每日安全情报报告 · 2026-07-17
每日安全情报报告 · 2026-07-17报告日期2026年7月17日数据窗口2026-07-15 ~ 2026-07-17风险评级说明 严重 | 高危 | 中危 | 低危一、 本期概览指标数值高危/严重 CVE10在野利用 CVE含 CISA KEV 新增5公开 PoC 数量7精选安全文章12重点关注CISA 连续两日新增 KEV——Oracle EBS 在野利用截止 7/18 SonicWall SMA1000 零日双链截止 7/17 今日到期。Zoom 爆出 CVSS 9.8 账户接管漏洞Windows HTTP.sys PoC 已在 GitHub 扩散。ClickLock 新型 macOS 恶意软件通过杀进程强制勒索密码OkoBot 框架部署 20 载荷针对硬件钱包用户。二、 最新高危漏洞1. CVE-2026-46817 — Oracle E-Business Suite 权限管理不当CVSS 评分9.8Critical漏洞类型不当权限管理CWE-269/287/306受影响组件Oracle E-Business SuiteOracle Payments 模块影响未认证攻击者通过 HTTP 网络访问即可完全接管 Oracle Payments状态CISA KEV 在野利用· 7/15 新增 ·BOD 截止 2026-07-18明天参考链接CISA KEV 详情Oracle CPU 公告NVD 详情BleepingComputer 报道2. CVE-2026-53412 — Zoom Windows 客户端账户接管CVSS 评分9.8Critical漏洞类型输入验证不当CWE-20受影响组件Zoom Workplace for Windows 7.0.0 / VDI Client 7.0.10 / Meeting SDK 7.0.0影响未认证远程攻击者通过网络即可劫持用户账户状态 暂无在野利用报告 · Zoom 7/15 发布补丁参考链接Zoom 安全公告 ZSB-26014The Hacker News 报道NVD 详情3. CVE-2026-15409 — SonicWall SMA1000 SSRF 零日CVSS 评分10.0Critical漏洞类型服务端请求伪造CWE-918受影响组件SonicWall SMA1000 设备影响远程未认证攻击者利用 SSRF 实现进一步网络渗透状态CISA KEV 在野利用· 7/14 新增 ·BOD 截止 2026-07-17今日参考链接CISA KEV 7/14 新增公告SonicWall 安全公告BleepingComputer 报道4. CVE-2026-15410 — SonicWall SMA1000 代码注入零日CVSS 评分7.2High漏洞类型代码注入CWE-94受影响组件SonicWall SMA1000 设备影响远程认证管理员可执行任意 OS 命令状态CISA KEV 在野利用· 7/14 新增 ·BOD 截止 2026-07-17今日参考链接CISA KEV 7/14 新增公告NVD 详情5. CVE-2026-47291 — Windows HTTP.sys 整数溢出 RCECVSS 评分9.8Critical漏洞类型整数溢出CWE-190→ 堆缓冲区溢出CWE-122受影响组件Windows HTTP.sys 内核驱动Win10/11, Server 2012-2025影响未认证远程攻击者发送特制 HTTP 请求即可获得 SYSTEM 权限影响 IIS/WinRM 等所有 HTTP.sys 服务状态 PoC 已于 7/11 公开omair2084/misc · 微软 6 月已发补丁参考链接MSRC 安全更新指南GitHub PoComair2084cn-sec 深度技术分析NVD 详情6. CVE-2026-56155 — Microsoft ADFS 访问控制粒度不足CVSS 评分7.xHigh漏洞类型访问控制不当受影响组件Microsoft Active Directory Federation Services状态CISA KEV 在野利用· 7/14 新增 · BOD 截止 7/17参考链接CISA KEV 7/14 新增公告NVD 详情7. CVE-2026-56164 — Microsoft SharePoint Server 认证缺失CVSS 评分高漏洞类型关键功能认证缺失受影响组件Microsoft SharePoint Server状态CISA KEV 在野利用· 7/14 新增 · BOD 截止 7/17参考链接CISA 7/14 KEV 公告NVD 详情8. CVE-2026-20297 — Splunk Enterprise 路径遍历CVSS 评分7.2High漏洞类型路径遍历CWE-22受影响组件Splunk