每日安全情报报告 · 2026-07-11
报告时间:2026年7月11日(周六)
覆盖窗口:2026年7月9日—7月11日
本期风险概览:CISA 近 48 小时内新增 5 项在野利用 CVE;Joomla 插件生态连续出现 CVSS 10.0 未认证文件上传/RCE;Gitea Docker 镜像默认配置缺陷遭在野扫描;Progress ShareFile 因“可信外部威胁”被紧急要求下线;Injective Labs npm 供应链遭仓库入侵并被投毒钱包窃取器;Chrome 150 紧急修复 27 个安全漏洞(含 2 个 Critical)。
一、最新高危漏洞(CVE)
1. CVE-2026-48939 — Joomla iCagenda 未认证任意文件上传 → RCE
- 风险级别:🔴 Critical(CVSS 4.0 10.0)
- 漏洞类型:任意文件上传 / 未认证 RCE
- 受影响组件:Joomla iCagenda 扩展,版本 1.0.0–3.9.14、4.0.0–4.0.7
- 核心风险:公开活动提交表单的附件功能未校验文件后缀,任意访客可直接上传 PHP webshell 至
images/icagenda/frontend/attachments/,实现完整服务器接管。CISA 已确认在野利用,KEV 加入日期 2026-07-10,BOD 26-04 修复截止 2026-07-13。 - 修复建议:立即升级至 iCagenda 4.0.8;若无法升级,关闭前台文件附件或限制提交表单访问。
- 参考链接:
- CISA KEV 条目
- IONIX 技术分析
- NVD 详情
2. CVE-2026-56291 — Balbooa Forms 未认证任意文件上传 → RCE
- 风险级别:🔴 Critical(CVSS 4.0 10.0)
- 漏洞类型:任意文件上传 / 未认证 RCE
- 受影响组件:Balbooa Forms for Joomla
- 核心风险:与 iCagenda 同批被 CISA 加入 KEV(2026-07-10),允许未认证攻击者上传可执行文件并执行任意代码,BOD 26-04 修复截止 2026-07-13。
- 参考链接:
- CISA KEV 条目
- NVD 详情
3. CVE-2026-20896 — Gitea Docker 镜像默认配置导致认证绕过
- 风险级别:🔴 Critical(CVSS 3.1 9.8)
- 漏洞类型:认证绕过 / 配置缺陷
- 受影响组件:Gitea Docker 镜像 ≤ 1.26.2
- 核心风险:Docker 镜像默认
REVERSE_PROXY_TRUSTED_PROXIES=*,当启用反向代理认证时,攻击者通过构造X-WEBAUTH-USER请求头即可冒充任意用户(包括管理员),无需凭据。研究人员已在披露 13 天后观察到主动扫描,约 6,200 个暴露实例面临风险。 - 修复建议:升级至 Gitea 1.26.3/1.26.4;若无法升级,将
REVERSE_PROXY_TRUSTED_PROXIES限制为实际受信代理 IP/CIDR,或关闭反向代理认证。 - 参考链接:
- Gitea 安全公告
- The Hacker News 报道
- NVD 详情
4. CVE-2026-55255 — Langflow 授权绕过(IDOR)→ 跨用户 Flow 执行
- 风险级别:🟠 High(CVSS 8.4)
- 漏洞类型:授权绕过 / IDOR
- 受影响组件:Langflow
- 核心风险:CISA 于 2026-07-07 加入 KEV。攻击者可通过操控用户可控键绕过授权检查,以其他用户身份执行 Flow,进而读取或修改数据。BOD 26-04 修复截止 2026-07-10(已到期)。
- 参考链接:
- CISA KEV 条目
- NVD 详情
5. CVE-2026-48908 — JoomShaper SP Page Builder 未认证文件上传 → RCE
- 风险级别:🔴 Critical(CVSS 10.0)
- 漏洞类型:任意文件上传 / 未认证 RCE
- 受影响组件:JoomShaper SP Page Builder for Joomla
- 核心风险:CISA 于 2026-07-07 加入 KEV,与 CVE-2026-56290 共同构成 Joomla 插件生态严重漏洞批次。修复截止 2026-07-10(已到期)。
- 参考链接:
- CISA KEV 条目
