绿盟科技CERT

【漏洞通告】Nginx远程代码执行漏洞（CVE-2026-42945）

Thu, 14 May 2026 18:33:28 +0800

跳转微信打开

【已复现】Linux内核Fragnesia权限提升漏洞（CVE-2026-46300）

Thu, 14 May 2026 18:33:00 +0800

原创 NS-CERT 2026-05-14 18:33 北京

近日，绿盟科技CERT监测到网上披露了Linux内核Fragnesia权限提升漏洞（CVE-2026-46300）。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

通告编号 NS-2026-0014

2026-05-14

TAG：	Linux、kernel、CVE-2026-46300
漏洞危害：	攻击者利用此漏洞，可实现系统权限提升。
版本：	1.0

漏洞概述

近日，绿盟科技CERT监测到网上披露了Linux内核Fragnesia权限提升漏洞（CVE-2026-46300），Fragnesia是Dirty Frag的一个新变种；由于ESP-in-TCP子系统在skb合并过程中对共享页面片段的处理存在逻辑缺陷，具有普通权限的本地攻击者可通过构造特定的splice+ULP触发序列向/usr/bin/su等关键二进制文件的页缓存注入任意字节，从而获取系统root权限。在多租户服务器、跳板机或容器云环境中，普通用户及容器内进程可借此实现本地提权或容器逃逸。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

注：该漏洞具有极高的稳定性和隐蔽性。攻击者通过运行简短脚本，即可精准篡改 su 等高权限程序在内存中的执行指令；由于该利用过程属于确定性逻辑触发，不依赖竞态条件，且仅篡改内存数据而不破坏磁盘原始文件，导致基于磁盘扫描的传统安全工具难以实时发现。

Linux内核是操作系统的核心组件，负责进程管理、内存管理、设备驱动、文件系统及网络协议栈等关键功能，广泛部署于服务器、桌面系统及嵌入式设备中。esp4和esp6模块是IPsec协议栈的核心组件，分别负责处理IPv4和IPv6的ESP（Encapsulating Security Payload）协议数据包，是实现IPsec的加密、认证和封装流量的关键机制。rxrpc模块是实现RxRPC（Remote Procedure Call over unreliable datagram networks）协议的核心组件，专为在不可靠的UDP网络上提供可靠的远程过程调用（RPC）通信而设计。

绿盟科技已成功复现此漏洞：

参考链接：

https://access.redhat.com/security/cve/CVE-2026-46300

SEE MORE →

2影响范围

受影响版本

• cef401de7be8 <= commit < 2026.5.13补丁内核版本

注：此漏洞从SKBFL_SHARED_FRAG机制引入，影响Ubuntu、Debian、RHEL、openSUSE、CentOS、AlmaLinux、Fedora、Arch Linux等绝大多数Linux发行版。

不受影响版本

注：可升级至各发行版应用上游补丁[PATCH net] net: skbuff: preserve shared-frag marker during coalescing的内核版本

3漏洞检测

3.1人工检测

Linux系统用户可以通过查看内核版本来判断当前系统是否在受影响范围内，查看操作系统版本信息命令如下：

cat /proc/version

可使用下列命令检查esp4/esp6/rxrpc模块的状态：

lsmod | grep -E '^(esp4|esp6|rxrpc)'

注：若系统内核在受影响范围且加载了相关模块，则存在安全风险。

4漏洞防护

4.1官方升级

目前官方已发布安全补丁修复此漏洞，请受影响的用户尽快更新进行防护，下载链接：https://lists.openwall.net/netdev/2026/05/13/79

4.2其他防护措施

若相关用户暂时无法进行升级更新，可使用以下措施进行临时防护：

1、相关用户可通过禁用esp4/esp6/rxrpc模块以阻断攻击面：

rmmod esp4 esp6 rxrpcprintf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf

2、在容器或云环境中，建议通过Seccomp配置禁止进程创建AF_ALG类型的套接字，拦截非特权用户命名空间创建，以防止逃逸风险。

3、监测/etc/passwd、/etc/sudoers、/etc/shadow、/usr/bin/su等关键文件异常篡改，限制普通用户splice、add_key、unshare等高风险调用。

END

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【安全更新】微软5月安全更新多个产品高危漏洞通告

Wed, 13 May 2026 17:56:00 +0800

原创 NS-CERT 2026-05-13 17:56 四川

5月13日，绿盟科技CERT监测到微软发布5月安全更新补丁，修复了137个安全问题，涉及Windows、Microsoft Office、Microsoft SQL Server、Visual Studio Code、Azure等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。

通告编号 NS-2026-0013

2026-05-13

TAG：	安全更新、Windows、Office、SQL Server、Azure
漏洞危害：	攻击者利用本次安全更新中的漏洞，可造成权限提升、远程代码执行等
版本：	1.0

漏洞概述

本月微软月度更新修复的漏洞中，严重程度为关键（Critical）的漏洞有30个，重要（Important）漏洞有103个，中危（Moderate）漏洞有3个，低危（Low）漏洞有1个。

请相关用户尽快更新补丁进行防护，完整漏洞列表请参考附录。

参考链接：

https://msrc.microsoft.com/update-guide/releaseNote/2026-May

SEE MORE →

2重点漏洞简述

根据产品流行度和漏洞重要性筛选出此次更新中包含影响较大的漏洞，请相关用户重点进行关注：

Windows Native WiFi Miniport Driver远程代码执行漏洞（CVE-2026-32161）：

由于Windows Native WiFi微型端口驱动程序中存在竞争条件和释放后重用（use-after-free）漏洞，攻击者可以使用共享资源进行并发处理触发竞态条件，从而在相邻网络上执行任意代码。CVSS评分7.5。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32161

Windows GDI远程代码执行漏洞（CVE-2026-35421）:

由于Windows 图形设备接口 (GDI) 中存在基于堆的缓冲区溢出漏洞，攻击者可以诱导用户使用Microsoft Paint打开特制的增强型图元文件 (EMF) 进行触发，从而在目标系统上执行任意代码。CVSS评分7.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-35421

Windows Graphics Component远程代码执行漏洞（CVE-2026-40403）:

由于Windows图形组件Win32K中存在基于堆的缓冲区溢出漏洞，经过身份验证的攻击者可通过访问受影响的本地虚拟机接口触发漏洞，从而进行容器逃逸或代码执行。CVSS评分8.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40403

Microsoft Office远程代码执行漏洞（CVE-2026-40358）:

Microsoft Office 中存在释放后重用（use-after-free）漏洞，未经身份验证的攻击者可通过向用户发送特制的恶意文档，诱导用户预览或打开后会导致任意代码执行。CVSS评分8.4。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40358

Microsoft Office远程代码执行漏洞（CVE-2026-40363/CVE-2026-42831）:

Microsoft Office 中存在两个基于堆的缓冲区溢出漏洞，未经身份验证的攻击者向用户发送特制的恶意文档，诱导用户打开后造成任意代码执行。CVSS评分为8.4与7.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40363

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42831

Microsoft Word远程代码执行漏洞（CVE-2026-40361/CVE-2026-40366）:

由于Microsoft Word中存在两个释放后重用（use-after-free）漏洞，未经身份验证的攻击者可通过诱导用户下载并预览或打开特制的文件，从而在用户上下文中执行代码。CVSS评分8.4。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40361

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40366

Microsoft Word远程代码执行漏洞（CVE-2026-40364/CVE-2026-40367）:

由于Microsoft Word 中存在类型混淆和不可信指针解引用漏洞，未经身份验证的攻击者可通过向用户发送特制的恶意文件，诱导用户预览或点击后会导致任意代码执行。CVSS评分8.4。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40364

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40367

Microsoft SharePoint Server远程代码执行漏洞（CVE-2026-40365）:

由于Microsoft SharePoint对访问控制粒度不足，具有站点所有者及以上权限的攻击者可以编写任意代码并进行注入，从而在SharePoint服务器上执行。CVSS评分8.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40365

Windows TCP/IP远程代码执行漏洞（CVE-2026-40415）:

Windows TCP/IP中存在远程代码执行漏洞，由于TCP/IP协议中的释放后重用（use-after-free）问题，未经身份验证的攻击者可通过发送特殊设计的恶意数据包利用此漏洞执行任意代码。CVSS评分8.1。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40415

Windows Netlogon远程代码执行漏洞（CVE-2026-41089）:

由于Windows Netlogon服务中存在基于栈的缓冲区溢出漏洞，未经身份验证的攻击者可以向充当域控制器的Windows服务器发送特制网络请求，从而在受影响的系统上执行代码。CVSS评分9.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089

Windows DNS Client远程代码执行漏洞（CVE-2026-41096）:

由于Windows DNS客户端中存在基于堆的缓冲区溢出漏洞，未经身份验证的攻击者可通过发送特制的 DNS 响应来触发内存损坏，从而在受影响的系统上远程执行代码。CVSS评分9.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41096

Microsoft SSO Plugin for Jira & Confluence权限提升漏洞（CVE-2026-41103）:

由于Microsoft SSO Plugin for Jira&Confluence中的身份验证算法存在缺陷，未经身份验证的攻击者可通过发送伪造SSO响应绕过系统身份验证，从而获得用户的Jira或Confluence账户权限。CVSS评分9.1。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41103

Microsoft Dynamics 365 On-Premises远程代码执行漏洞（CVE-2026-42898）:

由于Microsoft Dynamics 365 (本地版) 中对代码生成的管控不严，经过身份验证的攻击者可通过修改Dynamics CRM中进程会话的保存状态，从而导致服务器执行恶意代码。CVSS评分9.9。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42898

