每日安全情报报告 · 2026-07-04报告日期2026年7月4日星期六覆盖时间窗口2026年7月1日 — 7月4日风险等级标注 严重 | 高危 | 中危数据来源The Hacker News、BleepingComputer、FreeBuf、CISA KEV、NVD、GitHub、各厂商安全公告一、最新高危漏洞CVE1. CVE-2026-45659 — Microsoft SharePoint Server 反序列化 RCE 字段详情CVE 编号CVE-2026-45659漏洞类型不可信数据反序列化导致远程代码执行RCE受影响组件Microsoft SharePoint Server Subscription Edition / 2019 / Enterprise Server 2016CVSS 评分8.8高危攻击向量网络层需身份认证最低 Site Member 权限在野利用✅已确认在野利用— CISA KEV 已收录修复截止日期2026年7月4日BOD 26-04补丁状态微软已于2026年5月发布修复补丁漏洞概述该漏洞允许已认证的低权限攻击者Site Member 级别通过网络向 SharePoint 服务器发送精心构造的序列化数据利用反序列化机制在服务器上执行任意代码。CISA 于7月1日将其加入 KEV 目录要求联邦机构在7月4日前完成修复。攻击者Storm-2603组织已被发现利用 SharePoint 漏洞部署 Warlock 勒索软件。参考链接- NVD 详情- CISA KEV 公告- The Hacker News 报道- 微软安全博客2. CVE-2026-20230 — Cisco Unified Communications Manager SSRF 字段详情CVE 编号CVE-2026-20230漏洞类型服务端请求伪造SSRF→ 文件写入 → 提权至 Root受影响组件Cisco Unified Communications Manager (Unified CM) / Unified CM SMECVSS 评分8.6高危Cisco 评级为 Critical攻击向量网络层无需身份认证低复杂度攻击在野利用✅已确认在野利用— CISA KEV 已收录前提条件WebDialer 服务需启用默认禁用补丁状态Cisco 于2026年6月3日发布补丁漏洞概述攻击者可发送特制 HTTP 请求利用 SSRF 漏洞向底层操作系统写入文件进而提权至 Root 权限。Cisco 于7月2日正式确认攻击者正在利用此漏洞。Shadowserver 追踪到全球超过 200 个暴露在互联网上的 Cisco Unified CM 实例。CISA KEV 修复截止日期为6月28日目前已逾期。参考链接- NVD 详情- Cisco 安全公告- BleepingComputer 报道- SSD 技术分析3. CVE-2026-8451 — Citrix NetScaler 内存越界读取CitrixBleed 字段详情CVE 编号CVE-2026-8451漏洞类型内存越界读取Memory Overread受影响组件Citrix NetScaler ADC / NetScaler GatewayCVSS 评分严重具体分数待 NVD 确认攻击向量网络层无需身份认证在野利用✅公开披露后24小时内即遭在野利用补丁状态Citrix 于2026年6月30日发布补丁漏洞概述这是CitrixBleed漏洞家族的最新成员。未认证的远程攻击者可读取 NetScaler 系统内存中的敏感信息凭据、会话令牌、证书密钥进而获取系统访问权限。安全公司 Lupovis 报告称攻击者在漏洞公开披露后24小时内即开始武器化利用。荷兰 NCSC 已发布紧急修补建议。NetScaler ADC/Gateway 部署在网络边界处理流量分发和远程访问被攻破后将暴露内部应用、远程工作者会话和内网访问权限。参考链接- Security.nl 报告- 威胁情报报告4. CVE-2026-56141 — JetBrains Hub 账户接管 字段详情CVE 编号CVE-2026-56141漏洞类型账户接管可预测的恢复码CWE-338受影响组件JetBrains Hub身份与访问管理组件CVSS 评分严重Critical攻击向量利用账户恢复流程中恢复码随机性不足在野利用暂无公开利用报告补丁状态已修复Hub 版本 2026.1.13757漏洞概述JetBrains Hub 的账户恢复机制生成的恢复码随机性不足攻击者可预测或暴力破解恢复码来劫持账户包括高权限账户。