- NVD 详情
6. CVE-2026-56290 — Joomlack Page Builder 未认证访问控制绕过 → 文件上传
- 风险级别:🔴 Critical(CVSS 10.0)
- 漏洞类型:访问控制不当 / 未认证 RCE
- 受影响组件:Joomlack Page Builder for Joomla
- 核心风险:CISA 于 2026-07-07 加入 KEV,修复截止 2026-07-10(已到期)。
- 参考链接:
- CISA KEV 条目
- NVD 详情
7. CVE-2026-59194 — pnpmpatch-remove路径遍历导致任意文件删除
- 风险级别:🟠 High(CVSS 3.1 7.1)
- 漏洞类型:路径遍历 / 任意文件删除
- 受影响组件:pnpm < 10.34.4,11.0.0–11.7.0
- 核心风险:攻击者通过构造恶意 patch 条目,使
pnpm patch-remove解析到 patches 目录之外并删除任意可达文件。该漏洞可能破坏 CI/CD 构建环境或删除关键凭证/配置文件。 - 修复建议:升级至 pnpm 10.34.4 或 11.7.0+;在不可信仓库中避免执行 patch 相关命令。
- 参考链接:
- GitHub 安全公告
- NVD 详情
8. CVE-2026-33264 — Apache Airflow DAG 作者反序列化 → 调度器 RCE
- 风险级别:🔴 Critical(CVSS 3.1 9.8)
- 漏洞类型:反序列化 / 远程代码执行
- 受影响组件:Apache Airflow < 3.3.0
- 核心风险:Scheduler/API Server 在加载序列化 DAG 时,通过
BaseSerialization.deserialize()反序列化trigger_kwargs与next_kwargs,未校验类路径。DAG 作者可植入恶意类路径,在调度进程中执行任意代码,跨越 DAG 作者代码不应在调度进程中执行的安全边界。 - 修复建议:升级至 apache-airflow 3.3.0+;审计 DAG 来源并限制 DAG 作者权限。
- 参考链接:
- 阿里云漏洞库
- NVD 详情
9. CVE-2026-41514 / CVE-2026-44362 — OP-TEE 可信执行环境双漏洞
- 风险级别:CVE-2026-41514: 🟡 Low(CVSS 3.1 3.3);CVE-2026-44362: 🟡 Medium(CVSS 3.1 5.5)
- 漏洞类型:Manger 风格填充 Oracle / 子密钥回滚保护绕过
- 受影响组件:OP-TEE 3.20.0–4.10.x(CVE-2026-44362);OP-TEE 4.5.0–4.10.x(CVE-2026-41514)
- 核心风险:CVE-2026-41514 利用 Hisilicon HPRE RSA-OAEP 解密实现中的非恒定时间
memcmp()和可区分错误路径,约 1000–2000 次自适应选择密文可恢复明文;CVE-2026-44362 因子密钥版本未正确传播到运行时结构,导致回滚检查被绕过,可用降级子密钥链加载受信应用。 - 修复建议:升级至 OP-TEE 4.11.0+;对 CVE-2026-41514 可临时禁用
CFG_HISILICON_ACC_V3。 - 参考链接:
- CVE-2026-41514 NVD 详情
- CVE-2026-44362 NVD 详情
- GitHub Security Advisory (41514)
- GitHub Security Advisory (44362)
10. CVE-2026-54158 — SiYuan 存储型 XSS → Electron 桌面端 RCE
- 风险级别:🔴 Critical(CVSS 3.1 9.9)
- 漏洞类型:存储型 XSS → RCE
- 受影响组件:SiYuan 笔记 < 3.7.0
- 核心风险:属性视图(数据库)单元格渲染器
genAVValueHTML()在 text/url/phone/mAsset 分支中直接插值单元格内容,恶意 payload 在打开块属性面板时触发 JavaScript 执行;Electron 桌面端 renderer 启用nodeIntegration:true,可进一步通过require('child_process')实现主机 RCE。恶意文件随工作区同步,影响所有打开该面板的设备。 - 修复建议:升级至 SiYuan 3.7.0+;避免同步来源不明的工作区。