3影响范围

以下为部分重点关注漏洞的受影响产品版本，其他漏洞影响产品范围请参阅官方通告链接。

漏洞编号	受影响产品版本
CVE-2026-32161 CVE-2026-35421 CVE-2026-40403	Windows 11 Version 25H2 for x64-based Systems Windows 11 Version 25H2 for ARM64-based Systems Windows Server 2025 (Server Core installation) Windows 10 Version 22H2 for 32-bit Systems Windows 10 Version 22H2 for ARM64-based Systems Windows 10 Version 22H2 for x64-based Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 11 Version 26H1 for ARM64-based Systems Windows 11 version 26H1 for x64-based Systems Windows Server 2025 Windows 11 Version 24H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation) Windows 11 Version 23H2 for x64-based Systems Windows 11 Version 23H2 for ARM64-based Systems
CVE-2026-40358	Microsoft Office 2016 (64-bit edition) Microsoft Office 2016 (32-bit edition) Microsoft Office LTSC for Mac 2024 Microsoft Office LTSC 2024 for 64-bit editions Microsoft Office LTSC 2024 for 32-bit editions Microsoft Office LTSC 2021 for 32-bit editions Microsoft Office LTSC 2021 for 64-bit editions Microsoft Office LTSC for Mac 2021 Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Office 2019 for 64-bit editions Microsoft Office 2019 for 32-bit editions
CVE-2026-40363	Microsoft Office LTSC for Mac 2021 Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Office 2019 for 64-bit editions Microsoft Office 2019 for 32-bit editions Microsoft Office for Android Microsoft Office 2016 (64-bit edition) Microsoft Office 2016 (32-bit edition) Microsoft Office LTSC for Mac 2024 Microsoft Office LTSC 2024 for 64-bit editions Microsoft Office LTSC 2024 for 32-bit editions Microsoft Office LTSC 2021 for 32-bit editions Microsoft Office LTSC 2021 for 64-bit editions
CVE-2026-42831	Microsoft Office LTSC for Mac 2024 Microsoft Office for Android Microsoft Office LTSC for Mac 2021
CVE-2026-40361 CVE-2026-40364 CVE-2026-40366	Microsoft Word 2016 (64-bit edition) Microsoft Word 2016 (32-bit edition) Microsoft Office LTSC for Mac 2024 Microsoft Office LTSC 2024 for 64-bit editions Microsoft Office LTSC 2024 for 32-bit editions Microsoft Office LTSC 2021 for 32-bit editions Microsoft Office LTSC 2021 for 64-bit editions Microsoft Office LTSC for Mac 2021 Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Office 2019 for 64-bit editions Microsoft Office 2019 for 32-bit editions
CVE-2026-40367	Microsoft Word 2016 (64-bit edition) Microsoft Word 2016 (32-bit edition) Microsoft Office LTSC for Mac 2024 Microsoft Office LTSC 2024 for 64-bit editions Microsoft Office LTSC 2024 for 32-bit editions Microsoft SharePoint Server Subscription Edition Microsoft Office LTSC 2021 for 32-bit editions Microsoft Office LTSC 2021 for 64-bit editions Microsoft Office LTSC for Mac 2021 Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Office 2019 for 64-bit editions Microsoft Office 2019 for 32-bit editions Microsoft SharePoint Server 2019 Microsoft SharePoint Enterprise Server 2016
CVE-2026-40365	Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Server 2019 Microsoft SharePoint Enterprise Server 2016
CVE-2026-40415	Windows 11 Version 24H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation) Windows 11 Version 23H2 for x64-based Systems Windows 11 Version 23H2 for ARM64-based Systems Windows 11 Version 25H2 for x64-based Systems Windows 11 Version 25H2 for ARM64-based Systems Windows Server 2025 (Server Core installation) Windows 10 Version 22H2 for 32-bit Systems Windows 10 Version 22H2 for ARM64-based Systems Windows 10 Version 22H2 for x64-based Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows Server 2022 (Server Core installation) Windows Server 2022 Windows 11 Version 26H1 for ARM64-based Systems Windows 11 version 26H1 for x64-based Systems Windows Server 2025 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems
CVE-2026-41089	Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2025 Windows Server 2022, 23H2 Edition (Server Core installation) Windows Server 2025 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019
CVE-2026-41096	Windows 11 Version 26H1 for ARM64-based Systems Windows 11 version 26H1 for x64-based Systems Windows Server 2025 Windows 11 Version 24H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation) Windows 11 Version 23H2 for x64-based Systems Windows 11 Version 23H2 for ARM64-based Systems Windows 11 Version 25H2 for x64-based Systems Windows 11 Version 25H2 for ARM64-based Systems Windows Server 2025 (Server Core installation)
CVE-2026-41103	Microsoft Confluence SAML SSO plugin Microsoft JIRA SAML SSO plugin
CVE-2026-42898	Microsoft Dynamics 365 (on-premises) version 9.1

4漏洞防护

补丁更新

目前微软官方已针对受支持的产品版本发布了修复以上漏洞的安全补丁，强烈建议受影响用户尽快安装补丁进行防护，官方下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2026-May

注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。

右键点击Windows图标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况。

针对未成功安装的更新，可点击更新名称跳转到微软官方下载页面，建议用户点击该页面上的链接，转到“Microsoft更新目录”网站下载独立程序包并安装。

附录：漏洞列表

影响产品	CVE编号	漏洞标题	严重程度
Azure	CVE-2026-40379	Microsoft Enterprise Security Token Service (ESTS)欺骗漏洞	Critical
Azure	CVE-2026-32207	Azure Machine Learning Notebook欺骗漏洞	Critical
Azure	CVE-2026-33109	Azure Managed Instance for Apache Cassandra远程代码执行漏洞	Critical
Windows	CVE-2026-35421	Windows GDI远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-40363	Microsoft Office远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-40364	Microsoft Word远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-40366	Microsoft Word远程代码执行漏洞	Critical
Windows	CVE-2026-41089	Windows Netlogon远程代码执行漏洞	Critical
Windows	CVE-2026-41096	Windows DNS Client远程代码执行漏洞	Critical
Windows	CVE-2026-32161	Windows Native WiFi Miniport Driver远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-42831	Microsoft Office远程代码执行漏洞	Critical
Microsoft Dynamics	CVE-2026-42898	Microsoft Dynamics 365 On-Premises远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-40358	Microsoft Office远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-40361	Microsoft Word远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-40365	Microsoft SharePoint Server远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-40367	Microsoft Word远程代码执行漏洞	Critical
Windows	CVE-2026-40402	Windows Hyper-V权限提升漏洞	Critical
Azure	CVE-2026-41103	Microsoft SSO Plugin for Jira & Confluence权限提升漏洞	Critical
Microsoft Dynamics	CVE-2026-33821	Microsoft Dynamics 365 Customer Insights权限提升漏洞	Critical
Apps	CVE-2026-26129	M365 Copilot信息泄露漏洞	Critical
Copilot Chat (Microsoft Edge)	CVE-2026-33111	Copilot Chat (Microsoft Edge)信息泄露漏洞	Critical
Apps	CVE-2026-26164	M365 Copilot信息泄露漏洞	Critical
Microsoft Office	CVE-2026-33823	Microsoft Team Events Portal信息泄露漏洞	Critical
Azure	CVE-2026-33844	Azure Managed Instance for Apache Cassandra远程代码执行漏洞	Critical
Azure	CVE-2026-34327	Microsoft Partner Center欺骗漏洞	Critical
Azure	CVE-2026-35428	Azure Cloud Shell欺骗漏洞	Critical
Azure	CVE-2026-35435	Azure AI Foundry权限提升漏洞	Critical
Azure DevOps	CVE-2026-42826	Azure DevOps信息泄露漏洞	Critical
Azure	CVE-2026-41105	Azure Monitor Action Group Notification System权限提升漏洞	Critical
Windows	CVE-2026-40403	Windows Graphics Component远程代码执行漏洞	Critical
Azure	CVE-2026-32204	Azure Monitor Agent权限提升漏洞	Important
Microsoft .NET Framework,.NET 9.0 installed on Windows,.NET 10.0 installed on Windows,Microsoft Visual Studio,.NET 8.0 installed on Windows	CVE-2026-32177	.NET权限提升漏洞	Important
Windows	CVE-2026-21530	Windows Rich Text Edit权限提升漏洞	Important
Azure	CVE-2026-33117	Azure SDK for Java安全功能绕过漏洞	Important
Windows	CVE-2026-33834	Windows Event Logging Service权限提升漏洞	Important
Windows	CVE-2026-33839	Win32k权限提升漏洞	Important
Windows	CVE-2026-33840	Win32k权限提升漏洞	Important
Windows	CVE-2026-33841	Windows Kernel权限提升漏洞	Important
Windows	CVE-2026-34329	Microsoft Message Queuing (MSMQ)远程代码执行漏洞	Important
Windows	CVE-2026-34330	Win32k权限提升漏洞	Important
Windows	CVE-2026-34331	Win32k权限提升漏洞	Important
Windows	CVE-2026-34333	Windows Win32k权限提升漏洞	Important
Windows	CVE-2026-34342	Windows Print Spooler权限提升漏洞	Important
Windows	CVE-2026-34343	Windows Application Identity (AppID) Subsystem权限提升漏洞	Important
Windows	CVE-2026-34344	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-34345	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-34347	Windows Win32k权限提升漏洞	Important
Windows	CVE-2026-34350	Windows Storport Miniport Driver拒绝服务漏洞	Important
Windows	CVE-2026-34351	Windows TCP/IP权限提升漏洞	Important
Windows	CVE-2026-35415	Windows Storage Spaces Controller权限提升漏洞	Important
Windows	CVE-2026-35416	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-35417	Windows Win32k权限提升漏洞	Important
Windows	CVE-2026-35418	Windows Cloud Files Mini Filter Driver权限提升漏洞	Important
Windows	CVE-2026-35419	Windows DWM Core Library Information Disclosure Vulnerability	Important
Windows	CVE-2026-35420	Windows Kernel权限提升漏洞	Important
Windows	CVE-2026-35422	Windows TCP/IP Driver安全功能绕过漏洞	Important
Windows	CVE-2026-35423	Windows 11 Telnet Client信息泄露漏洞	Important
Windows	CVE-2026-35424	Internet Key Exchange (IKE) Protocol拒绝服务漏洞	Important
.NET 8.0 installed on Windows,.NET 10.0 installed on Windows,.NET 9.0 installed on Windows	CVE-2026-35433	.NET权限提升漏洞	Important
Windows	CVE-2026-35438	Windows Admin Center权限提升漏洞	Important
Microsoft Office	CVE-2026-35439	Microsoft SharePoint Server远程代码执行漏洞	Important
Microsoft Office	CVE-2026-35440	Microsoft Word信息泄露漏洞	Important
Microsoft Office	CVE-2026-40360	Microsoft Excel信息泄露漏洞	Important
Microsoft Office	CVE-2026-40368	Microsoft SharePoint Server远程代码执行漏洞	Important
Microsoft Dynamics	CVE-2026-40374	Microsoft Power Automate Desktop信息泄露漏洞	Important
Windows	CVE-2026-40377	Microsoft Cryptographic Services权限提升漏洞	Important
Windows	CVE-2026-40380	Windows Volume Manager Extension Driver远程代码执行漏洞	Important
Windows	CVE-2026-40399	Windows TCP/IP权限提升漏洞	Important
Windows	CVE-2026-40405	Windows TCP/IP拒绝服务漏洞	Important
Windows	CVE-2026-40406	Windows TCP/IP信息泄露漏洞	Important
Windows	CVE-2026-40407	Windows Common Log File System Driver权限提升漏洞	Important
Windows	CVE-2026-40408	Windows WAN ARP Driver权限提升漏洞	Important
Windows	CVE-2026-40410	Windows SMB Client权限提升漏洞	Important
Windows	CVE-2026-40414	Windows TCP/IP拒绝服务漏洞	Important
Windows	CVE-2026-40415	Windows TCP/IP远程代码执行漏洞	Important
Microsoft Dynamics	CVE-2026-40417	Microsoft Dynamics 365 Business Central权限提升漏洞	Important
Microsoft Office	CVE-2026-40419	Microsoft Office Click-To-Run权限提升漏洞	Important
Microsoft Office	CVE-2026-40421	Microsoft Word信息泄露漏洞	Important
Windows	CVE-2026-41088	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Microsoft Data Formulator	CVE-2026-41094	Microsoft Data Formulator远程代码执行漏洞	Important
Windows	CVE-2026-41095	Data Deduplication权限提升漏洞	Important
Apps	CVE-2026-41100	Microsoft 365 Copilot for Android欺骗漏洞	Important
Apps	CVE-2026-41101	Microsoft Word for Android欺骗漏洞	Important
Microsoft Office	CVE-2026-41102	Microsoft PowerPoint for Android欺骗漏洞	Important
Visual Studio Code	CVE-2026-41109	GitHub Copilot and Visual Studio Code安全功能绕过漏洞	Important
Visual Studio Code	CVE-2026-41610	Visual Studio Code安全功能绕过漏洞	Important
Visual Studio Code	CVE-2026-41611	Visual Studio Code远程代码执行漏洞	Important
Visual Studio Code - Live Preview extension	CVE-2026-41612	Visual Studio Code信息泄露漏洞	Important
Apps	CVE-2026-41614	M365 Copilot for Desktop欺骗漏洞	Important
Windows	CVE-2026-32170	Windows Rich Text Edit权限提升漏洞	Important
Microsoft Office	CVE-2026-32185	Microsoft Teams欺骗漏洞	Important
.NET 8.0 installed on Windows,.NET 10.0 installed on Windows,.NET 9.0 installed on Windows,Microsoft Visual Studio	CVE-2026-32175	.NET Core篡改漏洞	Important
Windows	CVE-2026-42825	Windows Telephony Service权限提升漏洞	Important
Windows	CVE-2026-42896	Windows DWM Core Library权限提升漏洞	Important
.NET 10.0 installed on Linux,.NET 9.0 installed on Mac OS,.NET 9.0 installed on Windows,.NET 10.0 installed on Mac OS,.NET 8.0 installed on Mac OS,.NET 10.0 installed on Windows,.NET 8.0 installed on Linux,.NET 8.0 installed on Windows,.NET 9.0 installed on Linux	CVE-2026-42899	ASP.NET Core拒绝服务漏洞	Important
Microsoft Office	CVE-2026-33110	Microsoft SharePoint Server远程代码执行漏洞	Important
Microsoft Office	CVE-2026-33112	Microsoft SharePoint Server远程代码执行漏洞	Important
Azure	CVE-2026-33833	Azure Machine Learning Notebook欺骗漏洞	Important
Windows	CVE-2026-33835	Windows Cloud Files Mini Filter Driver权限提升漏洞	Important
Windows	CVE-2026-33837	Windows TCP/IP Local权限提升漏洞	Important
Windows	CVE-2026-33838	Windows Message Queuing (MSMQ)权限提升漏洞	Important
Windows	CVE-2026-34332	Windows Kernel-Mode Driver远程代码执行漏洞	Important
Windows	CVE-2026-34334	Windows TCP/IP权限提升漏洞	Important
Windows	CVE-2026-34336	Windows DWM Core Library Information Disclosure Vulnerability	Important
Windows	CVE-2026-34337	Windows Cloud Files Mini Filter Driver权限提升漏洞	Important
Windows	CVE-2026-34338	Windows Telephony Service权限提升漏洞	Important
Windows	CVE-2026-34339	Windows Lightweight Directory Access Protocol (LDAP)拒绝服务漏洞	Important
Windows	CVE-2026-34340	Windows Projected File System权限提升漏洞	Important
Windows	CVE-2026-34341	Windows Link-Layer Discovery Protocol (LLDP)权限提升漏洞	Important
Microsoft Office	CVE-2026-40357	Microsoft SharePoint Server远程代码执行漏洞	Important
Microsoft Office	CVE-2026-40359	Microsoft Excel远程代码执行漏洞	Important
Microsoft Office	CVE-2026-40362	Microsoft Excel远程代码执行漏洞	Important
Microsoft SQL Server	CVE-2026-40370	SQL Server远程代码执行漏洞	Important
Windows	CVE-2026-40369	Windows Kernel权限提升漏洞	Important
Windows	CVE-2026-40382	Windows Telephony Service权限提升漏洞	Important
Windows	CVE-2026-40397	Windows Common Log File System Driver权限提升漏洞	Important
Windows	CVE-2026-32209	Windows Filtering Platform (WFP)安全功能绕过漏洞	Important
Windows	CVE-2026-40398	Windows Remote Desktop Services权限提升漏洞	Important
Windows	CVE-2026-40401	Windows TCP/IP拒绝服务漏洞	Important
Windows	CVE-2026-40413	Windows TCP/IP拒绝服务漏洞	Important
Microsoft Office	CVE-2026-40418	Microsoft Office Click-To-Run权限提升漏洞	Important
Microsoft Office	CVE-2026-35436	Microsoft Office Click-To-Run权限提升漏洞	Important
Microsoft Office	CVE-2026-40420	Microsoft Office Click-To-Run权限提升漏洞	Important
Windows	CVE-2026-41097	Secure Boot安全功能绕过漏洞	Important
Azure	CVE-2026-40381	Azure Connected Machine Agent权限提升漏洞	Important
Visual Studio Code	CVE-2026-41613	Visual Studio Code权限提升漏洞	Important
Azure	CVE-2026-42823	Azure Logic Apps权限提升漏洞	Important
Azure	CVE-2026-42830	Azure Monitor Agent Metrics Extension权限提升漏洞	Important
Apps,Microsoft Office	CVE-2026-42832	Microsoft Office欺骗漏洞	Important
Microsoft Dynamics	CVE-2026-42833	Microsoft Dynamics 365 On-Premises远程代码执行漏洞	Important
Microsoft Edge (Chromium-based)	CVE-2026-42838	Microsoft Edge (Chromium-based)权限提升漏洞	Important
Microsoft Office	CVE-2026-42893	Microsoft Outlook for iOS篡改漏洞	Important
Azure	CVE-2026-41086	Windows Admin Center in Azure Portal权限提升漏洞	Important
Microsoft Edge (Chromium-based)	CVE-2026-41107	Microsoft Edge (Chromium-based)信息泄露漏洞	Moderate
Microsoft Edge for Android	CVE-2026-42891	Microsoft Edge (Chromium-based) for Android欺骗漏洞	Moderate
Microsoft Edge for Android	CVE-2026-35429	Microsoft Edge (Chromium-based) for Android欺骗漏洞	Moderate
Microsoft Edge (Chromium-based)	CVE-2026-40416	Microsoft Edge (Chromium-based) for Android欺骗漏洞	Low

