每日安全情报报告 · 2026-07-11 📅 2026/7/12 5:10:17 每日安全情报报告 · 2026-07-11报告时间2026年7月11日周六覆盖窗口2026年7月9日—7月11日本期风险概览CISA 近 48 小时内新增 5 项在野利用 CVEJoomla 插件生态连续出现 CVSS 10.0 未认证文件上传/RCEGitea Docker 镜像默认配置缺陷遭在野扫描Progress ShareFile 因“可信外部威胁”被紧急要求下线Injective Labs npm 供应链遭仓库入侵并被投毒钱包窃取器Chrome 150 紧急修复 27 个安全漏洞含 2 个 Critical。一、最新高危漏洞CVE1. CVE-2026-48939 — Joomla iCagenda 未认证任意文件上传 → RCE风险级别 CriticalCVSS 4.0 10.0漏洞类型任意文件上传 / 未认证 RCE受影响组件Joomla iCagenda 扩展版本 1.0.0–3.9.14、4.0.0–4.0.7核心风险公开活动提交表单的附件功能未校验文件后缀任意访客可直接上传 PHP webshell 至images/icagenda/frontend/attachments/实现完整服务器接管。CISA 已确认在野利用KEV 加入日期 2026-07-10BOD 26-04 修复截止 2026-07-13。修复建议立即升级至 iCagenda 4.0.8若无法升级关闭前台文件附件或限制提交表单访问。参考链接CISA KEV 条目IONIX 技术分析NVD 详情2. CVE-2026-56291 — Balbooa Forms 未认证任意文件上传 → RCE风险级别 CriticalCVSS 4.0 10.0漏洞类型任意文件上传 / 未认证 RCE受影响组件Balbooa Forms for Joomla核心风险与 iCagenda 同批被 CISA 加入 KEV2026-07-10允许未认证攻击者上传可执行文件并执行任意代码BOD 26-04 修复截止 2026-07-13。参考链接CISA KEV 条目NVD 详情3. CVE-2026-20896 — Gitea Docker 镜像默认配置导致认证绕过风险级别 CriticalCVSS 3.1 9.8漏洞类型认证绕过 / 配置缺陷受影响组件Gitea Docker 镜像 ≤ 1.26.2核心风险Docker 镜像默认REVERSE_PROXY_TRUSTED_PROXIES*当启用反向代理认证时攻击者通过构造X-WEBAUTH-USER请求头即可冒充任意用户包括管理员无需凭据。研究人员已在披露 13 天后观察到主动扫描约 6,200 个暴露实例面临风险。修复建议升级至 Gitea 1.26.3/1.26.4若无法升级将REVERSE_PROXY_TRUSTED_PROXIES限制为实际受信代理 IP/CIDR或关闭反向代理认证。参考链接Gitea 安全公告The Hacker News 报道NVD 详情4. CVE-2026-55255 — Langflow 授权绕过IDOR→ 跨用户 Flow 执行风险级别 HighCVSS 8.4漏洞类型授权绕过 / IDOR受影响组件Langflow核心风险CISA 于 2026-07-07 加入 KEV。攻击者可通过操控用户可控键绕过授权检查以其他用户身份执行 Flow进而读取或修改数据。BOD 26-04 修复截止 2026-07-10已到期。参考链接CISA KEV 条目NVD 详情5. CVE-2026-48908 — JoomShaper SP Page Builder 未认证文件上传 → RCE风险级别 CriticalCVSS 10.0漏洞类型任意文件上传 / 未认证 RCE受影响组件JoomShaper SP Page Builder for Joomla核心风险CISA 于 2026-07-07 加入 KEV与 CVE-2026-56290 共同构成 Joomla 插件生态严重漏洞批次。修复截止 2026-07-10已到期。参考链接CISA KEV 条目NVD 详情6. CVE-2026-56290 — Joomlack Page Builder 未认证访问控制绕过 → 文件上传风险级别 CriticalCVSS 10.0漏洞类型访问控制不当 / 未认证 RCE受影响组件Joomlack Page Builder for Joomla核心风险CISA 于 2026-07-07 加入 KEV修复截止 2026-07-10已到期。参考链接CISA KEV 条目NVD 详情7. CVE-2026-59194 — pnpmpatch-remove路径遍历导致任意文件删除风险级别 HighCVSS 3.1 7.1漏洞类型路径遍历 / 任意文件删除受影响组件pnpm 10.34.411.0.0–11.7.0核心风险攻击者通过构造恶意 patch 条目使pnpm patch-remove解析到 patches 目录之外并删除任意可达文件。