- 参考链接:
- CVE 详情
- GitHub 安全公告
11. CVE-2026-54089 — File Browser 代理认证头伪造导致认证绕过
- 风险级别:🟠 High(CVSS 3.1 9.1)
- 漏洞类型:认证绕过 / 欺骗性认证
- 受影响组件:File Browser ≥ 2.0.0-rc.1(auth.method=proxy)
- 核心风险:使用代理认证时,服务器未验证代理认证头来源,任意攻击者可发送伪造 header 冒充任意用户(包括 admin);若指定不存在的用户名,还会自动创建新账户。
- 修复建议:升级至最新修复版本;在代理层剥离/校验
X-*认证头。 - 参考链接:
- GitHub 安全公告
- CVE 详情
二、最新漏洞 PoC / 利用情报
1. CVE-2026-20896 — Gitea Docker 认证绕过(单 Header 利用)
- PoC 状态:公开可用,无需编译,无需凭据
- 利用步骤:
- 确认目标 Gitea Docker 版本 ≤ 1.26.2 且启用了反向代理认证(
ENABLE_REVERSE_PROXY_AUTHENTICATION=true)。 - 发送任意 API 请求,并在请求头中加入
X-WEBAUTH-USER: admin(或已知管理员用户名)。 - 服务器将请求视为已认证管理员,可访问/修改所有仓库、读取 secrets、CI/CD 配置等。
- 示例请求:
http GET /api/v1/user HTTP/1.1 Host: vulnerable-gitea.example.com X-WEBAUTH-USER: admin - GitHub 检测脚本:
- GitHub - CVE-2026-20896 PoC and Detector(社区仓库,使用前请审计)
- 参考链接:
- ProbablyPwned 技术分析
- Infosec.ge 技术博客
2. CVE-2026-48939 — iCagenda 未认证文件上传
- PoC 状态:在野利用已确认,CISA KEV 已收录;公开 PoC 已流传
- 利用步骤:
- 从公开 iCagenda 活动提交页面获取 form token。
- 直接 POST 一个
.php文件到表单处理端点,绕过前端视图层限制。 - 文件被写入
images/icagenda/frontend/attachments/,通过浏览器访问该 URL 执行 webshell。 - 检测/缓解脚本:
- 扫描
images/icagenda/frontend/attachments/目录下是否存在非预期.php文件。 - 参考链接:
- IONIX 威胁中心
3. CVE-2026-46242 — Bad Epoll Linux 内核本地提权(公开 PoC)
- PoC 状态:公开 PoC,Linux 6.4+ 及 Android 受影响
- 利用步骤:
- 在受影响的 Linux 内核上编译并运行 PoC(通常需要普通用户权限)。
- 利用 epoll 子系统竞态条件 + UAF,触发特权提升。
- 成功率约 99%,数秒内获得 root。
- 参考链接:
- FreeBuf 周报报道
- The Hacker News 技术分析
4. CVE-2026-59194 — pnpm 任意文件删除验证
- PoC 状态:未公开完整利用链,但可通过构造
patchedDependencies复现路径解析 - 利用步骤:
- 准备一个受控项目,在
pnpm-lock.yaml的patchedDependencies中写入类似../etc/passwd的 patch 路径。 - 执行
pnpm patch-remove <package>。 - 观察是否成功解析到 patches 目录之外并删除目标文件。
- 修复版本:pnpm 10.34.4 / 11.7.0+
- 参考链接:
- GitHub Security Advisory
三、网络安全最新文章
1. Progress 紧急要求 ShareFile 客户下线 Storage Zone Controllers
- 来源:The Hacker News / BleepingComputer