Enterprise 10.4.1 / 10.2.5 / 9.4.13 等影响拥有 edit_local_apps install_apps 权限的用户可通过 REST API 将文件写入任意目录状态 7/15 发布补丁参考链接Splunk 安全公告 SVD-2026-0703NVD 详情9. CVE-2026-42055 — NGINX HTTP/2 代理堆溢出CVSS 评分8.1High漏洞类型堆缓冲区溢出受影响组件NGINX Plus / NGINX Open SourceHTTP/2 proxy gRPC 模块影响特定条件下远程未认证攻击者可导致 worker 进程崩溃或代码执行状态 Oracle Linux 7/13-14 已发布补丁参考链接Oracle Linux CVE 公告NVD 详情三、️ 最新漏洞 PoC1. CVE-2026-47291 — Windows HTTP.sys 远程代码执行来源GitHubomair2084/misc发布时间2026-07-11漏洞类型内核整数溢出 → SYSTEM 权限 RCE使用步骤bash git clone https://github.com/omair2084/misc.git cd misc # 查看 PoC 代码及说明文档 # 注意仅限授权测试环境使用说明PoC 演示触发 HTTP.sys 请求解析中的整数溢出导致堆缓冲区溢出。完整的武器化 exploit 尚需额外开发但 PoC 已足够支撑红队扩展利用链。参考链接GitHub Repo | 技术分析2. CVE-2026-43499GhostLock — Linux 内核 futex UAF 提权来源GitHubMobiusM/CVE-2026-43499, x-spy/CVE-2026-43499-popsicle发布时间2026-07-14 ~ 07-16多个 PoC 集中出现漏洞类型竞态条件 → UAF → 本地提权至 root使用步骤bash git clone https://github.com/MobiusM/CVE-2026-43499.git cd CVE-2026-43499 # 阅读 README 确认编译依赖 make ./exploit说明5 秒内从普通用户提权至 root97% 成功率影响几乎所有 Linux 发行版可容器逃逸。已修复但部分环境补丁滞后。参考链接MobiusM PoC | x-spy PoC3. CVE-2026-40369 — Windows 内核任意写入浏览器沙箱逃逸来源GitHuborinimron123/CVE-2026-40369-EXPLOIT发布时间2026-07-15漏洞类型内核任意写入 → 浏览器渲染进程沙箱逃逸使用步骤bash git clone https://github.com/orinimron123/CVE-2026-40369-EXPLOIT.git cd CVE-2026-40369-EXPLOIT # 按 README 编译并在测试环境验证说明影响所有主流浏览器的渲染进程沙箱可从浏览器沙箱内触发内核写入实现逃逸。参考链接GitHub Repo4. CVE-2026-20817 — Windows Error Reporting ALPC 本地提权来源GitHuboxfemale/CVE-2026-20817发布时间2026-07-11漏洞类型Windows 错误报告服务 ALPC 权限提升使用步骤bash git clone https://github.com/oxfemale/CVE-2026-20817.git cd CVE-2026-20817 # 编译并运行 PoC参考链接GitHub Repo5. CVE-2026-31431Copy Fail — Linux 本地提权来源GitHub多仓库tgies/copy-fail-c, badsectorlabs/copyfail-go, adysec/cve-2026-31431发布时间2026-07-10 ~ 07-15多语言实现集中涌现使用步骤bash# Go 版本git clone https://github.com/badsectorlabs/copyfail-go.gitcd copyfail-gogo build -o copyfail./copyfail# C 版本git clone https://github.com/tgies/copy-fail-c.gitcd copy-fail-cmake ./copy-fail-c-参考链接Go 版 PoC | C 版 PoC | Python 版6. CVE-2026-24061 — 公开 PoC来源GitHubSafeBreach-Labs/CVE-2026-24061发布时间2026-07-14使用步骤bash git clone