由于 Hub 是 YouTrack、TeamCity 等多个 JetBrains 服务的身份提供者单个 Hub 账户被攻破可能导致跨平台未授权访问。参考链接- JetBrains 安全公告- GBHackers 报道5. CVE-2026-50242 — JetBrains Hub 身份验证绕过 字段详情CVE 编号CVE-2026-50242漏洞类型身份验证绕过CWE-306受影响组件JetBrains Hub / YouTrackCVSS 评分严重Critical攻击向量通过直接数据库访问绕过标准登录控制在野利用暂无公开利用报告补丁状态已修复Hub 版本 2026.1漏洞概述攻击者可通过数据库级别逻辑绕过标准身份验证控制访问敏感功能或配置路径获取 Hub 管理员权限。该漏洞同时影响 YouTrack与 Hub 集成时。参考链接- CVE.report 详情- 安全漏洞详情6. CVE-2026-8147 — MLflow 授权绕过 字段详情CVE 编号CVE-2026-8147漏洞类型授权绕过CWE-284受影响组件MLflow 3.14.0启用身份验证时CVSS 评分8.1高危攻击向量网络层需低权限身份认证在野利用暂无公开利用报告补丁状态修复提交已合并至 MLflow 3.14.0漏洞概述MLflow 的 trace API 端点缺少适当的授权验证器任何已认证用户可绕过实验级授权控制对无权访问的实验执行读取、删除和修改 trace 操作可能导致敏感数据泄露、审计日志被销毁和未授权修改。参考链接- NVD 详情- GitHub 修复提交- Huntr 漏洞报告7. CVE-2026-48558 — SimpleHelp RMM 身份验证绕过 字段详情CVE 编号CVE-2026-48558漏洞类型身份验证绕过受影响组件SimpleHelp 远程监控管理平台CVSS 评分10.0严重攻击向量网络层无需身份认证在野利用CISA KEV 已收录补丁状态已发布补丁KEV 截止日期2026年7月2日已逾期漏洞概述SimpleHelp 远程监控管理平台存在严重身份验证绕过漏洞CVSS 满分10.0。CISA KEV 修复截止日期为7月2日目前已逾期。建议立即修补。参考链接- 威胁情报报告- SimpleHelp 漏洞分析8. 其他值得关注的高危漏洞 漏洞受影响组件类型状态WatchGuard Firebox OS 多个 RCEWatchGuard Firebox 企业防火墙远程代码执行已披露需立即修补Microsoft Exchange SSRF本地 Exchange ServerSSRF → 任意文件读取公开 PoC 已发布Cursor IDE 零点击 RCE2个Cursor AI IDEFortune 500 广泛使用零点击 RCE已披露需立即更新Claude Cowork 沙箱逃逸Anthropic Claude Cowork AI 代理环境沙箱逃逸 → Root已修复CVE-2026-56142JetBrains Hub权限提升CWE-915已修复参考链接- WatchGuard / Exchange / Cursor 综合报告- JetBrains 漏洞分析二、最新漏洞 PoC1. CVE-2026-45659 — SharePoint RCE PoC字段详情CVECVE-2026-45659PoC 来源GitHub利用条件需已认证的低权限账户Site Member使用步骤# 1. 克隆 PoC 仓库 git clone https://github.com/mistbarbarianspot/CVE-2026-45659-SharePoint-RCE.git # 2. 进入目录 cd CVE-2026-45659-SharePoint-RCE # 3. 安装依赖 pip install -r requirements.txt # 4. 执行 PoC替换为目标 URL 和凭据 python exploit.py --target https://sharepoint.example.com --username user --password pass⚠️警告仅供授权安全测试使用。