每日安全情报报告 · 2026-07-15
每日安全情报报告 · 2026-07-15报告日期2026-07-15 | 覆盖时段2026-07-13 至 2026-07-15风险等级标注 严重在野利用 | 高危 | 中危一、 最新高危漏洞1. CVE-2026-15409 — SonicWall SMA1000 SSRF在野利用 · CISA KEV项目详情CVE 编号CVE-2026-15409漏洞类型服务端请求伪造SSRF受影响组件SonicWall SMA1000 Appliance Work Place 接口CVSS 评分10.0严重认证要求无需认证未认证远程攻击在野利用✅ 确认在野利用CISA 7/14 纳入 KEVBOD 截止日2026-07-17联邦机构须在此前修补或停用漏洞描述SonicWall SMA1000 安全移动访问设备的 Work Place 接口存在严重 SSRF 漏洞远程未认证攻击者可强制设备向非预期位置发起请求可能被用于访问内部网络资源。受影响版本SMA1000 型号 6210/7210/8200v运行 platform-hotfix 12.4.3-03245 至 03434、12.5.0-02283 至 02800。修复版本platform-hotfix 12.4.3-03453 及 12.5.0-02835 或更高版本。IOC 指标-extraweb_access.log中出现对/api/login或/api/logout的 HTTP 200 请求-extraweb_access.log中出现对/wsproxy的可疑主机参数请求HTTP 101-ctrl-service.log中出现路径遍历名称的热修复回滚-/var/lib/unit/conf.json包含/api/login或/api/logout路由SonicWall 安全公告CISA KEV 条目NVD 详情2. CVE-2026-15410 — SonicWall SMA1000 代码注入在野利用 · CISA KEV项目详情CVE 编号CVE-2026-15410漏洞类型代码注入OS 命令执行受影响组件SonicWall SMA1000 Appliance Management Console (AMC)CVSS 评分7.2高危SonicWall 综合评分为 10.0认证要求需管理员权限可能与 SSRF 漏洞组合利用在野利用✅ 确认在野利用CISA 7/14 纳入 KEV漏洞描述SMA1000 设备管理控制台存在代码注入漏洞已认证管理员可执行任意操作系统命令。SonicWall 确认两个漏洞均在多起事件中被主动利用调查得到 Volexity 协助。修复建议立即升级至热修复版本若设备已遭入侵需重镜像物理设备或重新部署虚拟设备更改所有用户和管理员密码重置 TOTP 令牌。SonicWall 安全公告CISA KEV 条目NVD 详情3. CVE-2026-56155 — Microsoft ADFS 权限提升在野利用 · CISA KEV项目详情CVE 编号CVE-2026-56155漏洞类型访问控制粒度不足权限提升受影响组件Microsoft Active Directory Federation Services (AD FS)CVSS 评分7.8高危在野利用✅ 确认在野利用CISA 7/14 纳入 KEV漏洞描述ADFS 存在访问控制粒度不足问题攻击者可在本地利用此漏洞获取管理员权限。AD FS 是许多企业用于单点登录SSO的核心组件成功利用可能允许攻击者访问本不应接触的应用和数据类似于 Golden SAML 攻击模式。影响范围Windows 104 个版本、Windows Server11 个版本回溯至 2012 年的服务器版本。Microsoft 安全更新指南CISA KEV 条目4. CVE-2026-56164 — Microsoft SharePoint 认证缺失在野利用 · CISA KEV项目详情CVE 编号CVE-2026-56164漏洞类型关键功能认证缺失权限提升受影响组件Microsoft SharePoint ServerSubscription Edition / 2019 / 2016CVSS 评分5.3中危但实际攻击链威胁极高在野利用✅ 确认在野利用CISA 7/14 纳入 KEV漏洞描述SharePoint Server 存在关键功能认证缺失漏洞攻击者可远程利用获取提升的权限。CISA 7/14 发布专项告警指出攻击者正在将此漏洞与 CVE-2026-32201 和 CVE-2026-45659 组合利用形成完整的远程代码执行链。攻击链分析1. CVE-2026-322014/14 入 KEV— 初始利用2. CVE-2026-456597/1 入 KEV— 反序列化 RCE3. CVE-2026-561647/14 入 KEV— 认证缺失权限提升4. 