每日安全情报报告 · 2026-06-30数据窗口2026-06-28 ~ 2026-06-30重点近 24-48 小时涵盖高危 CVE / 公开 PoC / 在野利用 / 厂商安全公告 / 重要安全事件风险等级 严重 (CVSS ≥ 9.0) 高 (7.0~8.9) 中 (4.0~6.9)一、 今日焦点24 小时内必读1. Oracle E-Business Suite CVE-2026-46817 在野利用 — CVSS 9.8 严重风险等级 严重确认在野利用漏洞类型Oracle Payments 文件传输未授权远程接管受影响组件Oracle E-Business Suite 12.2.3 ~ 12.2.15File Transmission 组件触发条件仅需 HTTP 网络访问无需认证威胁态势6 月 27-28 日周末首次观测到利用6 月 29 日 Captured live attack activity威胁行为者已批量攻击NVD 详情NVD CVE-2026-46817阿里云详情阿里云 AVD 详情在野利用报道Cybersecurity News 报道深度分析Anavem 详细分析处置建议立即应用 Oracle 2026-04 CPU 补丁外部 EBS 接口收敛至内网监控 Oracle Payments 日志异常上传/下载2. Splunk Secure Gateway CVE-2026-20251 反序列化 RCE 公开 PoC — CVSS 8.8 高风险等级 高PoC 公开漏洞类型App Key Value Store jsonpickle 不安全反序列化受影响组件Splunk Enterprise Cloud Platform启用 SSG 应用的低权限用户可触发利用方式低权限用户向 KV Storemobile_alerts集合写入恶意 JSON 文档 → 反序列化触发 RCENVD/Splunk 公告SVD-2026-0601阿里云详情AVD-2026-20251PoC 公开报道Cybersecurity News 报道PoC 代码仓库reactivezero/CVE-2026-20251处置建议升级 Splunk 至 9.4.4 / 9.3.6 / 9.2.8 / 9.1.10 或更高临时缓解可关闭 SSG 应用二、 高危/严重 CVE 速览近 48 小时CVE 编号组件漏洞类型CVSS风险状态CVE-2026-46817Oracle EBS Payments未认证远程接管9.8在野利用CVE-2026-12537Google Gemini CLI / run-gemini-cli容器启动器 OS 命令注入9.8厂商已修CVE-2026-41120Dell Wyse Management SuiteRCE低权限无需用户交互9.8厂商已修CVE-2026-49506Dell Wyse Management SuiteRCE7.2厂商已修CVE-2026-20950Microsoft 365 ExcelUAF → RCE8.8公开披露CVE-2026-20251Splunk SSG反序列化 RCE8.8PoC 公开CVE-2026-33017Langflow AI Workflow未认证 RCE9.3-10.0持续在野三、 重要漏洞详情1. CVE-2026-12537Google Gemini CLI 容器启动器 OS 命令注入 — CVSS 9.8漏洞位置container launcherGemini CLI 0.39.1run-gemini-cli 0.1.22触发条件在不可信目录中启动 Gemini CLIheadless CI 环境攻击效果在容器宿主上执行任意代码厂商公告GitHub Advisory GHSA-jj69-4grx-fqj5NVD 详情NVD CVE-2026-12537安全研究RedGuard 详细分析媒体复盘Cybersecurity News 报道FreeBuf 解读FreeBuf 修复分析处置建议升级 Gemini CLI 至 0.39.1、run-gemini-cli Action 至 0.1.22CI runner 切换至专用工作目录2. CVE-2026-41120 / 49506Dell Wyse Management Suite 双重 RCE — CVSS 9.8 / 7.2漏洞类型CVE-2026-41120 为接受外部不受信任数据与受信数据CVSS 9.8CVE-2026-49506 严重度 7.2受影响版本Wyse Management Suite 5.5 HF1 之前触发条件低权限远程攻击者无需用户交互厂商公告Dell Security Advisory外链汇总NVD 详情代表性SentinelOne CVE-2026-22766安全分析BaseFortify 详细处置建议升级至 WMS 5.5 HF1限制 WMS 管理控制台访问源3. CVE-2026-20950Microsoft 365 Apps Excel UAF → RCE — CVSS 8.8漏洞类型Excel Use-After-Free可通过恶意 .xlsx 触发触发条件用户打开恶意 Excel 文件攻击效果本地任意代码执行NVD 详情SentinelOne CVE-2026-20950复现报道Cybersecurity