END

声明

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【漏洞通告】Linux内核权限提升漏洞（Dirty Frag）

Fri, 08 May 2026 13:56:00 +0800

原创 NS-CERT 2026-05-08 13:56 四川

近日，绿盟科技CERT监测到网上披露了Linux内核权限提升漏洞（Dirty Frag），攻击者利用splice系统调用配合xfrm-ESP或RxRPC协议栈的逻辑缺陷，无需竞争条件即可获取系统root权限。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

通告编号 NS-2026-0012

2026-05-08

TAG：	Linux、kernel、Dirty Frag
漏洞危害：	攻击者利用此漏洞，可实现系统权限提升。
版本：	1.0

漏洞概述

近日，绿盟科技CERT监测到网上披露了Linux内核权限提升漏洞（Dirty Frag），攻击者利用splice系统调用配合xfrm-ESP或RxRPC协议栈的逻辑缺陷，无需竞争条件即可篡改任意只读文件的页缓存获取系统root权限，在多租户服务器、跳板机或容器云环境中，普通用户及容器内进程可借此实现本地提权或容器逃逸。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

xfrm-ESP Page-Cache Write：由于esp4/esp6模块中存在逻辑缺陷，具有创建用户命名空间权限的本地攻击者可通过Netlink接口构造特制的ESP数据包篡改页缓存，从而修改关键系统文件获取root权限。

RxRPC Page-Cache Write：由于rxrpc模块存在逻辑缺陷，具有普通权限的本地攻击者可通过创建AF_RXRPC套接字构造特殊RxRPC调用篡改页缓存，从而修改关键系统文件获取root权限。

注：该漏洞具有极高的稳定性和隐蔽性。攻击者通过运行简单脚本，即可精准篡改系统任意只读文件的页缓存；由于该利用过程属于确定性逻辑触发，不依赖竞态条件，且仅篡改内存数据而不破坏磁盘原始文件，导致基于磁盘扫描的传统安全工具难以实时发现。

目前已在多个Linux发行版复现此漏洞：

参考链接：

https://www.openwall.com/lists/oss-security/2026/05/07/8

SEE MORE →

2影响范围

受影响版本

xfrm-ESP Page-Cache Write：

• Linux kernel >= 4.11（commit cac2661c53f3，2017-01-17引入）

RxRPC Page-Cache Write：

• Linux kernel >= 6.5（commit 2dc334f1a63a，2023-06引入）

注：影响Ubuntu、Debian、RHEL、openSUSE、CentOS、AlmaLinux、Fedora、Arch Linux等绝大多数Linux发行版。

3漏洞检测

人工检测

Linux系统用户可以通过查看内核版本来判断当前系统是否在受影响范围内，查看操作系统版本信息命令如下：

cat /proc/version

可使用下列命令检查esp4/esp6/rxrpc模块的状态：

lsmod | grep -E '^(esp4|esp6|rxrpc)

注：若系统内核在受影响范围且加载了相关模块，则存在安全风险。

4漏洞防护

官方升级

目前官方暂未正式发布更新修复上述漏洞，请受影响的用户关注新版本动态并及时更新，下载链接：https://kernel.org/

其他防护措施

在不影响业务的情况下，可使用以下措施进行临时防护：

1、相关用户可通过禁用esp4/esp6/rxrpc模块以阻断攻击面：

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

2、在容器或云环境中，建议通过Seccomp配置禁止进程创建AF_ALG类型的套接字，拦截非特权用户命名空间创建，以防止逃逸风险。

3、监测/etc/passwd、/etc/sudoers、/etc/shadow、/usr/bin/su等关键文件异常篡改，限制普通用户splice、add_key、unshare等高风险调用。

END

声明

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【已复现】Linux内核权限提升漏洞（CVE-2026-31431）

Thu, 30 Apr 2026 12:07:00 +0800

原创 NS-CERT 2026-04-30 12:07 北京

近日，绿盟科技CERT监测到网上披露了Linux内核权限提升漏洞（CVE-2026-31431），被命名为"Copy Fail"。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

通告编号 NS-2026-0011

2026-04-30

TAG：	Linux、kernel、CVE-2026-31431
漏洞危害：	攻击者利用此漏洞，可实现系统权限提升。
版本：	1.0

漏洞概述

近日，绿盟科技CERT监测到网上披露了Linux内核权限提升漏洞（CVE-2026-31431），被命名为"Copy Fail"；由于algif_aead子系统在AEAD解密过程和splice() 系统调用时存在逻辑缺陷，具有普通权限的本地攻击者可通过构造特定的AF_ALG socket操作序列篡改任意可读文件（setuid等）在内存中的页缓存副本，从而实现从普通用户提升至root权限。在多租户服务器、跳板机或容器云环境中，普通用户及容器内进程可借此实现本地提权或容器逃逸。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