攻击者窃取 IIS 机器密钥 → 伪造可信请求 → 补丁后仍保持持久化CISA 硬化建议- 确认 SharePoint 每个 Web 应用已启用 AMSI 集成Full 模式- 修补后轮换 IIS 机器密钥被盗密钥可在补丁后继续使用- 避免将 SharePoint Server 直接暴露于互联网- 阻止外部访问 SharePoint Central AdministrationCISA SharePoint 硬化告警Microsoft 安全更新指南5. CVE-2026-55008 — Microsoft Exchange Server XSS 欺骗严重项目详情CVE 编号CVE-2026-55008漏洞类型跨站脚本XSS/ 欺骗受影响组件Microsoft Exchange ServerOWACVSS 评分9.6严重在野利用暂未确认漏洞描述Exchange Server Outlook Web Access 存在严重 XSS 漏洞攻击者通过发送特制邮件当用户在 OWA 中打开时即可在浏览器上下文中执行任意 JavaScript 代码实现会话劫持、账户冒充和敏感邮箱信息窃取。此漏洞在 7/14 Patch Tuesday 中修复。Microsoft 安全更新指南KB5103212 安全更新6. CVE-2026-49164 — Active Directory 域服务 RCE严重项目详情CVE 编号CVE-2026-49164漏洞类型堆缓冲区溢出远程代码执行受影响组件Active Directory Domain Services (AD DS)CVSS 评分严重Critical在野利用暂未确认漏洞描述AD DS 存在堆缓冲区溢出漏洞未认证攻击者可通过网络执行代码。域控制器是认证、授权、策略执行和身份管理的核心成功利用可能导致全域沦陷包括凭据窃取、持久化、横向移动和 Windows 域控制权丧失。Microsoft 7月补丁日分析7. XRING — XQUIC HTTP/3 未修补拒绝服务漏洞严重 · 无补丁项目详情漏洞名称XRINGCVE 编号暂未分配漏洞类型整数下溢 → 内存越界写入 → 服务崩溃受影响组件XQUIC 库阿里巴巴开源 QUIC/HTTP/3 实现CVSS 评分暂未评分严重风险在野利用暂未确认但 PoC 已公开补丁状态❌无补丁所有版本至 v1.9.4均受影响漏洞描述XQUIC 库的 QPACK 动态表环形缓冲区实现存在整数下溢缺陷。当客户端请求扩大动态表时库使用新缓冲区容量而非旧容量计算需保留的数据量导致内存拷贝超出缓冲区边界。仅约 260 字节的合法 QPACK 流量即可使服务器进程崩溃。受影响范围- 阿里巴巴 Tengine支撑淘宝、支付宝、阿里云 CDN- 所有嵌入 XQUIC 且使用默认 QPACK 设置的第三方产品- 2022 年 1 月首次发布以来所有版本临时缓解措施- 设置SETTINGS_QPACK_MAX_TABLE_CAPACITY 0禁用 QPACK 动态表- 或完全禁用 HTTP/3 支持Cloud Security Alliance 研究报告The Hacker News 报道8. CVE-2026-6307 — Google Chrome V8 类型混淆 → RCE高危 · PoC 公开项目详情CVE 编号CVE-2026-6307漏洞类型V8 JS-to-Wasm 类型混淆受影响组件Google Chrome V8 引擎TurboFan JIT 编译器CVSS 评分高危在野利用暂未确认在野利用但 PoC 已实现 RCE修复版本Chrome ≥ 147.0.7727.101漏洞描述V8 引擎的JSToWasmFrameStateFunctionInfo相等运算符遗漏了 Wasm 签名比较导致 CSE/GVN 合并了仅签名不同的帧状态。延迟去优化后Wasm i64 被错误物化为 tagged externref反之亦然产生完整的 64 位 addrof/fakeobj 原语其指针不受沙箱压缩限制。单凭此漏洞即可实现 V8 堆沙箱逃逸和远程代码执行。影响版本Chrome 106 起横跨约 4 年。PoC 仓库 0xsha/CVE-2026-6307PoC 仓库 J4ck3LSyN-Gen2/CVE-2026-6307-LonginusNebula Security 技术分析9. CVE-2026-40138 / CVE-2026-40139 — BeyondTrust 远程支持认证绕过高危项目CVE-2026-40138CVE-2026-40139漏洞类型预认证认证绕过预认证认证绕过受影响组件BeyondTrust Remote Support / PRABeyondTrust Remote SupportCVSS 评分9.2Critical9.2Critical在野利用暂未确认暂未确认漏洞描述BeyondTrust Remote Support 和 Privileged Remote Access 产品的认证子系统存在认证数据验证不当漏洞网络位置的攻击者可绕过访问控制获取对设备的未授权访问包括提升权限的账户。