每日安全情报报告 · 2026-07-19

每日安全情报报告 · 2026-07-19

报告日期:2026年7月19日
数据范围:2026年7月17日 — 7月19日
风险级别:🔴 极高 | 🟠 高危 | 🟡 中危 | 🟢 低危


一、最新高危漏洞

🔴 CVE-2026-63030 + CVE-2026-60137 — WordPress Core "wp2shell" 预认证 RCE

项目内容
CVE 编号CVE-2026-63030(路由混淆)/ CVE-2026-60137(SQL 注入)
漏洞类型REST API 批量端点路由混淆 + 盲 SQL 注入 → 远程代码执行
受影响组件WordPress Core 6.9.0–6.9.4 / 7.0.0–7.0.1(5 亿+ 网站)
CVSS 评分9.8(Critical)
在野利用尚未发现,但 PoC 已公开
补丁状态已修复(6.9.5 / 7.0.2 / 6.8.6),WordPress 已强制推送自动更新

漏洞概述:Searchlight Cyber 研究员 Adam Kues 发现 WordPress 核心存在两个可串联的严重漏洞。CVE-2026-63030 利用 REST API 批量端点/wp-json/batch/v1的数组解析缺陷,通过"路由混淆"使一个子请求的 handler 被错误应用到另一个子请求上,绕过allow_batch限制和方法白名单。CVE-2026-60137 进一步将恶意的author__not_in参数注入WP_Query,实现未认证盲 SQL 注入。攻击链可从 SQLi 读取管理员密码哈希→破解→登录→上传恶意插件→RCE;若 MySQL 用户拥有 FILE 权限(共享主机默认),可直接INTO OUTFILE写入 WebShell。

  • NVD 详情
  • Searchlight Cyber 公告
  • Rapid7 ETR 分析
  • Cloudflare WAF 响应

🔴 CVE-2026-54523 — Kyverno Kubernetes 集群权限提升

项目内容
CVE 编号CVE-2026-54523
漏洞类型跨命名空间权限提升(NamespacedGeneratingPolicy CEL apply() 未校验命名空间)
受影响组件Kyverno ≤ 1.18.1(Kubernetes 原生策略引擎)
CVSS 评分9.6(Critical)
在野利用尚未发现,PoC 已公开
补丁状态已修复(1.18.2)

漏洞概述:Kyverno 的NamespacedGeneratingPolicy功能中,CEL 生成器的apply()函数接受目标命名空间参数但未验证其是否与策略自身命名空间匹配。恶意租户可构造策略使 Kyverno 后台控制器(拥有集群级权限)在kube-system等任意命名空间中创建 RoleBinding,授予自身管理员权限。此为 CVE-2026-22039 的回归变体,后者修补了apiCall路径但遗漏了NamespacedGeneratingPolicy

  • NVD 详情
  • GitHub 安全公告
  • PoC 详情

🔴 CVE-2026-15378 — Red Hat OpenShift AI 盲 SSRF

项目内容
CVE 编号CVE-2026-15378
漏洞类型盲 SSRF(guardrails-detectors file_type 检测器 XML Schema 外部实体解析)
受影响组件Red Hat OpenShift AI(guardrails-detectors 组件)
CVSS 评分9.3(Critical)
在野利用未发现
补丁状态修复中(Red Hat 评级"重要")

漏洞概述:攻击者可构造恶意 XML Schema 字符串,使 OpenShift AI 的 Pod 调用内部端点(云元数据服务、Kubernetes API、MinIO),窃取云凭证和服务账户令牌,进而可能渗透整个集群。

  • Red Hat 安全公告

🔴 Windows LegacyHive — 0-Day 本地提权(无 CVE)

项目内容
CVE 编号未分配(0-Day)
漏洞类型本地权限提升(User Profile Service 任意注册表配置单元加载)
受影响组件所有 Windows 10/11/Server(2026年7月补丁后仍可利用)
CVSS 评分N/A(无 CVE)
在野利用未确认,PoC 已公开(能力受限版本)
补丁状态无补丁

漏洞概述:研究员 Nightmare Eclipse(Chaotic Eclipse)在微软 7 月 Patch Tuesday 发布后仅 30 分钟公开了 LegacyHive 漏洞。漏洞利用符号链接和 NT 对象管理器目录对象重定向 ProfSvc 的文件操作,使标准用户挂载其他用户(含管理员)的注册表配置单元到自身上下文中。公开版本被刻意削弱(需额外凭据、仅限 usrclass.dat),但原始版本据称可加载任意注册表配置单元且无需额外凭据。这是 Nightmare Eclipse 自 4 月以来公开的第 6 个 Windows 0-Day。

  • GitHub PoC
  • Security Affairs 分析
  • Secure.com 分析

🔴 OpenSSL HollowByte — 内存耗尽型 DoS(无 CVE)