https://github.com/SafeBreach-Labs/CVE-2026-24061.git cd CVE-2026-24061 # 按照仓库文档执行参考链接GitHub Repo7. CVE-2026-41651 — 公开 PoC来源GitHubVozec/CVE-2026-41651发布时间2026-07-14使用步骤bash git clone https://github.com/Vozec/CVE-2026-41651.git cd CVE-2026-41651 # 按文档执行参考链接GitHub Repo四、 网络安全最新文章威胁情报与恶意软件ClickLock Stealer粘贴一次失去一切——新型 macOS 信息窃取器深度分析来源Group-IB摘要Group-IB 披露全新 macOS 恶意软件 ClickLock Stealer通过 ClickFix 社工手法诱骗用户粘贴 Terminal 命令。若用户拒绝输入密码恶意软件每 210 毫秒杀死所有可见进程强制勒索。已感染 33 国 100 受害者窃取 8 款浏览器、31 个加密钱包扩展、macOS Keychain 等数据并部署 GSocket 后门持久化。OkoBot新型恶意软件框架部署 20 载荷窃取加密货币与凭据来源Kaspersky GReAT摘要卡巴斯基披露 OkoBot 多阶段恶意框架自 2025 年 3 月活跃至今。独创 SeedHunter 模块注入 Trezor/Ledger 官方桌面应用内部渲染虚假助记词恢复页面USB 设备插入后触发。通过 ClickFix GitHub 假 SSMS 安装包传播含 UAC 绕过、RDP 劫持、OkoSpyware 屏幕录像等多达 20 载荷。Spirals 勒索软件24 小时内完成入侵到加密全流程来源BleepingComputer摘要新型勒索软件组织 Spirals 首次被发现从初始访问到数据窃取再至全盘加密仅需不到 24 小时展示出高度成熟的攻击链和自动化能力。Coca-Cola Fairlife 遭勒索攻击美国乳制品生产中断来源BleepingComputer摘要可口可乐旗下 Fairlife 乳制品子公司遭勒索软件攻击导致全美 Fairlife 产品生产暂停供应链影响范围仍在评估中。20 巴西政府网站遭劫持成为恶意软件投放渠道来源The Hacker News / ANY.RUN摘要PhantomEnigma 攻击活动中20 余个巴西政府网站被劫持被改造成恶意软件分发节点。ANY.RUN 调查揭示此前未记录的后门行为与隐藏基础设施关联。AI 安全新型 Agent 数据注入攻击可让 AI Agent 误点击或执行攻击者命令来源The Hacker News摘要研究人员发现一种针对 AI Agent 的新型数据注入攻击在产品评论页面植入一段文字就能让 Agent 点击立即购买在 GitHub 讨论中伪造一条维护者回复就能让编码助手执行恶意命令。Claude Chrome 扩展漏洞允许恶意扩展触发 AI 操作来源BleepingComputer摘要Anthropic Claude for Chrome 浏览器扩展存在信任边界漏洞恶意扩展可通过模拟用户点击触发预定义 AI 操作可能滥用 Claude 对 Gmail、Google Docs、Google Calendar 等服务的访问权限。Google Gemini CLI 被滥用为黑客 Agent 与僵尸网络操控工具来源BleepingComputer摘要俄语威胁行为者 bandcampro 利用 Google 开源 Gemini CLI 作为自动化黑客 Agent并运营一个小型僵尸网络展示了 AI 工具被武器化的新趋势。攻击活动与执法Scattered Spider 两名成员因 TfL 黑客攻击被判入狱 5 年来源SecurityWeek摘要英国法院判处 Scattered Spider 网络犯罪组织两名核心成员 Thalha Jubair 和 Owen Flowers 各 5 年 6 个月监禁罪名与 2024 年针对伦敦交通局TfL的黑客攻击有关。俄罗斯黑客木马化 WebEx/Zoom 应用投放 Starland 恶意软件来源BleepingComputer摘要俄罗斯经济动机威胁组织 UAT-11795 通过木马化 WebEx 和 Zoom 应用程序投放新型后门 Starland RAT用于窃取凭据和加密货币。Daxin Rootkit 携 Stupig 后门在台湾制造业重现来源The Hacker News摘要与中国关联的高级恶意软件 Daxin内核级 Rootkit在沉寂四年后于台湾制造业重新出现并携带此前未被记录的后门 Stupig可实现 SYSTEM 权限预登录持久化。