📊 本周总览
| 指标 | 数据 |
|---|---|
| 本周新增CVE总数(4月12日—19日) | 1,211 条 |
| 其中高危(HIGH,CVSS 7.0–8.9) | 179 条 |
| 其中严重(CRITICAL,CVSS 9.0+) | 待统计(NVD API查询超时) |
| 主要来源 | Microsoft、Adobe、SAP、Siemens、WordPress生态 |
| 本周重大安全事件 | Patch Tuesday(4月14日)、Operation PowerOFF |
一、🔴 重点高危漏洞(按厂商分类)
1. Microsoft Patch Tuesday(4月14日)— 大规模补丁日
本周最重要的安全事件:微软4月补丁日,集中披露大量高危漏洞。
Microsoft Office Word — 多个RCE漏洞
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-33095 | Use-After-Free → RCE | 7.8 | 未授权攻击者可本地执行任意代码,需用户交互(打开恶意文件) |
| CVE-2026-33114 | 不可信指针解引用 → RCE | 8.4 | 无需用户交互即可本地执行代码,危险性更高 |
| CVE-2026-33115 | Use-After-Free → RCE | 8.4 | 同上,无需用户交互 |
⚠️ 影响版本:Microsoft Office Word(多个版本) 修复:立即通过Windows Update安装2026年4月补丁
Microsoft SQL Server — 网络RCE
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-33120 | 不可信指针解引用 → RCE | 8.8 | 已认证攻击者可通过网络执行任意代码,无需用户交互 |
⚠️ 影响版本:SQL Server(多个版本) 修复:安装2026年4月SQL Server安全更新
Windows Active Directory — 相邻网络RCE
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-33826 | 输入验证不当 → RCE | 8.0 | 相邻网络内已认证攻击者可执行任意代码 |
⚠️ 影响版本:Windows Server 2012 R2 / 2016 / 2019 / 2022 / 2025 修复:安装2026年4月Windows Server安全更新
Microsoft Defender — 本地权限提升
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-33825 | 访问控制粒度不足 → LPE | 7.8 | 本地已认证攻击者可提升至更高权限 |
Windows Server Update Service — 本地权限提升
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-32224 | Use-After-Free → LPE | 7.0 | 影响Windows 11 26H1(ARM64/x64),本地权限提升 |
2. Adobe 安全公告(4月14日)
Adobe InDesign — 堆溢出RCE(多个)
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-34627 | 堆缓冲区溢出 → RCE | 7.8 | 打开恶意文件可触发任意代码执行 |
| CVE-2026-34628 | 堆缓冲区溢出 → RCE | 7.8 | 同上 |
| CVE-2026-34629 | 堆缓冲区溢出 → RCE | 7.8 | 同上 |
⚠️ 影响版本:InDesign Desktop ≤ 20.5.2 / ≤ 21.2 修复:升级至 20.5.3 / 21.3(APSB26-32)
Adobe Connect — XSS权限提升
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-34617 | 存储型XSS → 权限提升 | 8.7 | 低权限攻击者注入恶意脚本,可接管受害者账户/会话 |
⚠️ 影响版本:Adobe Connect ≤ 2025.3 / ≤ 12.10 修复:安装APSB26-37补丁
3. SAP 安全公告(4月14日)
| CVE | 产品 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-34256 | SAP ERP / S/4HANA | 7.1 | 缺少授权检查,已认证攻击者可覆盖任意8字符ABAP报告,导致可用性破坏 |
⚠️ 影响版本:SAP ERP、SAP S/4HANA(私有云和本地部署) 修复:SAP Note 3731908
4. Siemens SINEC NMS — 工控系统认证绕过(4月14日)
| CVE | 类型 | CVSS | 描述 |
|---|---|---|---|
| CVE-2026-24032 | 认证绕过(UMC组件) | 7.3 | 未认证远程攻击者可绕过认证,获得未授权访问 |