项目内容
CVE 编号未分配(OpenSSL 归类为"bug/hardening")
漏洞类型内存耗尽型拒绝服务(11 字节 TLS 请求触发 131KB 分配 + glibc 碎片化)
受影响组件OpenSSL < 4.0.1 / 3.6.3 / 3.5.7 / 3.4.6 / 3.0.21
CVSS 评分N/A(无 CVE)
在野利用未确认,无公开 PoC
补丁状态6月9日静默修复,7月17日 Okta Red Team 公开细节

漏洞概述:攻击者发送包含虚假大长度声明的 11 字节 TLS 握手头部,OpenSSL 在为收到实际数据前即分配多达 131KB 缓冲区。连接断开后,glibc 不将内存归还操作系统,攻击者通过随机化声明大小使堆碎片化。Okta 测试:1GB NGINX 服务器在 547MB 碎片化后被 OOM-killed;16GB 服务器丢失 25% 内存。由于无 CVE 编号,传统漏洞扫描器无法检测。

  • Okta Red Team 原始分析
  • BleepingComputer 报道

🟠 ArcadeDB GraalVM 沙箱逃逸 RCE(GHSA-X9F9-R4M8-9XC2)

项目内容
编号GHSA-X9F9-R4M8-9XC2
漏洞类型GraalVM Polyglot 沙箱绕过 → 远程代码执行
受影响组件ArcadeDB Engine ≥ 21.9.1, < 26.7.2
CVSS 评分8.4(High)
补丁状态已修复(26.7.2)

漏洞概述:ArcadeDB 触发器脚本执行器配置不当,允许java.lang.*包在 GraalVM 脚本上下文中加载。拥有UPDATE_SCHEMA权限的认证用户可注册恶意脚本触发器,使用Java.type反射执行任意操作系统命令。

  • GitHub 安全公告

CISA KEV 关键截止日提醒

CVE 编号产品类型CVSSKEV 新增BOD 截止状态
CVE-2026-58644Microsoft SharePoint反序列化 RCE9.87/167/19(今天)⚠️ 紧迫
CVE-2026-39808Fortinet FortiSandboxOS 命令注入9.17/167/19(今天)⚠️ 紧迫
CVE-2026-25089Fortinet FortiSandboxOS 命令注入9.17/167/19(今天)⚠️ 紧迫
CVE-2026-46817Oracle E-Business Suite权限管理不当9.87/157/18(昨日)🔴 已逾期

说明:FortiSandbox 三个漏洞(含未入 KEV 的 CVE-2026-39813 认证绕过)已被 Defused 观测到在野利用,安全产品自身成为攻击入口。


二、最新漏洞 PoC

1. WordPress wp2shell — 预认证 RCE 检测 PoC

  • CVE:CVE-2026-63030 + CVE-2026-60137
  • 仓库:Senanfurkan/wordpress-cve-2026-63030
  • 类型:盲布尔/时间 SQL 注入检测 → 管理员密码哈希提取

使用步骤

git clone https://github.com/Senanfurkan/wordpress-cve-2026-63030.git cd wordpress-cve-2026-63030 pip install requests python poc_wp_batch_sqli.py -t https://target-wordpress.com --sleep 5

说明:PoC 执行两个非破坏性测试:检测路由混淆是否可触发、验证 SQL 注入是否可利用。成功后可提取管理员密码哈希。完整 RCE 链(SQLi→哈希破解→插件上传)的技术细节由 Searchlight Cyber 暂缓公开。

其他公开扫描/检测工具
- ZephrFish/wp2shell-scanner — 版本检测
- Icex0/wp2shell-poc — 盲 SQLi PoC


2. Kyverno CVE-2026-54523 — 集群权限提升 PoC

  • CVE:CVE-2026-54523
  • 仓库:PoC 细节见 GitHub 安全公告 GHSA-8p9x-46gm-qfx2
  • 类型:跨命名空间 RoleBinding 创建

使用步骤

# 前提:在 Kubernetes 集群中拥有某个命名空间的 Policy 创建权限 # 创建恶意 NamespacedGeneratingPolicy kubectl apply -f malicious-generating-policy.yaml # 策略在后台触发,Kyverno 控制器在目标命名空间(如 kube-system)创建 RoleBinding # 验证权限提升 kubectl auth can-i create pods -n kube-system

3. LegacyHive — Windows ProfSvc 本地提权 PoC

  • CVE:无(0-Day)
  • 仓库:MSNightmare/LegacyHive
  • 类型:注册表配置单元劫持 → 本地权限提升

使用步骤

git clone https://github.com/MSNightmare/LegacyHive.git cd LegacyHive # 使用 Visual Studio 编译 LegacyHive.cpp # 需要:第二个标准用户凭据 + 第三个用户名(可为管理员) LegacyHive.exe <second_user> <second_password> <target_username>

