每日安全情报报告 · 2026-07-01 每日安全情报报告 · 2026-07-01数据窗口2026-06-28 ~ 2026-07-01重点近 24-48 小时涵盖高危 CVE / 公开 PoC / 在野利用 / 厂商安全公告 / 重要安全事件风险等级 严重 (CVSS ≥ 9.0) 高 (7.0~8.9) 中 (4.0~6.9)一、 今日焦点24 小时内必读1. SimpleHelp RMM CVE-2026-48558 认证绕过 — CVSS 10.0 严重风险等级 严重确认在野利用 · CISA KEV漏洞类型OIDC 认证流程未校验身份令牌加密签名JWT 签名验证缺失受影响组件SimpleHelp 5.5.15 及更早版本、6.0 预发布版本远程监控管理平台 RMM触发条件配置 OIDC 认证即受影响攻击者可创建新的技术员账户并获得管理员级别访问威胁态势攻击者已利用该漏洞部署TaskWeaver 加载器恶意软件专攻 MSP托管服务提供商及其下游客户列入 CISA KEV 目录NVD 详情NVD CVE-2026-48558阿里云详情AVD-2026-48558Horizon3 攻击研究Horizon3.ai 详细披露威胁建模专题Threat-Modeling 专项报告CVEFeed 详情CVEFeed 漏洞卡片51CTO 中文解读51CTO 漏洞详解CN-SEC 入侵检测CN-SEC 中文分析处置建议立即升级至 SimpleHelp 5.5.16 / 6.0 正式版运行 Horizon3 IoC 扫描器扫描所有托管端点轮换 RMM 凭据MSP 通知下游客户。2. Microsoft 365 Apps Excel UAF → RCE — CVSS 8.8 高风险等级 高PoC 公开恶意文件传播漏洞类型Microsoft 365 Excel 释放后使用Use-After-Free→ 远程代码执行触发条件用户打开恶意.xlsx文件威胁态势PoC 已公开存在被武器化风险官方标注为严重级别威胁建模日报June 30 漏洞情报报告微软 6 月补丁日关联背景The Hacker News 报道FreeBuf 6 月补丁日专题FreeBuf 206 漏洞分析处置建议立即应用 2026-06 微软补丁日更新限制外部 Excel 附件执行启用 AMSI / Attack Surface Reduction RulesEMOTET / Qakbot 类投递链需重点排查。3. Windows Server NTLM 反射绕过 — SYSTEM 权限提升风险等级 高PoC 已公开漏洞类型NTLM 反射绕过NTLM Reflection Bypass触发条件中间人场景或结合其他攻击链远程可获取 SYSTEM 权限威胁态势PoC 公开在野传播进一步放大了 NTLM 中继攻击的风险面威胁建模日报June 30 漏洞情报报告BleepingComputer NTLM 历史背景Netlogon RCE 在野利用处置建议域控与服务器强制 SMB/LDAPS 签名禁用 NTLMv1启用 EPAExtended Protection for Authentication部署 LDAP 通道绑定与 SMB 签名策略监控 NTLM 中继事件。二、 高危/严重 CVE 速览近 48 小时CVE 编号组件漏洞类型CVSS风险状态CVE-2026-48558SimpleHelp RMMOIDC JWT 签名验证缺失10.0CISA KEV · 在野利用CVE-2026-33825BlueHammerMicrosoft Defender本地权限提升至 SYSTEM高CISA KEV · 勒索软件利用CVE-2026-46817Oracle E-Business Suite Payments未授权远程接管9.8在野利用CVE-2026-20230Cisco Unified CM WebDialerSSRF → Root RCE严重在野利用 · CISA KEVCVE-2026-20262Cisco Catalyst SD-WAN Manager路径遍历严重在野利用 · CISA KEVCVE-2026-12569PTC Windchill/FlexPLM未认证反序列化 RCE严重在野利用 · CISA KEVMicrosoft 365 Excel无新 CVEMicrosoft 365 AppsUAF → RCE8.8PoC 公开Windows NTLM 反射Windows ServerNTLM 反射绕过高PoC 公开三、 重要漏洞详情1. SimpleHelp CVE-2026-48558RMM 认证绕过 CVSS 10.0漏洞位置OIDC 认证流程的身份令牌ID Token签名验证逻辑触发条件服务器启用 OIDC 单点登录攻击者提交未签名/篡改的 ID Token 即可创建技术员账户攻击效果获取 SimpleHelp RMM 管理员权限横向控制所有下游托管客户威胁建模专题Threat-Modeling 详细分析CISA KEV 收录CISA KEV 目录Horizon3 IoCHorizon3 攻击研究安全分析CVEFeed 漏洞卡片中文解读FreeBuf / 51CTO / CN-SEC 同步披露处置建议MSP 优先紧急升级评估过去 30 天 RMM 登录日志中的异常技术员账户创建轮换所有通过 RMM 派发的客户凭据排查 TaskWeaver 加载器 IoC。