BeyondTrust 安全公告NVD 详情10. CVE-2026-50661 — Windows BitLocker 安全功能绕过零日 · 公开披露项目详情CVE 编号CVE-2026-50661漏洞类型安全功能绕过受影响组件Windows BitLockerCVSS 评分6.1中危在野利用暂未确认但已公开披露漏洞描述Windows BitLocker 存在安全功能绕过漏洞拥有设备物理访问权限的攻击者可绕过安全功能获取加密数据访问权限。影响 Windows 1010 个版本、Windows 116 个版本和 Windows Server7 个版本。Microsoft 安全更新指南二、 漏洞 PoCPoC 1: CVE-2026-6307 — Chrome V8 JS-to-Wasm 类型混淆 RCE来源安全研究员 0xshaGitHub 公开GitHub 仓库0xsha/CVE-2026-6307漏洞原理- V8 的JSToWasmFrameStateFunctionInfo相等运算符遗漏 Wasm 签名比较- CSE/GVN 合并仅签名不同的帧状态- 延迟去优化将 Wasm i64 错误物化为 tagged externref- 产生不受沙箱压缩限制的 64 位 addrof/fakeobj 原语- 单一漏洞即可实现 V8 堆沙箱逃逸 RCE使用步骤# 1. 克隆仓库 git clone https://github.com/0xsha/CVE-2026-6307.git cd CVE-2026-6307 # 2. 基本原语验证无需 --allow-natives-syntax 标志 # 使用 Chrome 146.0.7680.165漏洞已修复于 147.0.7727.101 chrome --headlessnew --no-sandbox http://127.0.0.1:8080/flag-free/01-primitives-flagfree.html # 3. 本地启动 HTTP 服务并运行 RCE 演示需关闭 ASLR cd rce-no-aslr/ ./run.sh # 该脚本会设置所需标志并通过 http 提供服务 # exploit-calc.html: 弹出 xcalc 窗口execve # exploit-exit.html: 渲染器执行 shellcode 到 exit(66)验证结果| 文件 | 验证内容 | 命中率 ||------|---------|--------||flag-free/00-reachability-flagfree.html| 触发混淆状态 | 6/15 ||flag-free/01-primitives-flagfree.html| addrof / fakeobj | 8/12 ||flag-free/02-store-flagfree.html| 越界存储 | 12/12 ||flag-free/03-arw-flagfree.html| 64位读写 | 2/12偶发重试 |附加资源- Longinus 分析报告- Nebula Security 技术白皮书PoC 2: XRING — XQUIC HTTP/3 服务器崩溃来源FoxIO 研究员 Sébastien FéryGitHub 仓库PoC 已公开FoxIO 发布漏洞原理- XQUIC 的xqc_ring_mem.c中 QPACK 动态表环形缓冲区实现缺陷- 客户端请求扩大动态表时库使用新缓冲区容量而非旧容量计算需保留的数据量- 导致 unsigned integer underflow → memcpy 越界写入 → 服务崩溃- 仅需约 260 字节合法 QPACK 流量无需认证、无需畸形数据包利用步骤# 1. 获取 PoCFoxIO 公开披露参考研究报告 # 2. 构建目标 XQUIC 服务器或使用 Tengine 默认配置 # 3. 发送合法 QPACK 指令序列 # - 请求将动态表扩大至 64 字节 # - 将写入游标移至缓冲区末尾附近 # - 请求将动态表扩大至 65 字节触发错误代码路径 # 4. 