注意:此公开版本被刻意削弱——仅支持 usrclass.dat 配置单元,且需要额外凭据。原作者称完整版本可加载任意配置单元且无需额外凭据,但未公开以避免大规模滥用。


4. DirtyDecrypt (CVE-2026-31635) — Linux 内核 RxGK 提权 PoC

  • CVE:CVE-2026-31635
  • 仓库:0xBlackash/CVE-2026-31635
  • 类型:页缓存损坏 → 本地提权至 root

使用步骤

git clone https://github.com/0xBlackash/CVE-2026-31635.git cd CVE-2026-31635 gcc -O2 -static -pthread CVE-2026-31635.c -o DirtyDecrypt ./DirtyDecrypt # 成功输出:root shell

影响范围:Fedora、Arch Linux、openSUSE Tumbleweed(需 CONFIG_RXGK=y)。Ubuntu/Debian/RHEL 默认不受影响。容器环境中若宿主机内核受影响,可逃逸至宿主机。


5. CVE-2026-31635 综合 PoC 集合

  • 仓库:SecureWithUmer/CVE-2026-PoCs
  • 说明:社区维护的 2026 年 CVE PoC 索引,涵盖 Drupal SQLi、WordPress 插件提权等多个已验证漏洞。

三、网络安全最新文章

威胁情报与攻击活动

#标题摘要来源
1NadMesh: AI 服务时代的产品级威胁奇安信 XLab 披露 Go 语言编写的新型僵尸网络,内置 90+ 云服务商地址段、20+ 漏洞利用向量,通过 Shodan 定向收割 ComfyUI/Ollama/Langflow 等 AI 服务 IP。控制面板声称收集 3811 个 AWS 密钥,通过 MCP 协议tools/call方法实现 RCE。具备 SSH 公钥后门 + Agent + Cron 三重持久化,Garble 混淆使每份样本哈希唯一。奇安信 XLab
2ViteVenom: 七个恶意 npm 包利用四层区块链 C2 投递 RATCheckmarx 披露针对 Vite 前端工具链的供应链攻击,7 个 typosquat 包(@uw010010/vite-tree 等)通过 Tron→Aptos→BSC 四层区块链架构检索 C2 载荷,区块链存储指针使其无法被传统手段取缔。开源恶意软件研究机构将其归因为朝鲜 Lazarus 旗下 PolinRider 行动。The Hacker News
3OpenSSL HollowByte 漏洞:11 字节即可冻结服务器内存Okta Red Team 披露 OpenSSL 内存耗尽型 DoS 漏洞,11 字节 TLS 请求可永久占用 131KB 内存。由于无 CVE 编号,传统扫描器无法检测。OpenSSL 已于 6 月 9 日静默修复但未发布公告,引发社区对漏洞披露透明度的争议。The Hacker News
4微软警告 ACR Stealer 攻击激增微软观测到 ACR Stealer 对企业客户的攻击大幅增加,该恶意软件通过 ClickFix 诱骗、WebDAV 载荷和隐写 JPEG 图像窃取浏览器密码、认证令牌和敏感文档。BleepingComputer
5ClickLock Stealer: 新型 macOS 恶意软件锁死系统强迫输入密码Group-IB 发现名为 ClickLock 的新型 macOS 信息窃取器。通过 ClickFix 页面分发,杀死所有可见进程强制用户输入系统密码,虚假 Cloudflare 验证进度条后台部署恶意模块。已感染 33 国 100+ 受害者,上传 VirusTotal 时零检出。含 GSocket 后门实现持久化远程访问。Group-IB
6Ernst & Young 披露第三方支持工单系统数据泄露安永(EY)确认其 IT 人员使用的第三方支持工单系统遭入侵,正在通知受影响客户。具体泄露数据范围和受影响人数尚未公布。BleepingComputer
7可口可乐 Fairlife 子公司遭勒索软件攻击,美国生产暂停可口可乐通过 SEC 8-K 文件披露,旗下 Fairlife 乳制品子公司遭勒索攻击,导致美国生产运营暂时中断。攻击影响了 IT 和 OT 系统,加拿大运营未受影响。尚无勒索组织声称负责。BleepingComputer
8Scattered Spider 核心成员因 TfL 黑客攻击被判 5.5 年两名 Scattered Spider 核心成员 Thalha Jubair 和 Owen Flowers 因 2024 年攻击伦敦交通局(TfL)造成 2900 万英镑损失,在英国被判 66 个月监禁。BleepingComputer