- 摘要:2026-07-10,Progress Software 向 ShareFile Storage Zone Controller 客户群发邮件,称其面临“可信外部安全威胁”,要求立即关闭相关 Windows 服务器。该公司同时暂停了受影响账户访问,并声明暂无证据表明 ShareFile 账户或数据被未授权访问。云账户不受影响,但 SZC 作为客户自持的互联网暴露组件成为攻击目标。该事件与 2026-04 披露的两个 CVSS 10.0 级 SZC RCE 漏洞(CVE-2026-2699/2701)是否相关尚未确认。
- 原文链接:
- The Hacker News 报道
- BleepingComputer 报道
2. Injective Labs npm 供应链遭入侵,18 个包被植入钱包窃取器
- 来源:The Hacker News / Datadog Security Labs / StepSecurity
- 摘要:2026-07-08,攻击者通过入侵可信开发者 GitHub 账户,向
@injectivelabs/sdk-ts等 18 个包发布恶意版本 1.20.21。该版本伪装成“密钥派生遥测”,在调用PrivateKey.fromMnemonic()/fromHex()时捕获 BIP-39 助记词和私钥,base64 编码后通过X-Request-Id头发送到伪造的 gRPC-Web 端点。恶意版本存活约 49 分钟,被下载 300+ 次,随后被回滚并发布 1.20.23。建议依赖方立即审计并轮换所有在该时间窗口生成/加载过的钱包密钥。 - 原文链接:
- The Hacker News 报道
- Datadog Security Labs 深度分析
- StepSecurity 时间线
3. Chrome 150 紧急修复 27 个安全漏洞,含 2 个 Critical UAF
- 来源:Chrome Releases / PCWorld
- 摘要:Google 于 2026-07-08 发布 Chrome 150.0.7871.114/115,修复 27 个安全漏洞。其中 2 个 Critical 为 use-after-free:CVE-2026-15112(Ozone)和 CVE-2026-15129(Views),可导致远程堆损坏或沙箱逃逸;另有 23 个 High、2 个 Medium。Google 表示目前暂无在野利用证据,但建议用户尽快更新。
- 原文链接:
- Chrome Releases 官方公告
- PCWorld 报道
4. Claude Code 被工信部通报存在后门隐患,阿里已全面禁用
- 来源:FreeBuf 周报 / 央广网 / 环球网
- 摘要:工信部网络安全威胁和漏洞信息共享平台(NVDB)通报,Anthropic 公司 AI 编程工具 Claude Code 2.1.91–2.1.196 版本存在安全后门,可未经用户同意回传用户地域、身份标识等敏感信息。阿里内部已全面禁用并推荐替代工具。事件凸显 AI 编程工具供应链与数据主权风险。
- 原文链接:
- FreeBuf 周报
- 环球网社评
5. Friendly Fire 攻击:远程劫持 AI 编码 Agent 执行恶意代码
- 来源:The Hacker News / FreeBuf 周报
- 摘要:研究人员披露“Friendly Fire”攻击模式,利用 AI 代码审查漏洞,通过伪装成安全脚本的恶意文件诱导 Claude Code、GPT-5.5 等编码 Agent 在自动模式下直接执行,绕过现有防御。建议限制 AI Agent 对不可信代码的执行权限,并在 CI/CD 中引入人工审查。
- 原文链接:
- FreeBuf 周报
- The Hacker News 报道
6. Januscape:16 年历史的 Linux KVM 虚拟机逃逸漏洞
- 来源:BleepingComputer / The Hacker News
- 摘要:名为 Januscape 的 Linux 内核漏洞允许在 Intel/AMD 平台上的 KVM 虚拟机逃逸并在宿主机执行任意代码。该漏洞已潜伏 16 年,已发布补丁。建议管理员检查
/dev/kvm权限并遵循最小权限原则。 - 原文链接:
- BleepingComputer 报道
7. Accenture 确认数据泄露,黑客兜售 35 GB 源代码与密钥
- 来源:BleepingComputer / 安全圈
- 摘要:IT 服务巨头 Accenture 确认发生安全事件,威胁行为者“888”声称窃取 35 GB 数据,包括源代码、RSA/SSH 密钥、Azure PAT 及存储访问密钥,并在网络犯罪论坛出售。Accenture 称已修复根源且未影响服务交付,但未就数据范围置评。该事件再次提醒企业需严格审计 DevOps 凭证与仓库访问日志。