该漏洞可能破坏 CI/CD 构建环境或删除关键凭证/配置文件。修复建议升级至 pnpm 10.34.4 或 11.7.0在不可信仓库中避免执行 patch 相关命令。参考链接GitHub 安全公告NVD 详情8. CVE-2026-33264 — Apache Airflow DAG 作者反序列化 → 调度器 RCE风险级别 CriticalCVSS 3.1 9.8漏洞类型反序列化 / 远程代码执行受影响组件Apache Airflow 3.3.0核心风险Scheduler/API Server 在加载序列化 DAG 时通过BaseSerialization.deserialize()反序列化trigger_kwargs与next_kwargs未校验类路径。DAG 作者可植入恶意类路径在调度进程中执行任意代码跨越 DAG 作者代码不应在调度进程中执行的安全边界。修复建议升级至 apache-airflow 3.3.0审计 DAG 来源并限制 DAG 作者权限。参考链接阿里云漏洞库NVD 详情9. CVE-2026-41514 / CVE-2026-44362 — OP-TEE 可信执行环境双漏洞风险级别CVE-2026-41514: LowCVSS 3.1 3.3CVE-2026-44362: MediumCVSS 3.1 5.5漏洞类型Manger 风格填充 Oracle / 子密钥回滚保护绕过受影响组件OP-TEE 3.20.0–4.10.xCVE-2026-44362OP-TEE 4.5.0–4.10.xCVE-2026-41514核心风险CVE-2026-41514 利用 Hisilicon HPRE RSA-OAEP 解密实现中的非恒定时间memcmp()和可区分错误路径约 1000–2000 次自适应选择密文可恢复明文CVE-2026-44362 因子密钥版本未正确传播到运行时结构导致回滚检查被绕过可用降级子密钥链加载受信应用。修复建议升级至 OP-TEE 4.11.0对 CVE-2026-41514 可临时禁用CFG_HISILICON_ACC_V3。参考链接CVE-2026-41514 NVD 详情CVE-2026-44362 NVD 详情GitHub Security Advisory (41514)GitHub Security Advisory (44362)10. CVE-2026-54158 — SiYuan 存储型 XSS → Electron 桌面端 RCE风险级别 CriticalCVSS 3.1 9.9漏洞类型存储型 XSS → RCE受影响组件SiYuan 笔记 3.7.0核心风险属性视图数据库单元格渲染器genAVValueHTML()在 text/url/phone/mAsset 分支中直接插值单元格内容恶意 payload 在打开块属性面板时触发 JavaScript 执行Electron 桌面端 renderer 启用nodeIntegration:true可进一步通过require(child_process)实现主机 RCE。恶意文件随工作区同步影响所有打开该面板的设备。修复建议升级至 SiYuan 3.7.0避免同步来源不明的工作区。参考链接CVE 详情GitHub 安全公告11. CVE-2026-54089 — File Browser 代理认证头伪造导致认证绕过风险级别 HighCVSS 3.1 9.1漏洞类型认证绕过 / 欺骗性认证受影响组件File Browser ≥ 2.0.0-rc.1auth.methodproxy核心风险使用代理认证时服务器未验证代理认证头来源任意攻击者可发送伪造 header 冒充任意用户包括 admin若指定不存在的用户名还会自动创建新账户。修复建议升级至最新修复版本在代理层剥离/校验X-*认证头。参考链接GitHub 安全公告CVE 详情二、最新漏洞 PoC / 利用情报1. CVE-2026-20896 — Gitea Docker 认证绕过单 Header 利用PoC 状态公开可用无需编译无需凭据利用步骤确认目标 Gitea Docker 版本 ≤ 1.26.2 且启用了反向代理认证ENABLE_REVERSE_PROXY_AUTHENTICATIONtrue。发送任意 API 请求并在请求头中加入X-WEBAUTH-USER: admin或已知管理员用户名。服务器将请求视为已认证管理员可访问/修改所有仓库、读取 secrets、CI/CD 配置等。示例请求http GET /api/v1/user HTTP/1.1 Host: vulnerable-gitea.example.com X-WEBAUTH-USER: adminGitHub 检测脚本GitHub - CVE-2026-20896 PoC and Detector社区仓库使用前请审计参考链接ProbablyPwned 技术分析Infosec.ge 技术博客2. CVE-2026-48939 — iCagenda 未认证文件上传PoC 状态在野利用已确认CISA KEV 已收录公开 PoC 已流传利用步骤从公开 iCagenda 活动提交页面获取 form token。