2. Microsoft 365 Excel UAF → RCE6 月 30 日新增漏洞类型Excel 释放后使用UAF可被恶意 .xlsx 文档触发触发条件用户打开/启用外部 Excel 附件攻击效果本地任意代码执行常被勒索软件 / Qakbot 类投递链武器化威胁建模日报June 30 报告微软补丁日分析The Hacker News 6 月补丁日FreeBuf 6 月解读FreeBuf 206 漏洞细节Talos 详细分析Talos Snort 规则与重点漏洞处置建议应用 6 月补丁日更新邮件网关拦截宏文档ASR 规则阻断 Office 子进程禁用宏执行优先修复高危用户财务 / HR。3. Windows Server NTLM 反射绕过6 月 30 日漏洞类型NTLM 反射NTLM Reflection攻击绕过可获取 SYSTEM 权限触发条件结合 SMB / LDAP / HTTP 等 NTLM 认证场景常作为初始访问后的权限提升阶段攻击效果SYSTEM 权限接管威胁建模日报June 30 报告NTLM 历史背景BleepingComputer Netlogon RCE处置建议域控与服务器启用强制 SMB/LDAPS 签名NLA EPA 全量开启监控 NTLM 中继告警4624/4672 异常。4. Microsoft Defender BlueHammer CVE-2026-33825确认勒索利用漏洞类型Windows Defender 本地权限提升至 SYSTEM触发条件本地低权限用户执行触发代码威胁态势勒索软件团伙已武器化利用CISA KEV 收录CISA KEV 详情CISA KEV 目录Security.nl 报道Security.nl 详情威胁建模日报June 30 报告处置建议应用 6 月 Defender 平台更新EDR 监控异常子进程强化本地权限分离蜜罐重点观察。5. Oracle E-Business Suite CVE-2026-46817在野利用持续漏洞位置Oracle Payments 文件传输组件触发条件未认证HTTP 网络访问威胁态势6 月 27-28 周末首次观测到利用6 月 29 日 Captured live attack activityCybersecurity News 报道Oracle EBS 在野利用Security.nl 报道Security.nl 详情NVD 详情NVD CVE-2026-46817处置建议应用 Oracle 2026-05 CPU 补丁EBS 接口收敛至内网监控 Oracle Payments 日志异常上传/下载。四、 关键在野利用 KEV 持续态势BOD 26-04 强制 3 天修复周期 — 累计 22 个 KEV27 个逾期CVE 编号组件状态关键链接CVE-2026-20262Cisco SD-WAN Manager在野利用 · 已逾期Threat-Modeling 专题CVE-2026-20230Cisco Unified CM在野利用 · 已逾期HelpNetSecurity 报道 · TheHackerWire 分析CVE-2026-12569PTC Windchill/FlexPLM在野利用 · Webshell 已部署BleepingComputer 报道CVE-2026-20245Cisco Catalyst SD-WAN在野利用 · 5 天逾期The Hacker News 报道CVE-2026-42271LiteLLM在野利用 · 7 天逾期Threat-Modeling 报告CVE-2026-20253Splunk Enterprise在野利用 · 10 天逾期CISA 公告CVE-2026-34908/34909/34910Ubiquiti UniFi OS × 3在野利用 · 4 天逾期Threat-Modeling 报告CVE-2025-67038Lantronix EDS5000在野利用 · 4 天逾期Threat-Modeling 报告CVE-2026-0257Palo Alto PAN-OS GlobalProtect在野利用 · 27 天逾期最久CybersecurityNews 报道数据洞察BOD 26-04 期间共新增 22 个 KEV平均 1.3 天/个。Cisco 4 个、Ubiquiti 3 个 CVSS 10.0 集中爆发。AI 框架系列Mastra、LiteLLM、AutoGen、Flowise首次成系统性 KEV 模式。