News 详情处置建议应用 2026-06 补丁日更新限制外部 Excel 附件执行启用 AMSI / Attack Surface Reduction4. CVE-2026-33017Langflow AI Workflow 平台未认证 RCE — CVSS 9.3-10.0漏洞位置/api/v1/load_db/endpoint接收攻击者控制的data参数触发条件未认证访问公网 Langflow 实例武器化速度2026-03 披露后 20 小时内出现公开 EXPJFrog 研究1.8.2 仍可被利用JFrog 分析GitHub AdvisoryGHSA-vwmf-pq79-vjvxPoC 仓库MaxMnMl/langflow-CVE-2026-33017-poc中文解读腾讯云开发者社区分析FreeBuf 报道披露 20 小时即被武器化处置建议升级 Langflow 至 1.8.3公网实例务必启用认证监控异常 Python 节点执行四、 公开 PoC 与利用工具包1. Splunk SSG CVE-2026-20251 反序列化 PoC仓库reactivezero/CVE-2026-20251使用步骤bash git clone https://github.com/reactivezero/CVE-2026-20251.git cd CVE-2026-20251 # 依据 README 配置 Splunk 凭据运行 PoC python3 exploit.py --target splunk_host --user low_priv_user --payload rce_payload适用版本Splunk Enterprise 9.0.0 ~ 9.4.3 / 9.3.5 / 9.2.7 / 9.1.92. Langflow CVE-2026-33017 PoC仓库MaxMnMl/langflow-CVE-2026-33017-poc使用步骤bash git clone https://github.com/MaxMnMl/langflow-CVE-2026-33017-poc.git cd langflow-CVE-2026-33017-poc pip install -r requirements.txt # 通过 /api/v1/load_db/endpoint 注入恶意 flow data python3 exploit.py --url http://langflow_target:78603. cURL/libssh2 漏洞 PoC 集合持续更新仓库XZ1r0/cve-2026-poc-collection84 CVE / 128 PoC仓库Unclecheng-li/poc-lab近期高危 PoC 复现仓库0xMarcio/cve最新 CVE PoC 索引使用方式clone 后按子目录对应 CVE 编译运行4. Linux 内核 Copy-FailCVE-2026-31431系列 PoC代表性仓库Percivalll/Copy-Fail-CVE-2026-31431-Kubernetes-PoC额外仓库Dullpurple-sloop726/CVE-2026-31431-Linux-Copy-Fail使用步骤bash git clone https://github.com/Percivalll/Copy-Fail-CVE-2026-31431-Kubernetes-PoC.git cd Copy-Fail-CVE-2026-31431-Kubernetes-PoC make ./exploit5. n8n Ni8mare CVE-2026-21858 RCE PoCCVSS 10.0仓库Chocapikk/CVE-2026-21858风险等级 严重CVSS 10.0影响n8n 工作流自动化平台远程代码执行6. Langflow RCE 武器化事件复盘文章含完整 EXP复盘Openclaw Langflow CVE-2026-33017 深度复盘特色含 WAF 规则、企业级防御策略五、️ 重要安全事件与 APT 动态1. KDDI 数据泄露6 家 ISP 1420 万邮箱凭证外泄事件时间2026-06-17 攻击发生6 月 29 日公开披露影响范围日本 KDDI 旗下 6 家 ISP 共享邮件后端约 1420 万邮箱地址 密码明文泄露攻击路径第三方共享软件漏洞安全建议相关用户立即修改密码 启用 2FA报道SecurityAffairs 详情TechRepublic 报道TechTimes 详细分析Rescana 事件响应报告2. Turla APT 部署 STOCKSTAY .NET 后门 — 持续针对乌克兰威胁组织Turla俄罗斯 FSB 关联新后门STOCKSTAY.NET 编写通过 RDP 诱饵、WebSocket C2 投递目标乌克兰政府 / 军事组织长期情报刺探披露方Google Threat Intelligence Group技术分析The Hacker News 报道DigitalWarfare 详情VPNCentral 分析Cyberpress 报道3. Mozilla 0DINClaude Code 恶意 GitHub 仓库可完全控制开发者系统研究方Mozilla Zero Day Investigative Network (0DIN)漏洞本质Agentic coding 工具执行仓库 README/错误日志中隐藏指令绕开传统代码审查影响Claude Code、Cursor 等 Agent 编码工具影响范围开发者主机失陷 → 供应链投毒 → 组织级入侵披露时间2026-06-29详细分析Cybersecurity News 详细The Decoder 报道OpenSourceForU 分析Aviatrix 技术分析六、 精选安全文章10 篇Oracle E-Business Suite CVE-2026-46817 在野利用— 严重 9.8 未认证远程接管Captured live attack 已在野6 月 27-28 周末开始批量利用。 