直接 POST 一个.php文件到表单处理端点绕过前端视图层限制。文件被写入images/icagenda/frontend/attachments/通过浏览器访问该 URL 执行 webshell。检测/缓解脚本扫描images/icagenda/frontend/attachments/目录下是否存在非预期.php文件。参考链接IONIX 威胁中心3. CVE-2026-46242 — Bad Epoll Linux 内核本地提权公开 PoCPoC 状态公开 PoCLinux 6.4 及 Android 受影响利用步骤在受影响的 Linux 内核上编译并运行 PoC通常需要普通用户权限。利用 epoll 子系统竞态条件 UAF触发特权提升。成功率约 99%数秒内获得 root。参考链接FreeBuf 周报报道The Hacker News 技术分析4. CVE-2026-59194 — pnpm 任意文件删除验证PoC 状态未公开完整利用链但可通过构造patchedDependencies复现路径解析利用步骤准备一个受控项目在pnpm-lock.yaml的patchedDependencies中写入类似../etc/passwd的 patch 路径。执行pnpm patch-remove package。观察是否成功解析到 patches 目录之外并删除目标文件。修复版本pnpm 10.34.4 / 11.7.0参考链接GitHub Security Advisory三、网络安全最新文章1. Progress 紧急要求 ShareFile 客户下线 Storage Zone Controllers来源The Hacker News / BleepingComputer摘要2026-07-10Progress Software 向 ShareFile Storage Zone Controller 客户群发邮件称其面临“可信外部安全威胁”要求立即关闭相关 Windows 服务器。该公司同时暂停了受影响账户访问并声明暂无证据表明 ShareFile 账户或数据被未授权访问。云账户不受影响但 SZC 作为客户自持的互联网暴露组件成为攻击目标。该事件与 2026-04 披露的两个 CVSS 10.0 级 SZC RCE 漏洞CVE-2026-2699/2701是否相关尚未确认。原文链接The Hacker News 报道BleepingComputer 报道2. Injective Labs npm 供应链遭入侵18 个包被植入钱包窃取器来源The Hacker News / Datadog Security Labs / StepSecurity摘要2026-07-08攻击者通过入侵可信开发者 GitHub 账户向injectivelabs/sdk-ts等 18 个包发布恶意版本 1.20.21。该版本伪装成“密钥派生遥测”在调用PrivateKey.fromMnemonic()/fromHex()时捕获 BIP-39 助记词和私钥base64 编码后通过X-Request-Id头发送到伪造的 gRPC-Web 端点。恶意版本存活约 49 分钟被下载 300 次随后被回滚并发布 1.20.23。建议依赖方立即审计并轮换所有在该时间窗口生成/加载过的钱包密钥。原文链接The Hacker News 报道Datadog Security Labs 深度分析StepSecurity 时间线3. Chrome 150 紧急修复 27 个安全漏洞含 2 个 Critical UAF来源Chrome Releases / PCWorld摘要Google 于 2026-07-08 发布 Chrome 150.0.7871.114/115修复 27 个安全漏洞。其中 2 个 Critical 为 use-after-freeCVE-2026-15112Ozone和 CVE-2026-15129Views可导致远程堆损坏或沙箱逃逸另有 23 个 High、2 个 Medium。Google 表示目前暂无在野利用证据但建议用户尽快更新。原文链接Chrome Releases 官方公告PCWorld 报道4. Claude Code 被工信部通报存在后门隐患阿里已全面禁用来源FreeBuf 周报 / 央广网 / 环球网摘要工信部网络安全威胁和漏洞信息共享平台NVDB通报Anthropic 公司 AI 编程工具 Claude Code 2.1.91–2.1.196 版本存在安全后门可未经用户同意回传用户地域、身份标识等敏感信息。阿里内部已全面禁用并推荐替代工具。事件凸显 AI 编程工具供应链与数据主权风险。原文链接FreeBuf 周报环球网社评5. Friendly Fire 攻击远程劫持 AI 编码 Agent 执行恶意代码来源The Hacker News / FreeBuf 周报摘要研究人员披露“Friendly Fire”攻击模式利用 AI 代码审查漏洞通过伪装成安全脚本的恶意文件诱导 Claude Code、GPT-5.5 等编码 Agent 在自动模式下直接执行绕过现有防御。