Linux内核是操作系统的核心组件，负责进程管理、内存管理、设备驱动、文件系统及网络协议栈等关键功能，广泛部署于服务器、桌面系统及嵌入式设备中。AF_ALG是Linux内核提供的一个socket接口，允许无特权用户空间程序直接调用内核加密子系统（如AES、SHA256等），无需用户态加密库，常用于高性能网络协议（如IPsec）和安全应用。

绿盟科技已在多个Linux发行版复现此漏洞：

参考链接：

https://copy.fail/

https://www.openwall.com/lists/oss-security/2026/04/29/26

SEE MORE →

2影响范围

受影响版本

• 72548b093ee3 <= commit < a664bf3d603d

注：此漏洞从2017年引入，影响Ubuntu、Amazon Linux、Debian、CentOS、RHEL、SUSE、Fedora等绝大多数Linux发行版。

不受影响版本

• Linux Kernel >= 6.18.22

• Linux Kernel >= 6.19.12

• Linux Kernel >= 7.0

注：可升级至各发行版集成commit补丁a664bf3d603d的内核版本

3漏洞检测

人工检测

Linux系统用户可以通过查看内核版本来判断当前系统是否在受影响范围内，查看操作系统版本信息命令如下：

cat /proc/version

可使用下列命令检查algif_aead模块的状态：

lsmod | grep algif_aead

注：若系统内核在受影响范围且加载了该模块，则存在安全风险。

4漏洞防护

官方升级

目前官方已发布新版本与安全补丁修复此漏洞，请受影响的用户尽快更新进行防护，下载链接：

Linux Kernel 6.18.22

https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8

Linux Kernel 6.19.12

https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237

Linux Kernel 7.0

https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

其他防护措施

若相关用户暂时无法进行升级更新，可使用以下措施进行临时防护：

1、在不影响业务的情况下，可通过禁用algif_aead模块以阻断攻击面：

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf && rmmod algif_aead 2>/dev/null

2、在容器或CI/CD环境，建议通过Seccomp配置禁止进程创建AF_ALG类型的套接字，以防止容器逃逸风险。

END

声明

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【安全事件】Xinference PyPI遭供应链投毒预警通告

Fri, 24 Apr 2026 09:36:00 +0800

原创 NS-CERT 2026-04-24 09:36 四川

近日，绿盟科技CERT监测到Xinference在PyPI仓库遭受了供应链投毒，攻击者通过窃取Xinference维护人员的PyPI发布权限凭证，于北京时间4月22日连续发布了3个植入木马的恶意版本，影响范围较广，请相关用户尽快采取措施进行排查与防护。

文档编号 NS-2026-0010

2026-04-24

TAG：	Xinference、PyPI、供应链攻击
危害程度：	高
版本：	1.0

事件概述

近日，绿盟科技CERT监测到Xinference在PyPI仓库遭受了供应链投毒，攻击者通过窃取Xinference维护人员的PyPI发布权限凭证，于北京时间4月22日连续发布了3个植入木马的恶意版本，当用户触发后会收集主机上的云凭证、SSH密钥、API 令牌、数据库密码、加密货币钱包及环境变量配置等敏感数据，并打包发送至攻击者的C2服务器；影响范围较广，请相关用户尽快采取措施进行排查与防护。

Xinference（Xorbits Inference）是一个开源的分布式AI模型推理框架，专为语言、语音识别和多模态模型的部署与管理而设计，广泛用于AI开发、研究和私有化大模型部署。

参考链接：

https://research.jfrog.com/post/xinference-compromise/

SEE MORE →

2影响范围

受影响版本

• Xinference = 2.6.0

• Xinference = 2.6.1

• Xinference = 2.6.2

注：Xinference在PyPI仓库的总下载量已超过68万次，安装使用了上述3个恶意版本的用户受影响。

不受影响版本

• Xinference <= 2.5.0

注：请关注官方的版本发布动态，下载链接：https://github.com/xorbitsai/inference/releases

3事件分析

事件时间线

2026年4月13日：Xinference官方发布2.5.0版本

2026年4月22日：攻击者在PyPI发布3个恶意版本，有用户报告可疑行为

2026年4月22日：JFrog发布分析报告，TeamPCP声明称第三方冒用其名义作案

2026年4月23日：绿盟科技CERT发布事件预警

此次攻击者针对Xinference的供应链投毒应为通过获取Xinference维护人员的PyPI权限凭证实现，其在项目的__init__.py模块文件中植入了经过多层Base64编码的恶意代码，当用户安装受影响的xinference库或执行import xinference时，Python解释器会加载__init__.py，其中的恶意载荷会自动解码并在内存中执行；解码后的载荷注释开头有# hacked by teampcp标识，可能与近期TeamPCP入侵事件中出现的参与者标记有关，但TeamPCP通过社交账号否认实施本次攻击并称为第三方蓄意模仿作案。有用户发现异常行为后在项目GitHub issue进行询问，Xinference维护者确认并紧急下架了相关恶意版本。

恶意版本行为

Xinference 3个恶意版本中的__init__.py在Python中导入时会执行代码，创建名为“test”的变量和包含base64编码的有效载荷，并对其进行解码和传入subprocess.Popen执行：

Stage1

1、创建临时目录；

2、对第二阶段收集器进行解码并派生一个分离的子Python解释器进程

3、将子进程的标准输出写入临时文件并压缩成love.tar.gz

4、使用curl命令携带自定义HTTP头X-QT-SR: 14将收集的数据上传至攻击者服务器https://whereisitat.lucyatemysuperbox.space

5、进行异常处理、抑制stdout/stderr以及清理临时文件从而实现隐蔽性

Stage2

1、获取目标主机的当前用户、设备、IP 地址、网络接口、环境变量和 SSH 密钥等信息

2、提取配置文件：.env、.npmrc/.pypirc、AWS、Kubernetes、Google Cloud、Docker、数据库配置

3、收集密钥凭证：SSH密钥、SSL证书、Git 凭证、AWS/Azure/GCP云凭证、Slack密钥、Discord密钥Slack密钥、Discord密钥、数据库密码

4、获取基础设施：Terraform、Helm、WireGuard配置

5、其他信息：shell历史记录、加密货币钱包、本地账户数据

AWS特有利用行为

主动探测云元数据服务169.254.169.254/169.254.170.2，检索IMDSv2令牌及IAM角色凭证，抓取临时云凭证并尝试调用Secrets Manager和SSM获取云环境中的敏感信息。

木马执行流程（图源ox.security）

4风险排查

相关用户可根据下列步骤进行排查：

1、检查当前Xinference版本：
pip show xinference | grep Version
2、如果为恶意版本，立即降至安全版本：
pip install xinference==2.5.0 -y

若确认环境中存在恶意包，应立即下线受感染资产，对主机进行物理或逻辑隔离。

#清理pip缓存：
pip cache purge
#检查site-packages下的xinference目录是否有残留：
python -c "import site; print(site.getsitepackages())"
find <上述 site-packages 路径> -path "*xinference*" 2>/dev/null
若发现残留文件，需递归删除整个xinference目录及关联egg-info；同时检查~/.xinference/配置目录是否被篡改，清空其内容并重建权限。最后验证pip list输出中无xinference条目，运行python -c "import xinference"应报ImportError，确保彻底清除。

排查是否存在异常外连行为或C2通信痕迹，日志中是否出现对169.254.169.254/169.254.170.2的请求；用户可在host文件中增加配置：127.0.0.1 whereisitat.lucyatemysuperbox.space，以阻断攻击者恶意域名。

审查服务器登录日志与敏感文件，检查是否有异常登录和后门遗留：

5总结与建议

本次事件再次为AI生态和开源社区敲醒了安全警钟，供应链安全不再只是传统开发的可选项，已逐渐成为AI时代的核心基建，各单位务须建立常态化开源组件安全审计机制，构建完善的供应链安全治理体系以预防此类威胁。

建议受影响的用户可采取下列措施进行处理：

1、撤销并轮换所有的SSH密钥、云服务凭证、API Key、证书密钥、k8s令牌、数据库密码、加密货币钱包等凭证；

2、封禁并排查恶意IoC

3、对PyPI和GitHub等平台账号开启双因素验证并定期轮换凭据

4、搭建内部私有PyPI镜像，安全扫描验证签名后再同步

5、建立常态化开源组件安全审计机制，增加发布前的多重审批流程

6、订阅PyPI安全警报、GitHub Security Advisories等进行供应链监控

6IOCs

恶意文件

文件名：xinference-2.6.0.tar.gz

MD5：971670c10eff28339a085ca50a600e35

文件名：xinference-2.6.0-py3-none-any.whl

MD5：3ee893ae46530b92e0d26435fb979d82

文件名：xinference-2.6.1.tar.gz

MD5：9b3257e45b27a6bbe4e240e41a3a306f

文件名：xinference-2.6.1-py3-none-any.whl

MD5：e291734d46c313a23d676681499f8846

文件名：xinference-2.6.2.tar.gz

MD5：484067fd6232f7cdd7b664b33857fc2c

文件名：xinference-2.6.2-py3-none-any.whl

MD5：c6ce4e25f7fe3e3bb1eea2e9052483bf

文件名：xinference/__init__.py

SHA256:

e1e007ce4eab7774785617179d1c01a9381ae83abfd431aae8dba6f82d3ac127

一次解码后SHA256：

077d49fa708f498969d7cdffe701eb64675baaa4968ded9bd97a4936dd56c21c

二次解码后SHA256：

fe17e2ea4012d07d90ecb7793c1b0593a6138d25a393192263e751660ec3cd0

临时存档文件：love.tar.gz

文本标记字符串：# hacked by teampcp

恶意域名

whereisitat.lucyatemysuperbox.space

恶意URL

hxxps://whereisitat.lucyatemysuperbox.space

其他

HTTP头：X-QT-SR: 14

最后的宣传彩蛋：

安全情报通告服务：

绿盟科技CERT日常监控国内外上百家主流软件厂商、数十家安全论坛与漏洞社区，结合每日应急安全事件和私域运营进行情报生产，并根据情报评级、PoC披露情况、产品使用流行度、实际利用价值、网空资产测绘数据等多个维度进行综合评估，及时推送最新重大安全漏洞情况及安全事件给客户，整合公司的研究、产品、服务等能力，针对突发性威胁制定可落地的安全防护方案，在威胁事件爆发之前协助客户及时发现问题，采取相关防护措施，保护用户信息系统安全，提升企业应对威胁的能力。

凭据泄露监测服务：

近年来，攻击者经常会通过购买或各种手段获取目标用户的登录凭据，进而突破系统入口开展后续攻击，目前主要被用于加密勒索等高威胁场景。为帮助客户能够快速识别自身敏感凭据的泄露风险，绿盟科技特此推出凭据泄露监测服务。此服务以SaaS方式提供，通过7x24小时持续监测数十万数据泄露渠道，结合AI驱动的数据关联分析，当检测到与客户相关的凭据泄露风险后，及时向客户进行预警。

注：对上述服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至cert@nsfocus.com咨询交流。