该漏洞已在 CISA KEV 目录中攻击者正在积极利用。参考链接- GitHub PoC 仓库- Vulners Exploit DB2. CVE-2026-20230 — Cisco Unified CM SSRF PoC字段详情CVECVE-2026-20230PoC 来源SSD Secure Disclosure利用条件目标需启用 WebDialer 服务使用步骤# 1. 参考 SSD 技术分析文章获取 PoC # 访问: https://ssd-disclosure.com/cisco-unified-communications-manager-arbitrary-file-write-to-rce/ # 2. 构造 SSRF 请求使用 file:// 协议载荷 # 向 WebDialer 端点发送特制 HTTP 请求 # 3. 利用文件写入提权至 Root # 通过写入恶意文件实现持久化控制参考链接- SSD 技术分析与 PoC- 漏洞分析文章- Cisco 安全公告3. Microsoft Exchange SSRF PoC公开披露字段详情漏洞类型SSRF → 任意文件读取受影响组件本地 Microsoft Exchange Server利用条件需低权限身份认证概述已认证的低权限攻击者可利用此 SSRF 漏洞从本地 Exchange 服务器读取任意文件包括配置文件、web.config 中的凭据和邮箱数据。公开 PoC 已发布。参考链接- 威胁情报报告4. ⚠️ 安全警告ChocoPoC 恶意软件伪装 PoC 攻击安全研究人员字段详情恶意软件名称ChocoPoCPython RAT传播方式GitHub 上的伪造 PoC 漏洞利用仓库恶意 PyPI 包frint、skytext、slogsec、logcrypt.cryptography下载量skytext 包已被下载约 2,400 次目标网络安全研究人员、渗透测试人员C2 渠道Mapbox 数据集用作命令分发 IP 91.132.163.78被武器化的 CVE PoC 列表- FortiWeb 路径遍历CVE-2025-64446- React2ShellCVE-2025-55182- MongoBleedCVE-2025-14847- PAN-OS 认证绕过CVE-2026-0257- Ivanti Sentry 命令注入CVE-2026-10520- Check Point VPN 认证绕过CVE-2026-50751- Joomla SP Page Builder RCECVE-2026-48908攻击链1. 研究人员克隆恶意 GitHub 仓库并运行pip install2. 拉取恶意包frint→ 依赖包skytext3.skytext包含编译后的原生扩展Linux:gradient.soWindows:gradient.pyd4. 当检测到 PoC 文件如EXPLOIT_POC.py加载时恶意代码激活5. 从 Mapbox 数据集下载 ChocoPoC RATChocoPoC RAT 功能- 执行任意 Shell 命令和 Python 代码- 上传文件和目录- 窃取浏览器密码、Cookie、自动填充数据和浏览历史- 搜索文本文件、Markdown 文件和数据库文件- 收集 Shell 历史记录和网络配置- 枚举运行进程⚠️强烈建议检查系统中是否安装了frint、skytext、slogsec、logcrypt.cryptography包。如发现立即轮换凭据并重建主机。参考链接- The Hacker News 报道- Sekoia 技术分析- YesWeHack 报告三、网络安全最新文章1. CISA 将 SharePoint RCE 漏洞 CVE-2026-45659 加入 KEV 目录摘要美国网络安全和基础设施安全局CISA于7月1日将 Microsoft SharePoint Server 高危漏洞 CVE-2026-45659CVSS 8.8加入已知被利用漏洞KEV目录 citing 在野利用证据。该漏洞为不可信数据反序列化导致的远程代码执行微软已于5月修复。联邦机构须在7月4日前完成修补。