阅读原文Splunk Secure Gateway CVE-2026-20251 反序列化 RCE PoC 公开— 9 天前发布补丁本周公开 PoCKV Store 写一个 JSON 文档即可 RCE。 阅读原文Mozilla 0DINClaude Code 恶意 GitHub 仓库可完全控制开发者系统— Agent 编码工具执行恶意 README 隐藏指令绕过传统代码审计。 阅读原文Google Gemini CLI CVE-2026-12537 容器命令注入— CI/CD 环境中 Gemini CLI 0.39.1 之前版本存在容器逃逸CVSS 9.8。 阅读原文Dell Wyse Management Suite 多重 RCE 漏洞— WMS 5.5 HF1 之前低权限远程攻击者无需用户交互触发。 阅读原文Microsoft 365 Apps Excel CVE-2026-20950 UAF RCE— 恶意 Excel 文件触发攻击者可在用户系统上执行任意代码。 阅读原文EvilTokens 钓鱼攻陷 340 Microsoft 365 组织— 借 OAuth 2.0 Device Authorization Grant 流绕过 MFAAI 增强让命中数激增。 阅读原文KDDI 数据泄露6 家日本 ISP 1420 万邮箱凭证外泄— 共享邮件后端第三方软件漏洞6 月 17 日发生、6 月 29 日披露。 阅读原文Turla APT 部署 STOCKSTAY .NET 后门— Google 披露俄 FSB 关联组织新后门针对乌克兰政府军事目标。 阅读原文RedAmon AI 红队工具链侦察 → 利用 → 后渗透— 开源攻击性 AI 平台整合 Claude/GPT自动化攻击生命周期。 阅读原文七、 厂商安全公告本周更新厂商公告主题链接GoogleGemini CLI CVE-2026-12537 修复GitHub AdvisorySplunkSVD-2026-0601 SSG 反序列化官方公告DellWyse Management Suite 多重漏洞CyberWebSpider 汇总OracleEBS Payments 12.2.x 漏洞NVD CVE-2026-46817Mozilla 0DINClaude Code 供应链攻击Aviatrix 详情LangflowCVE-2026-33017 持续跟踪JFrog 后续分析八、 本期安全态势总结攻击面焦点AI 平台 / 编码代理Langflow10.0、Gemini CLI9.8、Claude Code供应链三连击AI 工具攻击面成系统性风险企业 ERPOracle EBS Payments9.8确认在野利用IT 管理平台Splunk SSG、Dell Wyse 双双 RCE数据泄露日本 KDDI 共享后端 1420 万凭证外泄事件响应要求加密化、零信任防御建议优先级排序立即处置24h 内Oracle EBS CPU 补丁、Splunk SSG 升级/卸载、Wyse WMS 升级、Gemini CLI 升级本周内审计 Agent 编码工具执行权限强制 Langflow 启用认证持续监控跟踪 CISA KEV 新增项、KEV 逾期列表启用 PowerShell / AMSI / EDR 行为检测工具与情报源漏洞情报阿里云漏洞库 / Cuberk Recent CVE在野利用跟踪CISA KEV / KEV DatabasePoC 仓库XZ1r0/cve-2026-poc-collection / Unclecheng-li/poc-lab / 0xMarcio/cve中文资讯FreeBuf / 安全客 / 腾讯漏洞情报英文资讯The Hacker News / Cybersecurity News / SecurityAffairs九、 延伸阅读CVE-2026 年度被利用漏洞分析2026 上半年高危 CVE 漏洞全景2026 年常规被利用漏洞全景25 个Yazoul Security June 2026 威胁简报CrowdStrike 2026 年 6 月补丁日分析Cyber Security Review 6 月新闻汇总报告生成时间2026-06-30 09:55 GMT8数据来源The Hacker News / Cybersecurity News / SecurityAffairs / FreeBuf / 安全客 / NVD / CISA KEV / GitHub / 厂商安全公告免责声明本报告仅用于安全情报分享请勿用于非法用途