绿盟科技应急响应中心（NSFOCUS CERT）致力于为客户提供及时、专业、高效的情报预警与应急服务，针对高危漏洞与安全事件进行快速响应，提供可落地的解决方案。

END

声明

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【安全更新】微软4月安全更新多个产品高危漏洞通告

Wed, 15 Apr 2026 19:50:00 +0800

原创 NS-CERT 2026-04-15 19:50 四川

4月15日，绿盟科技CERT监测到微软发布4月安全更新补丁，修复了165个安全问题，涉及Windows、Microsoft Office、Microsoft SQL Server、Microsoft .NET Framework、Azure等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。

通告编号:NS-2026-0009

2026-04-15

TAG：	安全更新、Windows、Office、Visual Studio、SQL Server
漏洞危害：	攻击者利用本次安全更新中的漏洞，可造成权限提升、远程代码执行等
版本：	1.0

漏洞概述

4月15日，绿盟科技CERT监测到微软发布4月安全更新补丁，修复了165个安全问题，涉及Windows、Microsoft Office、Microsoft SQL Server、Microsoft Visual Studio、Microsoft .NET Framework、Azure等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。

本月微软月度更新修复的漏洞中，严重程度为关键的漏洞有8个，重要漏洞有154个，中危漏洞有2个，低危漏洞有1个。其中包括1个已检测到在野利用的漏洞：

Microsoft SharePoint Server欺骗漏洞（CVE-2026-32201）

请相关用户尽快更新补丁进行防护，完整漏洞列表请参考附录。

参考链接：

https://msrc.microsoft.com/update-guide/releaseNote/2026-Apr

SEE MORE →

2重点漏洞简述

根据产品流行度和漏洞重要性筛选出此次更新中包含影响较大的漏洞，请相关用户重点进行关注：

Microsoft SharePoint Server欺骗漏洞（CVE-2026-32201）：

Microsoft SharePoint Server中存在欺骗漏洞，由于SharePoint Server 的输入验证不当，未经身份验证的攻击者可通过网络进行欺骗攻击，从而查看部分敏感信息并篡改已公开的信息。该漏洞存在在野利用，CVSS评分9.0。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201

Windows Kerberos权限提升漏洞（CVE-2026-27912）：

Windows Kerberos中存在权限提升漏洞，由于Kerberos服务票据请求的验证过程中存在授权不当问题，经过身份验证的攻击者可通过操纵Kerberos票据字段绕过安全检查，在相邻网络上提升权限，可能获取域管理员权限。CVSS评分8.0。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-27912

Remote Desktop Client远程代码执行漏洞（CVE-2026-32157）：

Remote Desktop Client中存在远程代码执行漏洞，由于Remote Desktop Client在处理RDP连接参数时存在释放后重用（Use After Free）问题，未经身份验证的攻击者可通过诱导用户连接到恶意RDP服务器，从而在客户端主机上执行任意代码。CVSS评分8.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32157

Windows TCP/IP远程代码执行漏洞（CVE-2026-33827）：

Windows TCP/IP中存在远程代码执行漏洞，由于Windows TCP/IP中使用共享资源时的同步机制不当，未经身份验证的攻击者可通过网络利用此漏洞执行任意代码。CVSS评分8.1。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33827

Windows Shell安全功能绕过漏洞（CVE-2026-32225）：

Windows Shell中存在安全功能绕过漏洞，由于Windows Shell中的保护机制失败，未经身份验证的攻击者可通过诱导受害者打开特制的.lnk文件，从而绕过SmartScreen安全防护，导致未经授权的操作或访问。CVSS 评分8.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32225

Windows Internet Key Exchange (IKE) Service Extensions远程代码执行漏洞（CVE-2026-33824）：

Windows Internet Key Exchange (IKE) Service Extensions中存在远程代码执行漏洞，由于Windows IKE扩展中存在双重释放（Double Free）问题，未经身份验证的攻击者可通过向启用了IKEv2Windows系统发送特制的数据包，从而实现远程代码执行。CVSS评分9.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33824

Microsoft Defender权限提升漏洞（CVE-2026-33825）：

Microsoft Defender中存在权限提升漏洞，由于Microsoft Defender中的访问控制粒度不足，经过身份验证的本地攻击者可将权限提升到SYSTEM。CVSS评分7.8。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825

Windows Active Directory远程代码执行漏洞（CVE-2026-33826）：

Windows Active Directory中存在远程代码执行漏洞，由于Windows Active Directory中的输入验证不当，经过身份验证的攻击者可通过相邻网络向RPC主机发送特制的RPC调用，从而实现远程代码执行。CVSS评分8.0。

官方通告链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33826

3影响范围

以下为部分重点关注漏洞的受影响产品版本，其他漏洞影响产品范围请参阅官方通告链接。

漏洞编号	受影响产品版本
CVE-2026-32201	Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Server 2019
CVE-2026-27912	Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2025 Windows Server 2022, 23H2 Edition (Server Core installation) Windows Server 2025 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019
CVE-2026-32157	Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows Server 2025 Windows 11 Version 24H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation) Windows 11 Version 23H2 for x64-based Systems Windows 11 Version 23H2 for ARM64-based Systems Windows 11 Version 25H2 for x64-based Systems Windows 11 Version 25H2 for ARM systems Windows Server 2025 (Server Core installation) Windows 10 Version 22H2 for 32-bit Systems Windows 10 Version 22H2 for ARM64-based Systems Windows 10 Version 22H2 for x64-based Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows Server 2022 (Server Core installation) Windows Server 2022 Remote Desktop client for Windows Desktop Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows App Client for Windows Desktop Windows 11 version 26H1 for x64-based Systems Windows 11 Version 26H1 for ARM64-based Systems
CVE-2026-33827 CVE-2026-32225	Windows 10 Version 22H2 for ARM64-based Systems Windows 10 Version 22H2 for x64-based Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows Server 2025 (Server Core installation) Windows 10 Version 22H2 for 32-bit Systems Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 11 Version 26H1 for ARM64-based Systems Windows 11 version 26H1 for x64-based Systems Windows Server 2025 Windows 11 Version 24H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation) Windows 11 Version 23H2 for x64-based Systems Windows 11 Version 23H2 for ARM64-based Systems Windows 11 Version 25H2 for x64-based Systems Windows 11 Version 25H2 for ARM systems
CVE-2026-33824	Windows Server 2016 (Server Core installation) Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 11 Version 26H1 for ARM64-based Systems Windows 11 version 26H1 for x64-based Systems Windows Server 2025 Windows 11 Version 24H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation) Windows 11 Version 23H2 for x64-based Systems Windows 11 Version 23H2 for ARM64-based Systems Windows 11 Version 25H2 for x64-based Systems Windows 11 Version 25H2 for ARM systems Windows Server 2025 (Server Core installation) Windows 10 Version 22H2 for 32-bit Systems Windows 10 Version 22H2 for ARM64-based Systems Windows 10 Version 22H2 for x64-based Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems
CVE-2026-33825	Microsoft Defender Antimalware Platform
CVE-2026-33826	Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2025 Windows Server 2022, 23H2 Edition (Server Core installation) Windows Server 2025 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019

4漏洞防护

4.1 补丁更新

目前微软官方已针对受支持的产品版本发布了修复以上漏洞的安全补丁，强烈建议受影响用户尽快安装补丁进行防护，官方下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2026-Apr