参考链接- 阅读原文The Hacker News- CISA 官方公告2. Cisco 正式确认 Unified CM 漏洞 CVE-2026-20230 遭在野利用摘要Cisco 于7月2日正式确认攻击者正在利用 Unified Communications Manager 的 SSRF 漏洞CVE-2026-20230CVSS 8.6。该漏洞于6月3日修复三周后安全公司 Defused 发现攻击者利用file://载荷在目标设备上创建文件。全球超过 200 个 Cisco Unified CM 实例暴露在互联网上。Cisco 建议无法立即升级的用户禁用 WebDialer 服务作为临时缓解措施。参考链接- 阅读原文BleepingComputer- Cisco 安全公告3. FortiBleed 凭据窃取行动关联 INC/Lynx 勒索软件摘要SOCRadar 研究团队发现大规模 FortiBleed 凭据窃取行动与 INC 和 Lynx 勒索软件即服务RaaS组织直接关联。该行动针对全球超过 43 万台 FortiGate 防火墙在约 19,000 台设备上部署了流量嗅探器FortiGate Sniffer以拦截 VPN 凭据。调查发现约 20 名成员参与运营且受害者信息与 INC 勒索软件泄露网站重叠。Lynx 被认为是 INC 勒索软件团伙的品牌重塑。参考链接- 阅读原文BleepingComputer- SOCRadar 技术分析4. ChocoPoC RAT 通过伪造 PoC 漏洞利用代码攻击安全研究人员摘要Sekoia 和 YesWeHack 联合披露攻击者在 GitHub 上发布至少 7 个伪造的 PoC 漏洞利用仓库通过恶意 PyPI 依赖包投递名为 ChocoPoC 的 Python RAT。恶意代码隐藏在依赖包skytext的编译扩展中仅在检测到真实 PoC 加载时激活可绕过沙箱检测。该 RAT 可窃取浏览器密码、Cookie、文件和系统信息并通过 Mapbox 数据集进行 C2 通信。skytext 包已被下载约 2,400 次。参考链接- 阅读原文The Hacker News- Sekoia 博客- BleepingComputer 报道5. 美国国土安全部确认 HSIN 信息共享平台遭黑客入侵摘要美国国土安全部DHS确认其国土安全信息网络HSIN平台遭到网络攻击。入侵发生在5月底至6月初之间攻击者针对 HSIN 服务器及用于协作的 SharePoint 系统。HSIN 是联邦、州、地方和私营部门合作伙伴共享敏感但非机密信息的平台。DHS 表示已隔离受影响系统分类网络未受影响。由于美国目前正在主办世界杯赛事此次泄露可能暴露安全规划和跨机构协调信息。参考链接- 阅读原文BleepingComputer- Nextgov 报道6. NetNut 住宅代理网络被打击200 万受感染设备被切断摘要Google 联合 FBI、Lumen Technologies 和 Shadowserver Foundation 开展联合行动打击了 NetNut又称 Popa住宅代理网络。该网络由至少 200 万台受感染设备包括 Android 智能电视和流媒体盒子组成被数百个威胁行为者用于隐藏恶意流量、密码喷洒攻击和访问受害者环境。Google 禁用了 NetNut 运营商用于 C2 的账户和服务FBI 没收了 netnut.com 域名。Google Play Protect 已自动警告并禁用受感染应用。参考链接- 阅读原文BleepingComputer- Google GTIG 博客7. JetBrains 修复多个关键 Hub 身份验证绕过和账户接管漏洞摘要JetBrains 发布安全更新修复了三个影响 Hub中央身份和访问管理组件的关键漏洞CVE-2026-56141可预测恢复码导致账户接管、CVE-2026-56142通过附加认证详情提权和 CVE-2026-50242数据库访问绕过身份验证获取管理员权限。由于 Hub 为 YouTrack、TeamCity 等多个服务提供身份认证成功利用可导致整个开发和 DevOps 基础设施被完全攻破。修复版本为 Hub 2026.1.13757。