天后的修补延迟窗口期内严重警示各机构补丁管理体系的滞后问题。阅读原文 文章五Trellix 源代码仓库遭未授权访问 — 安全供应商自身成攻击目标来源Innovate Cybersecurity2026-05-04摘要网络安全厂商 Trellix原 McAfee Enterprise FireEye 合并披露遭到未授权方访问其部分源代码仓库。调查已聘请外部法证专家目前无证据显示被访问代码被篡改或武器化但事件本身引发安全圈广泛关注。安全供应商的源代码一旦泄露可能被用于反向工程绕过其安全产品检测逻辑构成二次威胁。此事也再次提示安全厂商自身代码仓库访问控制亟需加强。阅读原文 文章六GnuTLS 3.8.13 修复 12 个安全漏洞 — TLS 基础设施重大更新来源奇安信 CERT2026-05-05/ GnuTLS 官方2026-05-04摘要GnuTLS 发布了 3.8.13 版本一次性修复 12 个安全漏洞其中最严重的 CVE-2026-33846 可通过恶意 DTLS 流量触发堆溢出导致远程代码执行。GnuTLS 是 Linux 服务器生态的核心加密库影响范围涵盖 Red Hat、SUSE、Debian、Ubuntu 等主流发行版以及大量依赖它的 Web 服务、VPN 和邮件系统。此次更新的重要性不亚于 OpenSSL 的关键安全补丁系统管理员应视为紧急维护处理。GnuTLS 官方安全公告 | 奇安信 CERT 通报四、CISA KEV 近期新增追踪CVE 编号漏洞产品类型联邦修复截止状态CVE-2026-31431Linux 内核Copy Fail本地提权2026-05-22✅ KEV 已收录CVE-2026-41940cPanel WHM认证绕过 RCE2026-05-20✅ KEV 已收录CVE-2026-32202Windows ShellAPT28利用0-Click NTLM 欺骗2026-05-12✅ KEV 已收录CVE-2024-7399Samsung MagicINFO 9 Server任意文件写入2026-05-08✅ KEV 已收录CVE-2024-57726SimpleHelp权限提升2026-05-08✅ KEV 已收录CISA KEV 完整目录五、威胁态势小结本期重点关注Android 生态高危警报CVE-2026-0073 零点击 RCE 已在野利用无线调试用户应立即关闭该功能并更新系统。cPanel 生产环境告急CVE-2026-41940 驱动的 Sorry 勒索软件已攻陷 44,000 服务器为本周最活跃的在野利用。基础架构层漏洞批量爆发GnuTLSCVE-2026-33846、FreeBSD dhclientCVE-2026-42511覆盖 Linux/BSD 服务器大量核心组件管理员需紧急跟进补丁。供应链攻击持续扩散ShinyHunters 借助 Anodot 供应商通道在一周内攻破 Vimeo/Instructure/Medtronic企业 SaaS 供应链安全亟需审计。N-Day 漏洞仍是 APT 主要手段SHADOW-EARTH-053 行动再次证明及时补丁管理的关键性旧漏洞危害不逊色于零日。报告生成时间2026-05-06 11:43 | 下次更新2026-05-07 08:00⚠️ 本报告内容仅供安全研究与防御目的参考任何技术细节不得用于非法攻击活动。