注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。

附录：漏洞列表

影响产品	CVE编号	漏洞标题	严重程度
Windows	CVE-2026-32157	Remote Desktop Client远程代码执行漏洞	Critical
Windows	CVE-2026-33826	Windows Active Directory远程代码执行漏洞	Critical
Microsoft .NET Framework	CVE-2026-23666	.NET Framework拒绝服务漏洞	Critical
Microsoft Office	CVE-2026-32190	Microsoft Office远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-33114	Microsoft Word远程代码执行漏洞	Critical
Microsoft Office	CVE-2026-33115	Microsoft Word远程代码执行漏洞	Critical
Windows	CVE-2026-33827	Windows TCP/IP远程代码执行漏洞	Critical
Windows	CVE-2026-33824	Windows Internet Key Exchange (IKE) Service Extensions远程代码执行漏洞	Critical
Windows	CVE-2026-20930	Windows Management Services权限提升漏洞	Important
Microsoft Visual Studio Code CoPilot Chat Extension	CVE-2026-23653	GitHub Copilot and Visual Studio Code信息泄露漏洞	Important
Windows	CVE-2026-25184	Applocker Filter Driver (applockerfltr.sys)权限提升漏洞	Important
Microsoft Office	CVE-2026-20945	Microsoft SharePoint Server欺骗漏洞	Important
Windows	CVE-2026-23670	Windows Virtualization-Based Security (VBS)安全功能绕过漏洞	Important
Microsoft Dynamics	CVE-2026-26149	Microsoft Power Apps Security Feature Bypass	Important
Windows	CVE-2026-26151	Remote Desktop欺骗漏洞	Important
Windows	CVE-2026-26154	Windows Server Update Service (WSUS)篡改漏洞	Important
Windows	CVE-2026-26155	Microsoft Local Security Authority Subsystem Service信息泄露漏洞	Important
Windows	CVE-2026-26160	Remote Desktop Licensing Service权限提升漏洞	Important
Windows	CVE-2026-26161	Windows Sensor Data Service权限提升漏洞	Important
Windows	CVE-2026-26162	Windows OLE权限提升漏洞	Important
Windows	CVE-2026-26165	Windows Shell权限提升漏洞	Important
Windows	CVE-2026-26166	Windows Shell权限提升漏洞	Important
Windows	CVE-2026-26167	Windows Push Notifications权限提升漏洞	Important
Windows	CVE-2026-26174	Windows Server Update Service (WSUS)权限提升漏洞	Important
Windows	CVE-2026-26175	Windows Boot Manager安全功能绕过漏洞	Important
Windows	CVE-2026-26179	Windows Kernel权限提升漏洞	Important
Windows	CVE-2026-26180	Windows Kernel权限提升漏洞	Important
Windows	CVE-2026-26181	Microsoft Brokering File System权限提升漏洞	Important
Windows	CVE-2026-26183	Remote Access Management service/API (RPC server)权限提升漏洞	Important
Windows	CVE-2026-27906	Windows Hello安全功能绕过漏洞	Important
Windows	CVE-2026-27907	Windows Storage Spaces Controller权限提升漏洞	Important
Windows	CVE-2026-27908	Windows TDI Translation Driver (tdx.sys)权限提升漏洞	Important
Windows	CVE-2026-27915	Windows UPnP Device Host权限提升漏洞	Important
Windows	CVE-2026-27917	Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys)权限提升漏洞	Important
Windows	CVE-2026-27918	Windows Shell权限提升漏洞	Important
Windows	CVE-2026-27919	Windows UPnP Device Host权限提升漏洞	Important
Windows	CVE-2026-27921	Windows TDI Translation Driver (tdx.sys)权限提升漏洞	Important
Windows	CVE-2026-27924	Desktop Window Manager权限提升漏洞	Important
Windows	CVE-2026-27926	Windows Cloud Files Mini Filter Driver权限提升漏洞	Important
Windows	CVE-2026-27927	Windows Projected File System权限提升漏洞	Important
Windows	CVE-2026-27929	Windows LUA File Virtualization Filter Driver权限提升漏洞	Important
Windows	CVE-2026-27931	Windows GDI信息泄露漏洞	Important
Windows	CVE-2026-32071	Windows Local Security Authority Subsystem Service (LSASS)拒绝服务漏洞	Important
Windows	CVE-2026-32073	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-32075	Windows UPnP Device Host权限提升漏洞	Important
Windows	CVE-2026-32081	Package Catalog信息泄露漏洞	Important
Windows	CVE-2026-32082	Windows Simple Search and Discovery Protocol (SSDP) Service权限提升漏洞	Important
Windows	CVE-2026-32083	Windows Simple Search and Discovery Protocol (SSDP) Service权限提升漏洞	Important
Windows	CVE-2026-32085	Remote Procedure Call信息泄露漏洞	Important
Windows	CVE-2026-32087	Windows Function Discovery Service (fdwsd.dll)权限提升漏洞	Important
Windows	CVE-2026-32089	Windows Speech Brokered Api权限提升漏洞	Important
Windows	CVE-2026-32090	Windows Speech Brokered Api权限提升漏洞	Important
Windows	CVE-2026-32093	Windows Function Discovery Service (fdwsd.dll)权限提升漏洞	Important
Windows	CVE-2026-32152	Desktop Window Manager权限提升漏洞	Important
Windows	CVE-2026-32154	Desktop Window Manager权限提升漏洞	Important
Windows	CVE-2026-32156	Windows UPnP Device Host远程代码执行漏洞	Important
Windows	CVE-2026-32158	Windows Push Notifications权限提升漏洞	Important
Windows	CVE-2026-32159	Windows Push Notifications权限提升漏洞	Important
Windows	CVE-2026-32160	Windows Push Notifications权限提升漏洞	Important
Windows	CVE-2026-0390	UEFI Secure Boot安全功能绕过漏洞	Important
Windows	CVE-2026-32165	Windows User Interface Core权限提升漏洞	Important
Microsoft SQL Server	CVE-2026-32167	SQL Server权限提升漏洞	Important
Azure	CVE-2026-32168	Azure Monitor Agent权限提升漏洞	Important
.NET 9.0 installed on Mac OS,.NET 9.0 installed on Windows,.NET 10.0 installed on Mac OS,.NET 9.0 installed on Linux,.NET,Microsoft Visual Studio,.NET 10.0 installed on Windows,.NET 8.0 installed on Windows,.NET 8.0 installed on Mac OS,.NET 10.0 installed on Linux,.NET 8.0 installed on Linux	CVE-2026-32178	.NET欺骗漏洞	Important
Windows	CVE-2026-32181	Connected User Experiences and Telemetry Service拒绝服务漏洞	Important
Windows	CVE-2026-32183	Windows Snipping Tool远程代码执行漏洞	Important
Azure	CVE-2026-32184	Microsoft High Performance Compute (HPC) Pack权限提升漏洞	Important
Microsoft Office	CVE-2026-32188	Microsoft Excel信息泄露漏洞	Important
Microsoft Office	CVE-2026-32189	Microsoft Excel远程代码执行漏洞	Important
Azure	CVE-2026-32192	Azure Monitor Agent权限提升漏洞	Important
Windows	CVE-2026-32195	Windows Kernel权限提升漏洞	Important
Windows	CVE-2026-32202	Windows Shell欺骗漏洞	Important
Windows	CVE-2026-32215	Windows Kernel信息泄露漏洞	Important
Windows	CVE-2026-32216	Windows Redirected Drive Buffering System拒绝服务漏洞	Important
Windows	CVE-2026-32217	Windows Kernel信息泄露漏洞	Important
Windows	CVE-2026-32218	Windows Kernel信息泄露漏洞	Important
Windows	CVE-2026-32219	Microsoft Brokering File System权限提升漏洞	Important
Windows	CVE-2026-32220	UEFI Secure Boot安全功能绕过漏洞	Important
Windows	CVE-2026-32221	Windows Graphics Component远程代码执行漏洞	Important
Windows	CVE-2026-32222	Windows Win32k权限提升漏洞	Important
Windows	CVE-2026-32223	Windows USB Printing Stack (usbprint.sys)权限提升漏洞	Important
Windows	CVE-2026-32224	Windows Server Update Service (WSUS)权限提升漏洞	Important
Microsoft .NET Framework	CVE-2026-32226	.NET Framework拒绝服务漏洞	Important
Microsoft Office	CVE-2026-33095	Microsoft Word远程代码执行漏洞	Important
Windows	CVE-2026-33096	HTTP.sys拒绝服务漏洞	Important
Windows	CVE-2026-33098	Windows Container Isolation FS Filter Driver权限提升漏洞	Important
.NET 9.0 installed on Mac OS,.NET 9.0 installed on Windows,Microsoft .NET Framework,.NET 10.0 installed on Mac OS,.NET 9.0 installed on Linux,.NET,.NET 8.0 installed on Windows,.NET 8.0 installed on Mac OS,.NET 10.0 installed on Linux,.NET 8.0 installed on Linux	CVE-2026-33116	.NET, .NET Framework, and Visual Studio拒绝服务漏洞	Important
Microsoft SQL Server	CVE-2026-33120	Microsoft SQL Server远程代码执行漏洞	Important
Microsoft Office	CVE-2026-33822	Microsoft Word信息泄露漏洞	Important
Windows	CVE-2026-32212	Universal Plug and Play (upnp.dll)信息泄露漏洞	Important
Windows	CVE-2026-20928	Windows Recovery Environment安全功能绕过漏洞	Important
Windows	CVE-2026-20806	Windows COM Server信息泄露漏洞	Important
Microsoft Office	CVE-2026-23657	Microsoft Word远程代码执行漏洞	Important
PowerShell	CVE-2026-26143	Microsoft PowerShell安全功能绕过漏洞	Important
Windows	CVE-2026-26152	Microsoft Cryptographic Services权限提升漏洞	Important
Windows	CVE-2026-26153	Windows Encrypted File System (EFS)权限提升漏洞	Important
Windows	CVE-2026-26156	Windows Hyper-V远程代码执行漏洞	Important
Windows	CVE-2026-26159	Remote Desktop Licensing Service权限提升漏洞	Important
Windows	CVE-2026-26163	Windows Kernel权限提升漏洞	Important
Windows	CVE-2026-26168	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-26169	Windows Kernel Memory信息泄露漏洞	Important
Windows	CVE-2026-26170	PowerShell权限提升漏洞	Important
Windows	CVE-2026-26172	Windows Push Notifications权限提升漏洞	Important
Windows	CVE-2026-26173	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-26176	Windows Client Side Caching driver (csc.sys)权限提升漏洞	Important
Windows	CVE-2026-26177	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-26178	Windows Advanced Rasterization Platform权限提升漏洞	Important
Windows	CVE-2026-26182	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-26184	Windows Projected File System权限提升漏洞	Important
Windows	CVE-2026-27909	Windows Search Service权限提升漏洞	Important
Windows	CVE-2026-27910	Windows Installer权限提升漏洞	Important
Windows	CVE-2026-27911	Windows User Interface Core权限提升漏洞	Important
Windows	CVE-2026-27912	Windows Kerberos权限提升漏洞	Important
Windows	CVE-2026-27913	Windows BitLocker安全功能绕过漏洞	Important
Windows	CVE-2026-27914	Microsoft Management Console权限提升漏洞	Important
Windows	CVE-2026-27916	Windows UPnP Device Host权限提升漏洞	Important
Windows	CVE-2026-27920	Windows UPnP Device Host权限提升漏洞	Important
Windows	CVE-2026-27922	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-27923	Desktop Window Manager权限提升漏洞	Important
Windows	CVE-2026-27925	Windows UPnP Device Host信息泄露漏洞	Important
Windows	CVE-2026-27928	Windows Hello安全功能绕过漏洞	Important
Windows	CVE-2026-27930	Windows GDI信息泄露漏洞	Important
Windows	CVE-2026-32068	Windows Simple Search and Discovery Protocol (SSDP) Service权限提升漏洞	Important
Windows	CVE-2026-32069	Windows Projected File System权限提升漏洞	Important
Windows	CVE-2026-32070	Windows Common Log File System Driver权限提升漏洞	Important
Windows	CVE-2026-32072	Active Directory欺骗漏洞	Important
Windows	CVE-2026-32074	Windows Projected File System权限提升漏洞	Important
Windows	CVE-2026-32076	Windows Storage Spaces Controller权限提升漏洞	Important
Windows	CVE-2026-32077	Windows UPnP Device Host权限提升漏洞	Important
Windows	CVE-2026-32078	Windows Projected File System权限提升漏洞	Important
Windows	CVE-2026-32079	Web Account Manager信息泄露漏洞	Important
Windows	CVE-2026-32080	Windows WalletService权限提升漏洞	Important
Windows	CVE-2026-32084	Windows Print Spooler信息泄露漏洞	Important
Windows	CVE-2026-32086	Windows Function Discovery Service (fdwsd.dll)权限提升漏洞	Important
Windows	CVE-2026-32088	Windows Biometric Service安全功能绕过漏洞	Important
Windows	CVE-2026-32091	Microsoft Brokering File System权限提升漏洞	Important
Windows	CVE-2026-32149	Windows Hyper-V远程代码执行漏洞	Important
Windows	CVE-2026-32150	Windows Function Discovery Service (fdwsd.dll)权限提升漏洞	Important
Windows	CVE-2026-32151	Windows Shell信息泄露漏洞	Important
Windows	CVE-2026-32153	Windows Speech Runtime权限提升漏洞	Important
Windows	CVE-2026-32155	Desktop Window Manager权限提升漏洞	Important
Windows	CVE-2026-32162	Windows COM权限提升漏洞	Important
Windows	CVE-2026-32163	Windows User Interface Core权限提升漏洞	Important
Windows	CVE-2026-32164	Windows User Interface Core权限提升漏洞	Important
Azure	CVE-2026-32171	Azure Logic Apps权限提升漏洞	Important
Microsoft SQL Server	CVE-2026-32176	SQL Server权限提升漏洞	Important
Windows	CVE-2026-32196	Windows Admin Center欺骗漏洞	Important
Microsoft Office	CVE-2026-32197	Microsoft Excel远程代码执行漏洞	Important
Microsoft Office	CVE-2026-32198	Microsoft Excel远程代码执行漏洞	Important
Microsoft Office	CVE-2026-32199	Microsoft Excel远程代码执行漏洞	Important
Microsoft Office	CVE-2026-32200	Microsoft PowerPoint远程代码执行漏洞	Important
Microsoft Office	CVE-2026-32201	Microsoft SharePoint Server欺骗漏洞	Important
.NET 9.0 installed on Mac OS,.NET 9.0 installed on Windows,.NET 10.0 installed on Mac OS,.NET 9.0 installed on Linux,.NET 10.0 installed on Windows,.NET 8.0 installed on Windows,.NET 8.0 installed on Mac OS,.NET 10.0 installed on Linux,.NET 8.0 installed on Linux	CVE-2026-26171	.NET拒绝服务漏洞	Important
.NET 9.0 installed on Mac OS,.NET 9.0 installed on Windows,.NET 10.0 installed on Mac OS,.NET 9.0 installed on Linux,Microsoft Visual Studio,.NET 10.0 installed on Windows,.NET 8.0 installed on Windows,.NET 8.0 installed on Mac OS,.NET 10.0 installed on Linux,.NET 8.0 installed on Linux	CVE-2026-32203	.NET and Visual Studio拒绝服务漏洞	Important
Windows	CVE-2026-32225	Windows Shell安全功能绕过漏洞	Important
Windows	CVE-2026-33099	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-33100	Windows Ancillary Function Driver for WinSock权限提升漏洞	Important
Windows	CVE-2026-33101	Windows Print Spooler权限提升漏洞	Important
Microsoft Dynamics	CVE-2026-33103	Microsoft Dynamics 365 (On-Premises)信息泄露漏洞	Important
Windows	CVE-2026-33104	Win32k权限提升漏洞	Important
Windows	CVE-2026-32214	Universal Plug and Play (upnp.dll)信息泄露漏洞	Important
System Center	CVE-2026-33825	Microsoft Defender权限提升漏洞	Important
Windows	CVE-2026-33829	Windows Snipping Tool欺骗漏洞	Moderate
Microsoft Edge for Android	CVE-2026-33119	Microsoft Edge (Chromium-based) for Android欺骗漏洞	Moderate
Microsoft Edge (Chromium-based)	CVE-2026-33118	Microsoft Edge (Chromium-based)欺骗漏洞	Low