建议限制 AI Agent 对不可信代码的执行权限并在 CI/CD 中引入人工审查。原文链接FreeBuf 周报The Hacker News 报道6. Januscape16 年历史的 Linux KVM 虚拟机逃逸漏洞来源BleepingComputer / The Hacker News摘要名为 Januscape 的 Linux 内核漏洞允许在 Intel/AMD 平台上的 KVM 虚拟机逃逸并在宿主机执行任意代码。该漏洞已潜伏 16 年已发布补丁。建议管理员检查/dev/kvm权限并遵循最小权限原则。原文链接BleepingComputer 报道7. Accenture 确认数据泄露黑客兜售 35 GB 源代码与密钥来源BleepingComputer / 安全圈摘要IT 服务巨头 Accenture 确认发生安全事件威胁行为者“888”声称窃取 35 GB 数据包括源代码、RSA/SSH 密钥、Azure PAT 及存储访问密钥并在网络犯罪论坛出售。Accenture 称已修复根源且未影响服务交付但未就数据范围置评。该事件再次提醒企业需严格审计 DevOps 凭证与仓库访问日志。原文链接BleepingComputer 报道8. New ChocoPoC RAT 通过虚假 PoC 仓库瞄准安全研究员来源The Hacker News / YesWeHack / BleepingComputer摘要攻击者在 GitHub 发布包含恶意代码的虚假漏洞 PoC 仓库利用安全研究员“看到 PoC 就运行”的习惯投递 ChocoPoC RAT。建议安全研究员对所有互联网 PoC 默认不可信运行前进行完整审计。原文链接The Hacker News 报道BleepingComputer 报道9. CISA 新增 KEV 动态Joomla 插件生态连续出现 CVSS 10.0来源CISA摘要2026-07-07 与 2026-07-10CISA 分别新增 3 项和 2 项 KEV其中 Joomla 生态插件iCagenda、JoomShaper SP Page Builder、Joomlack Page Builder、Balbooa Forms占据 4 项且全部为 CVSS 10.0 未认证文件上传/访问控制绕过。LangflowCVE-2026-55255为 IDOR 型授权绕过。建议运行 Joomla 的组织立即清查上述插件版本并修复。原文链接CISA 2026-07-07 公告CISA 2026-07-10 公告四、补丁与修复优先级建议优先级CVE / 事件关键动作截止时间P0CVE-2026-48939 / CVE-2026-56291升级 iCagenda / Balbooa Forms离线或 WAF 阻断前台文件上传2026-07-13CISA KEVP0CVE-2026-20896升级 Gitea Docker 至 1.26.3审计 admin 访问日志立即P0Progress ShareFile SZC按厂商要求关闭 Storage Zone Controller等待进一步通知立即P1CVE-2026-55255 / CVE-2026-48908 / CVE-2026-56290修复 Langflow 与 Joomla 插件已逾期 KEV 需纳入应急响应已逾期P1CVE-2026-59194升级 pnpm 至 10.34.4/11.7.0审计patchedDependencies尽快P1CVE-2026-33264升级 Apache Airflow 至 3.3.0审计 DAG 作者权限尽快P2Chrome 150全终端强制更新 Chrome1–2 周内P2Injective npm 事件审计 2026-07-08 是否下载 injectivelabs 1.20.21轮换钱包密钥尽快五、情报总结本期报告覆盖 2026-07-09 至 2026-07-11 的安全情报。主要风险包括Joomla 插件生态爆发CISA 连续两天将 4 个 Joomla 插件漏洞CVSS 10.0加入 KEV表明该生态正被大规模 weaponized建议立即清理互联网暴露的 Joomla 站点。自托管 DevOps 工具成高价值目标Gitea Docker 认证绕过、Apache Airflow DAG 作者 RCE 均凸显自托管代码/流水线平台一旦被攻破将直接威胁供应链核心。供应链与 AI 工具风险叠加Injective npm 供应链事件与 Claude Code 后门/AI Agent 诱导执行事件表明开发者工具与 AI 编码助手已成为国家级监管与攻击者的共同焦点。企业文件共享与云边界承压Progress ShareFile SZC 被紧急要求下线反映企业级文件共享边界组件仍然是攻防关键节点。报告生成WorkBuddy 安全情报自动化发布渠道CSDN粉丝可见免责声明本报告内容基于公开来源整理仅供参考不构成安全建议。请结合自身环境评估风险并采取防护措施。