| CVE-2026-25654 | 待分析 | HIGH | SINEC NMS < V4.0 SP3,详情待补充 |
⚠️ 影响版本:SINEC NMS < V4.0 SP3(含UMC) 修复:升级至V4.0 SP3(SSA-801704) ⚠️ 特别关注:工控/OT系统漏洞,影响工业网络管理
5. AI框架漏洞集中爆发(4月12日)— 值得关注的新趋势
本周出现多个AI/LLM框架漏洞,反映AI工具链安全问题日益突出:
| CVE | 产品 | CVSS | 类型 | 描述 |
|---|---|---|---|---|
| CVE-2026-6108 | MaxKB(1Panel-dev)≤ 2.6.1 | 6.3 | OS命令注入 | MCP节点组件execute函数,PoC已公开,可远程利用 |
| CVE-2026-6110 | MetaGPT(FoundationAgents)≤ 0.8.1 | 7.3 | 代码注入 | Tree-of-Thought Solver的generate_thoughts函数,PoC已公开,无需认证 |
| CVE-2026-6111 | MetaGPT ≤ 0.8.1 | HIGH | SSRF | decode_image函数,可发起服务端请求伪造,PoC已公开 |
| CVE-2026-6109 | MetaGPT ≤ 0.8.1 | 4.3 | CSRF | Mineflayer HTTP API,PoC已公开 |
| CVE-2026-1116 | lollms(parisneo)< 2.2.0 | 8.2 | 存储型XSS | AppLollmsMessage.from_dict未对content字段做HTML编码,可导致账户接管、会话劫持、蠕虫攻击 |
⚠️ 趋势警示:MetaGPT项目被通知后尚未响应,MaxKB已发布修复版本2.8.0 建议:使用AI框架的开发者应立即检查版本并更新
6. WordPress生态漏洞(4月14日)
| CVE | 插件 | CVSS | 类型 | 描述 |
|---|---|---|---|---|
| CVE-2026-4352 | JetEngine ≤ 3.8.6.1 | 7.5 | SQL注入(未认证) | CCT REST API搜索端点,_cct_search参数直接拼接SQL,无需认证即可提取数据库敏感信息 |
| CVE-2026-4388 | Form Maker by 10Web ≤ 1.15.40 | 7.2 | 存储型XSS(未认证) | 表单提交注入JS,管理员查看提交详情时触发 |
| CVE-2026-6227 | BackWPup ≤ 5.6.6 | 7.2 | 本地文件包含(LFI) | REST端点路径遍历绕过,可读取wp-config.php或RCE |
| CVE-2026-3017 | Smart Post Show ≤ 3.0.12 | 7.2 | PHP对象注入 | 反序列化不可信输入,需配合POP链利用 |
二、🌐 重大安全事件
1. Operation PowerOFF:国际执法打击DDoS租用服务(4月17日)
-
21个国家联合执法行动,查封53个DDoS域名,逮捕4人
-
涉及超过75,000名网络犯罪分子使用的DDoS-for-hire服务
-
获取包含300万+犯罪用户账户的数据库
-
已发出25份搜查令,向已识别用户发送警告邮件
-
参与国:澳大利亚、奥地利、比利时、巴西、保加利亚、丹麦、爱沙尼亚、芬兰、德国、日本、拉脱维亚、立陶宛、卢森堡、荷兰、波兰、葡萄牙、瑞典、泰国、英国、美国等
来源:The Hacker News(2026年4月17日)
2. Mirai变种Nexcorium利用CVE-2024-3721攻击TBK DVR(4月18日)
-
威胁行为者利用TBK DVR设备漏洞CVE-2024-3721(CVSS 6.3,命令注入)
-
部署Mirai变种Nexcorium,构建DDoS僵尸网络
-
同时攻击已停产的TP-Link Wi-Fi路由器
-
研究来源:Fortinet FortiGuard Labs + Palo Alto Networks Unit 42
-
核心问题:IoT设备缺乏补丁、安全配置薄弱,成为大规模攻击的首选目标
来源:The Hacker News(2026年4月18日)
3. ThreatsDay周报:Defender 0-Day、SonicWall暴力破解、17年历史Excel RCE(4月16日)
-
Zerion加密钱包被黑:疑似朝鲜黑客,内部热钱包被盗约10万美元
-
Defender 0-Day:Windows Defender存在零日漏洞(细节待披露)
-
SonicWall暴力破解:SonicWall设备遭大规模暴力破解攻击
-
17年历史Excel RCE:一个存在17年的Excel远程代码执行漏洞被重新发现并利用
来源:The Hacker News(2026年4月16日)
4. Google Android 17隐私重大升级(4月17日)
-
Google宣布Android 17新隐私策略:引入Contact Picker,应用只能访问用户选择的特定联系人(替代过于宽泛的READ_CONTACTS权限)
-
2025年全年:Google封锁/删除83亿条违规广告,暂停2490万个账户
-
新政策限制第三方应用对联系人列表和位置信息的访问方式
来源:The Hacker News(2026年4月17日)