END

声明

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【安全事件】axios前端库npm供应链投毒预警通告

Tue, 31 Mar 2026 19:01:00 +0800

原创 NS-CERT 2026-03-31 19:01 北京

3月31日，绿盟科技CERT监测到HTTP客户端库axios的npm仓库遭受供应链投毒，影响范围广泛，请相关用户尽快采取措施进行排查与防护。

通告编号:NS-2026-0008

2026-03-31

TAG：	axios、npm、供应链攻击
危害程度：	高
版本：	1.0

事件概述

3月31日，绿盟科技CERT监测到HTTP客户端库axios的npm仓库遭受供应链投毒，攻击者绕过了项目正常的GitHub Actions CI/CD流水线，将axios维护者的帐户邮箱更改为匿名ProtonMail地址，并通过npm CLI手动发布了带有木马后门的恶意版本，当用户安装后会在主机上建立持久化的远控。影响范围广泛，请相关用户尽快采取措施进行排查与防护。

Axios是一个基于Promise的开源JavaScript HTTP客户端，广泛用于浏览器和Node.js环境。

参考链接：

https://github.com/axios/axios/issues/10604

SEE MORE →

2影响范围

受影响版本

axios = 1.14.1
axios = 0.30.4
注：Windows、macOS、Linux系统皆受影响，每周下载量超过3亿次。

不受影响版本

axios <= 1.14.0
axios <= 0.30.3

3事件分析

攻击者窃取并接管了axios项目的主要维护者jasonsaayman的npm和GitHub账户，并将其邮箱修改为匿名的ProtonMail地址：ifstap@proton.me；攻击者先通过单独的一次性账户nrwise@proton.me预先布置了干净的plain-crypto-js@4.2.0建立npm发布历史，规避安全工具对新包的检测告警；等18小时后在npm上更新了恶意包plain-crypto-js@4.2.1，绕过正常的GitHub Actions流程发布恶意版本axios@1.14.和axios@0.30.4，并将plain-crypto-js@4.2.1添加为运行时依赖；plain-crypto-js在安装时会执行setup.js恶意脚本（RAT投放器），其会对当前系统进行检测，并根据macOS、Windows、Linux三个平台分发不同的远程控制载荷。

攻击者在setup.js中植入了自毁逻辑，等木马后门执行完成后，会自动删除自身脚本文件、删除带恶意钩子的package.json，并使用提前备好的干净伪装文件进行替换。

#脚本自删除
fs.unlink(__filename, (x=>{}));

#用干净的package.md覆盖原始package.json并重命名
fs.rename("package.md", "package.json", (x=>{}));

事件时间线：

3/30 05:57:32 UTC，攻击者创建plain-crypto-js@4.2.0（干净诱饵铺垫）

3/30 23:59:12 UTC，攻击者发布plain-crypto-js@4.2.1恶意载荷

3/31 00:21:58 UTC，攻击者通过npm CLI发布axios@1.14.1恶意版本

3/31 01:00:57 UTC，攻击者通过npm CLI发布axios@0.30.4恶意版本

3/31 02:30 UTC，攻击者用管理员权限删除告警Issue

3/31 03:40:46 UTC，npm下架恶意版本并吊销所有Token

3/31，绿盟科技CERT发布预警通告

4风险排查

相关用户可根据下列步骤进行排查：

1、使用以下命令检查项目中是否存在恶意的axios版本

#检查项目依赖中的axios版本

npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"

#检查lock文件锁定的axios版本
grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"

2、检查CI/CD流水线日志，查看是否有任何执行拉取或安装axios新版本的npm install/npm update操作

3、检查node_modules中是否存在恶意依赖包plain-crypto-js

ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED"

注：若package.json为干净存根，则表明后门木马可能已运行。

用户可使用对应系统的命令检查受影响主机上是否存在后门木马：

# macOS
ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED"
# Linux
ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"
# Windows
dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED

5总结与建议

本次事件再次为前端生态和开源社区敲醒了供应链安全的警钟，单位务须建立常态化开源组件安全审计机制，构建完善的供应链安全治理体系以预防此类威胁。

建议受影响的用户采取下列措施进行处理：

1、立即将axios降级为安全版本并强制项目所有间接依赖使用：

#2个分支对应的安全版本

npm install axios@1.14.0
npm install axios@0.30.3

#在package.json中添加overrides和resolutions

{
"dependencies": { "axios": "1.14.0" },
"overrides": { "axios": "1.14.0" },
"resolutions": { "axios": "1.14.0" }
}

2、从node_modules移除plain-crypto-js，清除npm缓存并重新安装依赖：

rm -rf node_modules/plain-crypto-js

npm cache clean --force

npm install --ignore-scripts

3、撤销并轮换系统所有的npm令牌、SSH密钥、云账号密钥、CI/CD密钥、数据库密码等凭证；

4、封禁并排查恶意IoC；

5、实施最小权限原则，限制CI/CD工具的访问范围、并定期轮换凭据；

6、建立常态化开源组件审计机制，增加发布前的多重审批流程。

6IOCs

恶意文件

文件名：axios@1.14.1

SHA1: 2553649f2322049666871cea80a5d0d6adc700ca

文件名：axios@0.30.4

SHA1: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

文件名：plain-crypto-js@4.2.1

SHA1: 07d889e2dadce6f3910dcbc253317d28ca61c766

恶意域名/IP

sfrclak.com

callnrwise.com

142.11.206.73

恶意URL

http://sfrclak.com:8000/6202033

恶意邮箱

nrwise@proton.me

ifstap@proton.me

其他

User-Agent：mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0)

最后的宣传彩蛋：

安全情报通告服务：

凭据泄露监测服务：

注：对上述服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至cert@nsfocus.com咨询交流。

END

声明

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【安全事件】AI基础设施LiteLLM供应链投毒预警通告

Thu, 26 Mar 2026 19:33:00 +0800

原创 NS-CERT 2026-03-26 19:33 北京

近日，绿盟科技CERT监测到LiteLLM的在PyPI遭受了TeamPCP团伙的供应链投毒，用户触发后会收集主机信息、窃取SSH密钥、云服务凭证、K8s密钥、SSL证书私钥和加密货币钱包等敏感数据，影响范围广泛，请相关用户尽快采取措施进行排查与防护。

通告编号:NS-2026-0006

2026-03-26

TAG：	LiteLLM、TeamPCP、供应链攻击
版本：	1.0

事件概述

近日，绿盟科技CERT监测到GitHub社区披露LiteLLM的新版本中存在凭证窃取程序，分析确认为在PyPI遭受了TeamPCP团伙的供应链投毒，其通过入侵LiteLLM发布流程中使用的安全扫描工具Trivy，进而窃取了发布权限凭证，于北京时间3月24日18时许发布了恶意版本；用户触发后会收集主机信息、窃取SSH密钥、云服务凭证、K8s密钥、SSL证书私钥和加密货币钱包等敏感数据，若检测到K8s集群则会横向移动在每个节点部署特权Pod，并植入持久化的systemd后门。影响范围广泛，请相关用户尽快采取措施进行排查与防护。

在如今以人工智能为核心驱动的技术演变中，AI模型网关已成为企业技术架构的关键基础设施。LiteLLM是一个主流的开源AI模型网关，可通过统一的接口来简化对上百个不同供应商大型语言模型的调用与管理，具备成本跟踪、安全防护、负载均衡和日志记录等功能。

参考链接：

https://github.com/BerriAI/litellm/issues/24518

https://github.com/pypa/advisory-database/blob/main/vulns/litellm/PYSEC-2026-2.yaml

SEE MORE →

2攻击组织

TeamPCP 是一个从2025年至2026年初活跃的网络犯罪组织，也被称为 DeadCatx3、PCPcat 和 ShellForce 等，该组织主要针对全球云原生基础设施发起大规模自动化攻击，并涉及供应链投毒等高级威胁活动。

TeamPCP大规模构建分布式代理和扫描基础设施，通过窃取的凭证入侵服务器以窃取数据、部署勒索软件、进行勒索活动并挖掘加密货币，拥有成熟的工具集，如 proxy.sh（用于环境识别和载荷部署）、scanner.py（漏洞扫描）、kube.py（Kubernetes 相关操作）等。

近期主要攻击事件

2026-03-19：入侵Aqua Security的Trivy漏洞扫描器，发布恶意版本v0.69.4

2026-03-23：攻击Checkmarx KICS GitHub Action，通过强制推送标签到恶意提交

2026-03-24：对LiteLLM进行供应链投毒，发布恶意版本1.82.7和1.82.8

2026-03-25：部署针对伊朗的Kubernetes擦除器，攻击意图从窃密向破坏性升级

3影响范围

受影响版本

LiteLLM = 1.82.7
LiteLLM = 1.82.8

包括但不限于以下引用LiteLLM的应用也受影响：

DSPy(微软AI编程框架)
MLflow(机器学习生命周期管理)
CrewAI(多Agent编排框架)
OpenHands(AI软件开发助手)
Prodigy(NLP标注工具)

注：LiteLLM使用十分广泛，月下载量约9500万次，日下载量约340万次，受影响的依赖包达两千多个。恶意版本于北京时间3月24日18时许发布，存活时间约3小时，已知攻击者本次可能窃取了约 300GB数据，包含高达50万个凭证。