行业动态23andMe 同意支付 1800 万美元和解基因数据泄露诉讼来源BleepingComputer摘要基因检测公司 23andMe 与 43 个州总检察长联盟达成 1800 万美元和解协议因其未能充分保护客户基因数据。凸显生物特征和基因数据安全的法律风险升级。五、 CISA KEV 关键截止日期CVE 编号受影响产品KEV 新增日期BOD 截止日期状态CVE-2026-46817Oracle E-Business Suite2026-07-152026-07-18 明日截止CVE-2026-15409SonicWall SMA10002026-07-142026-07-17今日截止CVE-2026-15410SonicWall SMA10002026-07-142026-07-17今日截止CVE-2026-56155Microsoft ADFS2026-07-142026-07-17今日截止CVE-2026-56164Microsoft SharePoint Server2026-07-142026-07-17今日截止CVE-2026-48939iCagenda (Joomla)2026-07-102026-07-13⚠️ 已逾期CVE-2026-56291Balbooa Forms (Joomla)2026-07-102026-07-13⚠️ 已逾期CVE-2026-48282Adobe ColdFusion2026-07-072026-07-10⚠️ 已逾期六、 风险态势总结本期重点威胁SonicWall SMA1000 双零日今日 KEV 到期CVE-2026-15409CVSS 10.0 SSRF和 CVE-2026-15410代码注入已被在野利用BOD 截止日期就是今天7/17需立即核查补丁状态。Oracle EBS 明日 KEV 到期CVE-2026-46817CVSS 9.8无需认证即可远程接管已在野利用。联邦机构需在明天7/18前完成修复。Windows HTTP.sys PoC 扩散风险CVE-2026-47291CVSS 9.8PoC 在 GitHub 公开后已引发大量关注IIS/WinRM 等面向互联网的 Windows 服务器面临扫描和利用风险。Zoom CVSS 9.8 账户接管虽然暂无在野利用报告但 CVSS 9.8 预认证账户接管对依赖 Zoom 的企业构成严重威胁建议立即升级至最新版本。ClickLock OkoBot 社工威胁升级两者都利用 ClickFix 技术诱导用户自我感染。ClickLock 杀死进程强迫输入密码OkoBot 直接注入硬件钱包应用——社工攻击已从骗你下载升级为骗你主动执行强迫你服从。AI Agent 攻击面持续扩大Agent 数据注入、Claude 扩展信任边界、Gemini CLI 被武器化——AI Agent 生态的安全风险正在从理论变为实践。防御建议立即修补SonicWall SMA1000、Oracle EBS、Zoom Workplace、Windows HTTP.sys6月补丁核查 SharePoint/ADFS确认已安装微软 7 月 Patch Tuesday 补丁升级 Splunk升级至最新版本以修复路径遍历和 CSRF 绕过漏洞升级 NGINX如使用 HTTP/2 代理确认已更新至修复版本macOS 用户警惕切勿从网页复制命令粘贴到 Terminal无论页面看起来多正规加密货币用户仅从硬件钱包设备本身确认交易不通过桌面应用输入助记词AI Agent 安全实施最小权限原则限制 Agent 的工具访问范围审计 MCP 配置和浏览器扩展权限七、 数据来源汇总来源链接类型CISA KEV 目录cisa.gov/known-exploited-vulnerabilities-catalog官方 KEVNVDnvd.nist.gov漏洞数据库BleepingComputerbleepingcomputer.com安全新闻The Hacker Newsthehackernews.com安全新闻SecurityWeeksecurityweek.com安全新闻Group-IBgroup-ib.com威胁情报Kaspersky Securelistsecurelist.com恶意软件分析Splunk 安全公告advisory.splunk.com厂商公告Zoom 安全公告zoom.com/trust/security-bulletin厂商公告GitHub Securitygithub.com/advisories漏洞公告InfoSec News Hubinfosecnewshub.com安全资讯聚合cn-seccn-sec.com中文安全社区本报告由自动化威胁情报流程生成数据来源覆盖官方漏洞数据库、厂商安全公告、安全研究机构与社区媒体。所有外部链接截至报告生成时可正常访问。免责声明本报告仅供安全研究和防御参考不构成任何投资或操作建议。PoC 代码仅限授权测试环境使用。