五、 公开 PoC 与利用工具包1. Gitea act_runner CVE-2026-58053 容器逃逸 PoC仓库bikini/exploitarium - gitea-act-runner-container-options-poc使用步骤bash git clone https://github.com/bikini/exploitarium.git cd exploitarium/gitea-act-runner-container-options-poc # 查看 PoC 脚本marker-only验证 container.options 注入点 cat README.md漏洞机制workflowcontainer.options字段被直接拼接到 Docker HostConfig仅强制privileged: false其他--pidhost/--cap-add/--security-opt/--volume/:/host全部通过。威胁评估公共 Gitea 实例任何贡献者可发起 pull request 投递恶意 workflowCI/CD 主机被接管后所有 runner 凭据、部署密钥、源码外泄。NVD 详情NVD CVE-2026-58053OpenCVE 详情OpenCVE 漏洞卡片官方文档Gitea act_runner 使用说明威胁建模专题Threat-Modeling 详细分析NOPJ 中文解读NOPJ 漏洞分析处置建议升级 act_runner轮换所有 CI/CD 密钥审查历史 workflow 的container.options公共仓库必须启用 workflow 审批门禁。2. ANTLR4 CVE-2026-13500 解析器代码注入 PoC漏洞位置ANTLR4 OutputFile.java 语法 action block handler≤4.13.2PoC 来源Wooyun Issue Tracker使用步骤bash # 安装 ANTLR4 4.13.2 # 创建恶意 .g4 语法文件在 action 块中注入 Java 代码 # 通过 ANTLR 工具链执行时将触发代码注入威胁评估ANTLR4 是 Java/C#/Python/SQL 解析器的事实标准任何接受外部 grammar 生成的 CI/CD 流水线都面临供应链注入风险。VulDB 详情VulDB CVE-2026-13500威胁建模日报June 29 报告处置建议升级 ANTLR4 至 4.13.2拒绝未可信源 grammarCI/CD 生成代码必经审计。3. cURL CVE-2026-8932 25 年历史漏洞 PoC参考集合CVE 集合cURL 8.21.0 Security Advisory漏洞类型mTLS 连接重用导致身份验证绕过自 cURL 7.7 起潜伏 25 年使用步骤bash # 升级 cURL # Linux: 源码编译或升级到 libcurl 8.21.0 # 验证版本 curl --version威胁评估所有使用 cURL/libcurl 的客户端数亿设备、容器镜像、嵌入式系统。SecurityWeek 报道SecurityWeek 25 年漏洞分析Aisle 6 CVE 集合Aisle Blog 详细分析威胁建模专题cURL 8.21.0 安全公告处置建议升级至 cURL 8.21.0检查容器基础镜像版本mTLS 场景重新评估连接复用安全。4. Microsoft 365 Excel UAF → RCE PoCPoC 媒介恶意.xlsx文件使用步骤bash # PoC 投递通常通过钓鱼邮件附带 Excel 文档 # 受害者打开文档 → 宏/UAF 触发 → 远程代码执行 # 防御邮件网关拦截 ASR 规则威胁建模日报June 30 报告微软 6 月补丁The Hacker News 6 月补丁日Talos 规则Talos 6 月分析处置建议应用 6 月补丁日更新ASR 规则拦截 Office 子进程邮件网关宏文档拦截。5. Windows NTLM 反射绕过 PoCPoC 类别中继/反射工具链结合 ntlmrelayx、responder 等使用步骤bash # 中间人场景触发 NTLM 反射 # 攻击者监听 → 强制 NTLM 认证 → 反射到本地服务 → 提权 SYSTEM # 防御强制 SMB/LDAPS 签名 NLA EPA威胁建模日报June 30 报告NTLM 历史BleepingComputer Netlogon RCE处置建议强制 SMB/LDAPS 签名NLA EPA监控 NTLM 中继事件。6. Miasma / Mini Shai-Hulud 蠕虫供应链 PoC关联漏洞The Hacker News - Miasma 供应链攻击关联 CVE部分CVE-2026-21852 / CVE-2026-22708 / CVE-2026-33634 / CVE-2026-42271 / CVE-2026-45321 / CVE-2026-45758 / CVE-2026-46412 / CVE-2026-48027威胁评估通过 npm 包 GitHub Actions CI/CD 基础设施横向传播Shai-Hulud 蠕虫变种BleepingComputer Red Hat 报道Red Hat npm 包沦陷Security Boulevard 报道Miasma 蠕虫波及数百 npm 包处置建议审计package-lock.json固定可信版本CI/CD 凭据轮换GitHub Actions 权限最小化。