技术分析与漏洞研究

#标题摘要来源
9LegacyHive: 微软最大 Patch Tuesday 后仅 30 分钟曝出 0-Day 提权深度分析 LegacyHive 漏洞原理:利用符号链接和 NT 对象管理器劫持 ProfSvc 配置单元加载流程。探讨 Nightmare Eclipse 与 MSRC 自 4 月以来的持续对抗。IT Connect
10wp2shell 代码追踪深度分析ZephrFish 对 WordPress wp2shell 漏洞链的完整代码级追溯:从 REST API 批量端点数组错位到 WP_Query SQL 注入,再到 INTO OUTFILE WebShell。含受影响的 Docker 镜像版本验证。ZephrFish Blog
11TTF 陷阱:利用 Lua 加载器全球投递 RAT 和信息窃取器FortiGuard Labs 披露自 3 月底以来利用 TTF(TrueType Font)文件和 Lua 脚本加载器的大规模钓鱼行动,部署 Agent Tesla、Remcos、XWorm 等多种 RAT。极低杀软检出率。Fortinet
12GoldenEyeDog 子组织关联 DigiCert 代码签名证书盗窃事件研究人员将 2026 年 4 月 DigiCert 安全事件归因于 GoldenEyeDog 子组织,攻击者窃取了代码签名证书。这一归因揭示了国家级 APT 对数字信任基础设施的持续侵蚀。The Hacker News

其他重要安全动态

#标题摘要来源
13Shark 扫地机器人漏洞:一张被盗证书可控制同 AWS 区域所有设备研究人员 tokay0 发现 Shark 扫地机器人云证书权限过大,一张被盗证书可对同 AWS 区域内 67 万+ 设备执行 root 命令,访问摄像头、家庭地图和 Wi-Fi 密码。四个月未修复。The Hacker News
14Abbott Labs 调查两起网络事件雅培(Abbott)正在调查两起独立网络安全事件:癌症诊断部门 Exact Sciences 遗留系统未授权访问,以及 LabCentral 门户被入侵并遭勒索。BleepingComputer
157-Zip 26.02 修复可通过恶意压缩包触发的 RCE 漏洞7-Zip 发布 26.02 版本,修复一个远程代码执行漏洞,攻击者可诱使用户打开特制压缩文件触发恶意代码执行。BleepingComputer
16FreeBuf 周报:白宫启动"金鹰"计划;Gemini CLI 构建 C&C 僵尸网络本周重点回顾:白宫启动 AI 驱动漏洞清算中心 Gold Eagle;俄语攻击者利用 Gemini CLI 在 6 分钟内自动迁移 C&C 僵尸网络;MemGhost 攻击通过一封邮件向 AI Agent 植入虚假记忆。FreeBuf

四、风险总结与行动建议

优先级矩阵

优先级行动项原因
P0(立即)修补 CVE-2026-58644(SharePoint)/ CVE-2026-39808 & CVE-2026-25089(FortiSandbox)CISA KEV 今日(7/19)截止,在野利用确认
P0(立即)更新 WordPress 至 6.9.5 / 7.0.2wp2shell PoC 已公开,5 亿+ 站点暴露
P0(立即)更新 Kyverno 至 1.18.2PoC 已公开,多租户集群可被跨命名空间提权
P1(24h 内)更新 OpenSSL 至最新版本HollowByte 虽无 CVE 但影响所有 TLS 服务
P1(24h 内)监控 Windows ProfSvc 异常行为LegacyHive 0-Day 无补丁,需行为检测
P2(本周)排查 npm 依赖中的 ViteVenom 恶意包供应链攻击,影响 Vite 生态
P2(本周)更新 7-Zip 至 26.02 / ArcadeDB 至 26.7.2RCE 漏洞已修复

关键趋势

  1. CISA KEV 截止日集中爆发:今日(7/19)三大漏洞同时到期,BOD 26-04 强制修复压力加大
  2. CMS 核心漏洞重燃:wp2shell 无需任何插件即可攻击 WordPress 默认安装,影响面史无前例
  3. AI 基础设施成系统性攻击目标:NadMesh 僵尸网络专门收割 AI 服务云凭证,标志着 AI 基础设施已跨过"有价值目标"门槛
  4. 供应链攻击持续进化:ViteVenom 利用区块链 C2 实现抗取缔,PolinRider 横向扩展至 npm/Vite 生态
  5. 零日披露对抗升级:Nightmare Eclipse vs MSRC 对峙持续,LegacyHive 是第 6 个连续公开的 Windows 0-Day
  6. "静默修复"争议:OpenSSL HollowByte 和 7-Zip RCE 均为无公告修复,漏洞管理面临跟踪盲区

报告由 WorkBuddy 自动生成 | 数据来源:NVD、CISA KEV、GitHub Security Advisory、The Hacker News、BleepingComputer、FreeBuf、奇安信 XLab、Group-IB、Checkmarx、Okta Red Team 等