不受影响版本

LiteLLM <= 1.82.6

4事件分析

事件时间线：

3月19日：TeamPCP入侵Trivy安全扫描工具
3月23日：TeamPCP攻陷Checkmarx KICS
3月24日：10:39 UTC 恶意版本 1.82.7 发布到PyPI
3月24日：10:52 UTC 恶意版本 1.82.8 发布到PyPI
3月24日：13:52 UTC PyPI下架恶意版本
3月25日：社区广泛警告，绿盟科技发布事件预警

此次TeamPCP针对LiteLLM的供应链投毒并非直接攻破其代码库，而是由利用GitHub Actions中pull_request_target触发器的配置缺陷，通过向依赖的安全扫描工具Trivy提交恶意拉取请求，诱导工作流在拥有高权限的基础仓库中执行攻击者植入的代码，从而窃取了具有最高发布权限的PYPI_PUBLISH令牌；攻击者借此令牌绕过了所有代码审查与CI自动化测试流程，直接向PyPI仓库推送了无对应Git提交记录的恶意版本（1.82.7/1.82.8），演绎了“利用安全工具制造不安全”的高阶供应链攻击模式，暴露了现代软件交付链中因过度信任第三方集成与权限配置不当而引发的结构性脆弱。

攻击路径流程图：

恶意版本行为

在1.82.7版本中，恶意代码被植入"litellm/proxy/proxy_server.py"文件，可能在wheel构建过程中或之后被注入。该代码设计为模块导入时自动执行，任何导入"litellm.proxy.proxy_server"的进程都会触发攻击载荷，无需用户交互。

1.82.8版本则采用更激进的攻击方式——在wheel根目录添加恶意"litellm_init.pth"文件，使得该逻辑会在环境内所有Python进程启动时自动执行，而不仅限于litellm导入时。且该.pth启动器会通过subprocess.Popen生成子Python进程，使攻击载荷能在后台运行。

攻击载荷解码后会释放凭证窃取工具和持久化后门。当存在Kubernetes服务账户令牌时，凭证窃取工具会枚举集群所有节点并在每个节点部署特权Pod，这些Pod随后会通过chroot进入主机文件系统，在每个节点上安装作为systemd用户服务的持久化后门。

该systemd服务配置为启动Python脚本（~/.config/sysmon/sysmon.py）——与Trivy入侵事件中使用的名称相同——该脚本每50分钟访问"checkmarx[.]zone/raw"获取下一阶段载荷URL。若URL中包含youtube[.]com，脚本将终止执行，这是目前已观测事件中常见的终止开关模式。

5风险排查

相关用户可根据下列步骤进行排查：

1. 检查当前版本 pip show litellm #

2. 如果为恶意版本，立即降至安全版本 pip install litellm==1.82.6 #

3. 或在requirements.txt中固定版本 echo "litellm==1.82.6" >> requirements.txt #

4. 检查是否存在恶意.pth文件 find $(python -c "import site; print(site.getsitepackages()[0])") -name "litellm_init.pth" -delete #

5. 验证安装 python -c "import litellm; print(litellm.__version__)"

若确认环境中存在恶意包，应立即下线受感染资产，对主机进行物理或逻辑隔离。
查找杀掉名为 /tmp/pglog 的可疑进程，并删除 /tmp/pglog 和 /tmp/.pg_state 文件，强制清除持久化组件；攻击者可能在本地的pip缓存中留下了恶意Wheel文件，可执行pip cache purge或手动删除 ~/.cache/uv 等目录，防止回滚后因缓存机制再次中毒。

云环境用户可检查Kubernetes集群是否存在恶意Pod

在全命名空间下执行：kubectl get pods -A | grep -E "node-setup|host-provisioner"

如有发现，需立即删除并逐节点审查：ls -la /root/.config/sysmon/ 2>/dev/null

6总结与建议

本次投毒事件不同于一次常规的网络攻击，而是对供应链安全的行业警示；在AI生态高速发展的时代下，软件供应链风险不再局限于单一技术栈或平台，逐渐演变为一场针对整个IT生态系统的全域挑战，相关单位务须构建健全的供应链安全治理体系应对此类新型潜在威胁。

建议受影响的用户可采取下列措施进行处理：

1、撤销并轮换所有的SSH密钥、云账号密钥、API Token、k8s令牌、数据库密码等凭证；

2、封禁并排查恶意IoC；

3、实施最小权限原则，限制CI/CD工具的访问范围、并定期轮换凭据；

4、搭建内部私有PyPI镜像，安全扫描验证签名后再同步；

5、建立常态化开源组件安全审计机制，增加发布前的多重审批流程；

6、订阅PyPI安全警报、GitHub Security Advisories等进行供应链监控。

最后的宣传彩蛋：

安全情报通告服务：

凭据泄露监测服务：

注：对上述服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至cert@nsfocus.com咨询交流。

END

声明

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

跳转微信打开

【安全事件】Apifox桌面客户端遭供应链投毒分析

Thu, 26 Mar 2026 19:33:00 +0800

原创 NS-CERT 2026-03-26 19:33 北京

近日，绿盟科技CERT监测到Apifox官方CDN托管的前端JS文件遭受了供应链投毒，恶意脚本被植入经过多重混淆的JavaScript代码，Apifox桌面客户端启动后会自动加载，后续实现远程命令执行。影响范围较大，请相关用户尽快采取措施进行排查与防护。

通告编号:NS-2026-0007

2026-03-26

TAG：	Apifox、供应链攻击、CDN投毒
危害程度：	高
版本：	1.0

事件概述

近日，绿盟科技CERT监测到Apifox官方CDN托管的前端JS文件遭受了供应链投毒，恶意脚本被植入经过多重混淆的JavaScript代码，Apifox桌面客户端启动后会自动加载，可窃取用户主机系统信息和SSH密钥、用户凭证等敏感数据，攻击者后续可控制主机执行后门程序实现远程命令执行。影响范围较大，请相关用户尽快采取措施进行排查与防护。

Apifox是一款功能强大的 API 协作开发平台，它将 API 文档、调试、Mock（模拟）、自动化测试等多个核心功能集成，为前端、后端、测试人员提供一个统一的工作平台。

参考链接：

https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig

SEE MORE →

2影响范围

受影响版本

Apifox公网SaaS版桌面客户端（Windows/macOS/Linux）<= 2.8.14
注：在2026年3月4日至2026年3月22日期间使用了上述版本可能受影响。

不受影响版本

Apifox客户端 >= 2.8.19
注：SaaS Web版与私有化部署版不受此次事件影响

3事件时间线

2026年3月4日：apifox.it.com DNS解析上线(Cloudflare托管)，CDN的JS文件被投毒

2026年3月22日：apifox.it.com DNS记录下线，域名停止解析

2026年3月23日：Apifox官方发布新版本修复此问题

2026年3月25日：Apifox官方针对事件发布安全公告

2026年3月26日：绿盟科技CERT发布分析文章

4漏洞防护事件分析

Apifox官方CDN托管的资源被恶意篡改

Apifox在启动过程中会加载正常资源：

hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js

因未严格启用sandbox参数，且暴露了Node.js的API接口，导致攻击者可通过JavaScript控制Apifox的终端。

投毒恶意文件（Web Archive 还原）：

hxxps://web.archive.org/web/20260305051418/hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js

2026年3月4日至2026年3月22日期间（18天），攻击者通过 Cloudflare CDN向Apifox桌面客户端分发恶意载荷；恶意文件在原本正常的事件统计功能上，嵌入了可窃取信息和进行远程控制的代码。

4.1 样本分析

投毒的恶意文件为apifox-app-event-tracking.min.js，文件大小约77KB；

该文件由两部分组成：第一部分约34KB，为合法的Apifox事件追踪SDK，采用Webpack打包，包含GA4、百度统计、阿里云 SLS、PostHog等多平台事件追踪模块，本身无恶意行为；第二部分约42KB，为攻击者追加的恶意后门代码，经过严重混淆处理。利用Apifox客户端对事件追踪脚本的信任机制实现隐蔽植入。

恶意代码采用了多重混淆技术，使用javascript-obfuscator对恶意代码段进行字符串数组旋转，所有字符串通过RC4算法加密存储，再进行Base64编码，并通过代理函数增加间接调用层次；所有关键数字常量均使用多步运算表达，规避静态扫描；注入无效代码分支，增加分析干扰；具备反调试机制，检测到调试器则触发死循环。

完整还原后的恶意代码为Node.js脚本，具备远程代码执行能力，主要功能特点如下：

RSA-2048私钥硬编码：恶意代码中硬编码了一个RSA-2048私钥，采用PKCS#8格式，共1703字符。该私钥用于两个核心用途：一是加密上报，从私钥中提取公钥，使用publicEncrypt配合OAEP 填充加密敏感信息后附加到HTTP请求头；二是解密指令，使用privateDecrypt配合OAEP和SHA-256解密C2服务器下发的Stage-1 payload。攻击者将私钥嵌入客户端代码属于设计失误，使研究人员能够解密全部C2通信，还原完整攻击链。

机器指纹采集：恶意代码通过MAC地址、CPU 型号、主机名、用户主目录和操作系统平台五个字段构造机器唯一标识，将拼接字符串进行SHA-256哈希，得到64字符的十六进制指纹，存储在localStorage的_rl_mc 键中。

Apifox用户凭证窃取：恶意代码从localStorage读取 common.accessToken，即 Apifox 登录令牌，利用该令牌调用官方API获取用户信息，从响应中提取用户邮箱和姓名，经RSA加密后附加到后续请求头中。

C2 通信协议：恶意代码向C2服务器发送带有自定义HTTP头的请求，包含以下字段：

af_uuid 为机器指纹SHA-256，明文传输；

af_os 为操作系统类型与版本号，明文传输；

af_user 为用户主目录路径，使用RSA-2048 OAEP加密；

af_name为主机名，使用RSA-2048 OAEP加密；

af_apifox_user为 Apifox账户邮箱，使用RSA-2048 OAEP加密；

af_apifox_name为 Apifox账户姓名，使用RSA-2048 OAEP加密。

远程代码执行：恶意代码从C2获取 RSA 加密的payload，经私钥解密后使用 eval() 直接执行，实现完全的远程代码执行。这意味着攻击者每次轮询C2可下发不同载荷，后续攻击行为未知。

持久化机制：恶意代码执行完毕后，在30分钟至3小时的随机间隔后会重新执行整个流程。只要Apifox应用保持运行，恶意代码就会持续活跃。

4.2 攻击流程

1. Apifox启动，加载被投毒的event-tracking.min.js文件 (77KB)

2. 恶意代码执行：

- 采集机器指纹（MAC地址、CPU信息及主机名，使用SHA-256处理）

- 窃取Apifox访问令牌（accessToken），通过调用官方API获取用户邮箱

- 使用RSA-2048算法加密敏感数据

3. 向C2服务器进行请求：GET /public/apifox-event.js

请求头包含af_uuid、af_os、af_user、af_name等字段

返回内容为经RSA加密的Stage-1加载程序（344字节）

4. 对Stage-1进行RSA解密并执行eval函数：

- 动态创建