7. Edgecution 恶意 Edge 扩展 → Python 后门 PoC攻击链恶意 Edge 扩展 → Native Messaging 协议 → 沙箱逃逸 → Python 后门关联事件BleepingComputer - 恶意 Edge 扩展Payouts King 勒索分析HendryAdrian 报告TechRadar 报道TechRadar 详细分析GBHackers 报道GBHackers Payouts King 分析处置建议Edge 扩展白名单监控 Native Messaging 主机进程禁用未签名扩展。六、 精选网络安全文章漏洞与事件报道F5 Labs Weekly Threat Bulletin – July 1st, 2026本周威胁公报 — Cisco UCM Webshell、Chrome 149 18 个严重漏洞、cURL 25 年漏洞、Miasma 蠕虫、Edgecution 勒索五大主题Threat-Modeling Vulnerability Intelligence Report – June 30, 20266 月 30 日报告 — SimpleHelp CVSS 10.0 Oracle EBS Defender BlueHammer WolfSSL Excel UAF NTLM 反射Threat-Modeling Vulnerability Intelligence Report – June 29, 20266 月 29 日报告 — BOD 26-04 22 KEV 周期结束回顾 ANTLR4 Gitea act_runner Windows Secure BootThreat-Modeling Vulnerability Intelligence Report – June 28, 20266 月 28 日报告 — FFmpeg RASC RustDesk libssh2 Node.js TLSThe Hacker News – Microsoft Patches Record 206 Flaws6 月补丁日报道 — 3 个零日 39 个严重漏洞FreeBuf – 微软 2026 年 6 月补丁日206 漏洞深度分析 — 中文详细解读Talos Blog – Microsoft Patch Tuesday June 2026Talos 规则与重点漏洞 — Snort 规则集CybersecurityNews – Microsoft June 2026 Patch Tuesday198/206 漏洞分析 — 零日攻击链分析BleepingComputer – Microsoft June 2026 Patch Tuesday6 个零日修复 — RoguePlanet/CTFMON 零日详情SecurityWeek – 25-Year-Old Vulnerability Patched in curlcURL 25 年漏洞 — cURL 8.21.0 公告SecurityWeek – Chrome 149 Update Resolves 18 Severe VulnerabilitiesChrome 149 详情 — WebGL UAF CVSS 9.6HelpNetSecurity – Cisco Unified CM Flaw Exploited to Drop WebshellsCisco UCM Webshell 详情 — 自动化攻击链The Hacker News – Miasma Supply Chain AttackMiasma 供应链攻击 — 数百 npm 包沦陷BleepingComputer – Red Hat npm Packages CompromisedRed Hat npm 包沦陷 — 官方渠道被植入后门BleepingComputer – Malicious Edge Extension Abuses Native Messaging恶意 Edge 扩展 — 沙箱逃逸链Ars Technica – Dozens of Red Hat Packages BackdooredRed Hat 供应链攻击深度报道 — npm 渠道供应链CybersecurityNews – Windows Secure Boot Certificate ExpiredWindows Secure Boot 证书过期 — 运营性事件SecurityBoulevard – Miasma Wave Hits Hundreds of npm PackagesMiasma 蠕虫大规模爆发 — Shai-Hulud 演化The Hacker News – CISA Adds Cisco, Chrome, Arista Flaws to KEVCISA KEV 6 月 10 日更新 — 多个 7.8 CVSS 漏洞BleepingComputer – Critical Windows Netlogon RCE Flaw Now ExploitedNetlogon 在野利用 — 5 月补丁日漏洞武器化中文安全社区精选FreeBuf 漏洞频道FreeBuf 漏洞总览 — 每日漏洞速递FreeBuf 早报 – 2026 年 AI 推动 CVE 激增至 6.6 万AI 与 CVE 增长 — Langflow