参考链接- 阅读原文GBHackers- JetBrains 安全公告- 威胁建模分析8. CitrixBleed 最新漏洞公开后24小时内遭在野利用摘要Citrix NetScaler ADC/Gateway 的内存越界读取漏洞 CVE-2026-8451CitrixBleed最新成员在6月30日补丁发布后24小时内即被攻击者武器化利用。安全公司 Lupovis 报告称watchTowr 在补丁日当天发布技术分析后攻击者迅速跟进。未认证攻击者可读取系统内存中的凭据、会话令牌和证书密钥。荷兰 NCSC 已发布紧急修补建议。NetScaler 设备部署在网络边界被攻破后可导致凭据窃取、流量拦截和横向移动。参考链接- 威胁情报报告- Security.nl 报告9. Scattered Spider 黑客组织成员被引渡至美国摘要一名拥有美国/爱沙尼亚双重国籍的男子被引渡至美国被指控是知名黑客组织 Scattered Spider 的成员。该组织曾参与多起大型数据泄露和勒索攻击事件以社会工程学和网络钓鱼手段闻名。参考链接- 阅读原文BleepingComputer10. 美敦力通知客户受 ShinyHunters 数据泄露影响摘要医疗设备厂商美敦力Medtronic正在通知受影响的客户其个人数据在一次与 ShinyHunters 相关的数据泄露事件中被未授权第三方获取。参考链接- 阅读原文BleepingComputer11. 久保田公司披露黑客长达一个月的网络访问权限摘要北美久保田公司Kubota披露黑客今年早些时候对其部分网络系统拥有超过一个月的访问权限。目前暂未公布数据泄露的具体范围。参考链接- 阅读原文BleepingComputer12. FreeBuf 早报微软漏洞报告深度解析JetBrains 高危漏洞摘要FreeBuf 发布安全早报深度解析2026年微软漏洞报告——漏洞总数下降但关键漏洞翻倍云安全风险激增。同时报道 JetBrains 曝出高危漏洞存在身份验证绕过与远程代码执行风险并存。参考链接- 阅读原文FreeBuf13. FreeBuf 早报GitHub 漏洞报告数量远超审核能力Azure CLI 遭密码喷洒攻击摘要FreeBuf 报道10 款开源 AI Agent 曝出高危漏洞攻击者可绕过防护执行任意命令。GitHub 安全公告数据库处理量创新高漏洞报告数量远超审核能力。微软 Azure CLI 遭到大规模密码喷洒攻击。参考链接- 阅读原文FreeBuf四、风险态势总结CISA KEV 当前活跃截止日期CVE产品截止日期状态CVE-2026-45659Microsoft SharePoint2026-07-04 今日截止CVE-2026-48558SimpleHelp RMM2026-07-02⚠️ 已逾期CVE-2026-20230Cisco Unified CM2026-06-28⚠️ 已逾期CVE-2026-20262Cisco SD-WAN2026-06-29⚠️ 已逾期本期重点关注SharePoint CVE-2026-45659今日 KEV 截止— 已确认在野利用需立即修补Citrix NetScaler CVE-2026-8451CitrixBleed— 公开后24小时即遭利用修补窗口极短Cisco Unified CM CVE-2026-20230— 已确认在野利用KEV 已逾期ChocoPoC RAT— 安全研究人员成为攻击目标使用 GitHub PoC 时需格外谨慎JetBrains Hub 三个关键漏洞— 可导致整个 DevOps 基础设施被攻破FortiBleed → INC/Lynx 勒索软件— 大规模凭据窃取与勒索软件运营直接关联防御建议立即修补 SharePoint ServerCVE-2026-45659和 Citrix NetScalerCVE-2026-8451审计 Cisco Unified CM 实例的 WebDialer 服务状态升级 JetBrains Hub 至 2026.1.13757 或对应 LTS 分支补丁检查系统是否安装了 ChocoPoC 相关恶意 PyPI 包审计 FortiGate 防火墙配置检查是否存在异常管理员账户adminin对所有 PoC 代码保持警惕仅在隔离环境中执行加强 AI Agent 安全防护10款开源 AI Agent 存在高危漏洞免责声明本报告仅供安全研究和防御参考。所有 PoC 信息仅用于授权安全测试严禁用于非法用途。创作声明部分内容由 AI 辅助生成。