三、📈 本周漏洞统计
按厂商分布(高危+严重)
| 厂商 | 高危CVE数量 | 代表漏洞类型 |
|---|---|---|
| Microsoft | 30+ | RCE、LPE、认证绕过 |
| Adobe | 15+ | 堆溢出RCE、XSS |
| WordPress生态 | 20+ | SQL注入、XSS、LFI、PHP对象注入 |
| SAP | 5+ | 授权缺失、信息泄露 |
| Siemens(工控) | 3+ | 认证绕过、命令注入 |
| AI框架 | 5+ | 命令注入、代码注入、SSRF、XSS |
| IoT/路由器 | 10+ | 栈溢出、命令注入 |
按漏洞类型分布
| 漏洞类型 | 占比估算 | 代表CVE |
|---|---|---|
| 缓冲区溢出(栈/堆) | ~25% | Tenda F451系列、Adobe InDesign |
| 跨站脚本(XSS) | ~20% | WordPress插件、Adobe Connect、lollms |
| 代码/命令注入 | ~15% | MetaGPT、MaxKB、Tenda |
| SQL注入 | ~10% | JetEngine、WordPress插件 |
| 权限提升(LPE) | ~10% | Microsoft Defender、WSUS |
| 认证绕过 | ~8% | Siemens SINEC NMS |
| Use-After-Free | ~7% | Microsoft Office Word、WSUS |
| SSRF/CSRF | ~5% | MetaGPT |
四、⚡ 本周重要时间线
| 日期 | 事件 |
|---|---|
| 4月12日 | MaxKB、MetaGPT、lollms多个AI框架漏洞集中披露 |
| 4月12日 | Tenda F451路由器多个栈溢出漏洞(CVE-2026-6120~6124)披露 |
| 4月14日 | Microsoft Patch Tuesday:大规模补丁日,Office/SQL Server/AD/Defender等 |
| 4月14日 | Adobe安全公告:InDesign堆溢出RCE、Connect XSS |
| 4月14日 | SAP安全公告:ERP/S4HANA授权缺失漏洞 |
| 4月14日 | Siemens SINEC NMS:工控系统认证绕过漏洞 |
| 4月14日 | WordPress JetEngine SQL注入、BackWPup LFI等插件漏洞披露 |
| 4月16日 | ThreatsDay周报:Defender 0-Day、17年历史Excel RCE |
| 4月17日 | Operation PowerOFF:21国联合查封53个DDoS域名 |
| 4月17日 | Google Android 17隐私重大升级公告 |
| 4月18日 | Mirai变种Nexcorium利用TBK DVR漏洞构建DDoS僵尸网络 |
五、🛡️ 本周修复建议(优先级排序)
| 优先级 | 产品 | 操作 |
|---|---|---|
| 🔴 P0 | Microsoft Office(Word) | 立即安装4月Patch Tuesday补丁 |
| 🔴 P0 | Microsoft SQL Server | 立即安装4月SQL Server安全更新 |
| 🔴 P0 | Windows Server(AD) | 立即安装4月Windows Server补丁 |
| 🔴 P0 | Adobe InDesign | 升级至20.5.3 / 21.3 |
| 🟠 P1 | Adobe Connect | 安装APSB26-37补丁 |
| 🟠 P1 | Siemens SINEC NMS | 升级至V4.0 SP3(工控环境优先) |
| 🟠 P1 | SAP ERP / S/4HANA | 应用SAP Note 3731908 |
| 🟠 P1 | MaxKB | 升级至2.8.0 |
| 🟡 P2 | MetaGPT | 关注官方修复进展,暂时限制网络访问 |
| 🟡 P2 | WordPress JetEngine | 升级至3.8.6.2+(关注Crocoblock官方公告) |
| 🟡 P2 | WordPress BackWPup | 升级至5.6.7+ |
| 🟡 P2 | TBK DVR / TP-Link EoL路由器 | 隔离网络或更换设备 |
六、🔍 趋势洞察
-
AI框架成新攻击面:本周MetaGPT、MaxKB、lollms等AI工具链集中爆发漏洞,且多个PoC已公开,MetaGPT项目方尚未响应,风险持续存在。
-
Patch Tuesday规模扩大:4月补丁日涵盖Office、SQL Server、Active Directory、Defender、WSUS等核心组件,修复优先级极高。
-
工控系统持续受威胁:Siemens SINEC NMS认证绕过漏洞影响工业网络管理系统,OT/ICS环境需特别关注。
-
IoT僵尸网络活跃:Mirai变种Nexcorium利用已知漏洞攻击TBK DVR,IoT设备补丁滞后问题依然严峻。
-
DDoS-for-hire生态被打击:Operation PowerOFF是近年来规模最大的DDoS服务打击行动之一,但类似服务仍会快速重建。
转载自CSDN-专业IT技术社区