CVE-2026-5027 复现CN-SEC – 2026 年高危漏洞 TOP10 盘点TOP10 修复实战 — Q1 1847 个高危漏洞分析腾讯云开发者 – 2026 多品类高危漏洞与新型复合攻击复合网络攻击检测 — PAN-OS/Linux/OAuth 四层防御知乎 – 2026 年上半年全球常规被利用漏洞全景上半年漏洞全景 — 25 个被攻击者利用 CVE 深度分析厂商与研究公告Microsoft – RoguePlanet Zero-Day Tracked as CVE-2026-50656Defender 零日 — Defender Windows 11/10 零日修复Cisco Security Advisory – Unified CM SSRFCisco UCM 官方公告 — WebDialer 详细说明GitHub Security Blog – Securing the git push pipelineCVE-2026-3854 GitHub 响应 — 4 月 RCE 事件复盘Wiz Blog – GitHub RCE CVE-2026-3854 BreakdownWiz 详细分析 — 共享存储节点影响SecurityAffairs – CVE-2026-3854 GitHub FlawSecurityAffairs 报道 — 远程代码执行分析七、️ 本期重点防御建议立即行动24 小时内SimpleHelp 紧急升级— 5.5.16 / 6.0 正式版MSP 优先排查 RMM 异常技术员账户Cisco UCM 补丁— WebDialer 默认未启用启用环境需立即应用 Cisco 安全公告补丁Excel UAF 防护— 邮件网关拦截宏/外部 Excel 附件ASR 规则启用NTLM 反射加固— 强制 SMB/LDAPS 签名NLA EPA 全量本周行动BOD 26-04 逾期 27 项 KEV 全部清账— 重点 Cisco 4 个 Ubiquiti 3 个Gitea act_runner 升级— 公共 Gitea 实例优先轮换 CI/CD 密钥Microsoft Defender 平台更新— BlueHammer LPE RoguePlanet 零日Windows Secure Boot 证书更新— 应用 OEM UEFI 固件更新Linux shim 更新Oracle EBS 5 月 CPU 补丁— 收敛 EBS 接口至内网cURL/libcurl 8.21.0 升级— 容器基础镜像 嵌入式系统战略建议AI 工具供应链审计— Langflow/Mastra/AutoGen/Flowise 等 AI 框架均已进 KEV定期评估 AI 平台攻击面MSP / RMM 攻击面收敛— 2026 上半年 MSP 供应链成重点目标SimpleHelp/Kaseya 模式KEV 周期复盘— 22 个 KEV / 27 个逾期 / 3 天 BOD 强制周期需在运营层面建立 72 小时修复能力NTLM 退役路线图— 全面转向 Kerberos 证书认证减少中继攻击面CI/CD 零信任— 强制 workflow 审批门禁公共仓库 PR 必须人工 review八、 本期关键数据指标数值数据窗口2026-06-28 ~ 2026-07-01高危/严重 CVE近 48 小时8公开 PoC 数量7在野利用 CVE 持续9KEV 累计 22逾期 27数据来源8F5 Labs、Threat-Modeling、BleepingComputer、The Hacker News、FreeBuf、SecurityWeek、Cisco、Microsoft九、 报告引用来源汇总来源链接类型F5 Labs Weekly Threat Bulletinf5.com/labs威胁情报周报Threat-Modeling.comthreat-modeling.com漏洞情报日报CISA KEVcisa.gov/known-exploited-vulnerabilities-catalog官方 KEV 目录NVDnvd.nist.gov官方漏洞数据库BleepingComputerbleepingcomputer.com安全新闻The Hacker Newsthehackernews.com安全新闻SecurityWeeksecurityweek.com安全新闻FreeBuffreebuf.com中文安全社区HelpNetSecurityhelpnetsecurity.com安全新闻Talos Intelligenceblog.talosintelligence.com思科 TalosGitHub Security Labgithub.com/advisories漏洞公告阿里云 AVDavd.aliyun.com中文漏洞库Horizon3.aihorizon3.ai攻击研究CVEFeedcvefeed.io漏洞聚合Microsoft Securitymsrc.microsoft.com微软公告本报告由自动化威胁情报流程生成数据来源覆盖官方漏洞数据库、厂商安全公告、安全研究机构与社区媒体。报告聚焦近 24-48 小时高风险漏洞所有外部链接均使用 Markdown 锚文本格式便于点击跳转。