- 原文链接:
- BleepingComputer 报道
8. New ChocoPoC RAT 通过虚假 PoC 仓库瞄准安全研究员
- 来源:The Hacker News / YesWeHack / BleepingComputer
- 摘要:攻击者在 GitHub 发布包含恶意代码的虚假漏洞 PoC 仓库,利用安全研究员“看到 PoC 就运行”的习惯投递 ChocoPoC RAT。建议安全研究员对所有互联网 PoC 默认不可信,运行前进行完整审计。
- 原文链接:
- The Hacker News 报道
- BleepingComputer 报道
9. CISA 新增 KEV 动态:Joomla 插件生态连续出现 CVSS 10.0
- 来源:CISA
- 摘要:2026-07-07 与 2026-07-10,CISA 分别新增 3 项和 2 项 KEV,其中 Joomla 生态插件(iCagenda、JoomShaper SP Page Builder、Joomlack Page Builder、Balbooa Forms)占据 4 项,且全部为 CVSS 10.0 未认证文件上传/访问控制绕过。Langflow(CVE-2026-55255)为 IDOR 型授权绕过。建议运行 Joomla 的组织立即清查上述插件版本并修复。
- 原文链接:
- CISA 2026-07-07 公告
- CISA 2026-07-10 公告
四、补丁与修复优先级建议
| 优先级 | CVE / 事件 | 关键动作 | 截止时间 |
|---|---|---|---|
| P0 | CVE-2026-48939 / CVE-2026-56291 | 升级 iCagenda / Balbooa Forms;离线或 WAF 阻断前台文件上传 | 2026-07-13(CISA KEV) |
| P0 | CVE-2026-20896 | 升级 Gitea Docker 至 1.26.3+;审计 admin 访问日志 | 立即 |
| P0 | Progress ShareFile SZC | 按厂商要求关闭 Storage Zone Controller,等待进一步通知 | 立即 |
| P1 | CVE-2026-55255 / CVE-2026-48908 / CVE-2026-56290 | 修复 Langflow 与 Joomla 插件,已逾期 KEV 需纳入应急响应 | 已逾期 |
| P1 | CVE-2026-59194 | 升级 pnpm 至 10.34.4/11.7.0+;审计patchedDependencies | 尽快 |
| P1 | CVE-2026-33264 | 升级 Apache Airflow 至 3.3.0+;审计 DAG 作者权限 | 尽快 |
| P2 | Chrome 150 | 全终端强制更新 Chrome | 1–2 周内 |
| P2 | Injective npm 事件 | 审计 2026-07-08 是否下载 @injectivelabs 1.20.21;轮换钱包密钥 | 尽快 |
五、情报总结
本期报告覆盖 2026-07-09 至 2026-07-11 的安全情报。主要风险包括:
- Joomla 插件生态爆发:CISA 连续两天将 4 个 Joomla 插件漏洞(CVSS 10.0)加入 KEV,表明该生态正被大规模 weaponized,建议立即清理互联网暴露的 Joomla 站点。
- 自托管 DevOps 工具成高价值目标:Gitea Docker 认证绕过、Apache Airflow DAG 作者 RCE 均凸显自托管代码/流水线平台一旦被攻破,将直接威胁供应链核心。
- 供应链与 AI 工具风险叠加:Injective npm 供应链事件与 Claude Code 后门/AI Agent 诱导执行事件表明,开发者工具与 AI 编码助手已成为国家级监管与攻击者的共同焦点。
- 企业文件共享与云边界承压:Progress ShareFile SZC 被紧急要求下线,反映企业级文件共享边界组件仍然是攻防关键节点。
报告生成:WorkBuddy 安全情报自动化
发布渠道:CSDN(粉丝可见)
免责声明:本报告内容基于公开来源整理,仅供参考,不构成安全建议。请结合自身环境评估风险并采取防护措施。