服务器进程因内存越界写入而崩溃 # 缓解措施无补丁可用 # 在 XQUIC 配置中设置 # SETTINGS_QPACK_MAX_TABLE_CAPACITY 0 # 或完全禁用 HTTP/3Cloud Security Alliance 研究笔记CyberSecureFox 技术分析PoC 3: CVE-2026-6307 — Longinus完整 RCE 链来源安全研究员 J4ck3LSyN-Gen2GitHub 公开GitHub 仓库J4ck3LSyN-Gen2/CVE-2026-6307-Longinus使用步骤# 1. 克隆仓库 git clone https://github.com/J4ck3LSyN-Gen2/CVE-2026-6307-Longinus.git cd CVE-2026-6307-Longinus # 2. 查看 README 获取完整利用链说明 cat README.md # 3. 使用 YARA 规则进行检测防御用途 # cve-2026-6307_longinus_poc.yar — 匹配 PoC 特征字符串 # cve-2026-6307_d8_execution.yml — Sigma 检测规则 # 4. 缓解措施 # 立即更新至 Chrome/V8 147.0.7727.101 # 启用 Control Flow Integrity (CFI) # 利用 Site IsolationChrome 默认启用漏洞能力总结1. 浏览器侧触发 JS-to-Wasm 去优化混淆2. 运行时地址泄露与对象物化原语addrof/fakeobj3. 任意对象字段覆写4. 64 位任意读写伪造 JSArray/FixedDoubleArray 元数据5. JIT 代码修补确定性实验室环境6. 渲染器代码执行良性 shellcode 载荷三、 网络安全最新文章1. Microsoft 7月补丁日创纪录570 个漏洞修复含 3 个零日摘要微软 2026 年 7 月 Patch Tuesday 修复约 570 个漏洞打破上月 206 个的记录。其中约 60 个为严重级别3 个零日漏洞中 2 个已在野利用。微软将漏洞数量激增归因于 AI 辅助漏洞发现——其专有多模型代理扫描系统在 Windows 代码库中发现更多安全问题。重点修补优先级ADFSCVE-2026-56155、SharePointCVE-2026-56164、Exchange Server XSSCVE-2026-55008。阅读原文 — CybersecurityNews阅读原文 — Expel 分析阅读原文 — SecPod 深度分析2. CISA 紧急告警SharePoint 漏洞组合链正在被积极利用摘要CISA 7/14 发布专项告警指出攻击者正在组合利用 CVE-2026-32201、CVE-2026-45659 和最新纳入 KEV 的 CVE-2026-56164对本地 SharePoint Server 实施完整的远程代码执行攻击。攻击者窃取 IIS 机器密钥以伪造可信请求即使打补丁后仍能保持持久化。CISA 建议组织启用 AMSI Full 模式、轮换 IIS 机器密钥、并避免将 SharePoint 直接暴露于互联网。阅读原文 — CISA 官方告警3. SonicWall SMA1000 双零日漏洞遭在野利用CISA 设 3 天修复期限摘要SonicWall 7/14 紧急发布安全公告确认 SMA1000 设备的 SSRF 漏洞CVE-2026-15409, CVSS 10.0和代码注入漏洞CVE-2026-15410正在被主动利用。CISA 同日将两者纳入 KEV 目录要求联邦机构在 7/17 前修补或停用产品。Volexity 协助调查。SMA1000 作为 VPN 网关设备直接暴露于互联网是勒索软件攻击的首选入口点。阅读原文 — BleepingComputer阅读原文 — WMtech阅读原文 — IntelFusions4. WP-SHELLSTORM暴露的服务器揭示 25,000 WordPress 站点被植入 WebShell摘要SOCRadar 威胁情报团队发现一个被误配暴露 22 天的黑客服务器揭示了一个名为 WP-SHELLSTORM 的大规模 WebShell 经纪运营。该组织将 140 万个 CMS 站点列为扫描目标使用 27 个武器化 CVE 进行自动化漏洞利用成功入侵超过 25,000 个站点并部署 5,700 活跃 WebShell。主要利用 Breeze 缓存插件漏洞CVE-2026-3844和 Joomla JCE 编辑器漏洞CVE-2026-48907。运营者还并行攻击 Apache Nacos、XXL-Job 和 Spring Boot 等企业 Java 基础设施。阅读原文 — SOCRadar阅读原文 — SecPod阅读原文 — ProbablyPwned5. Helix 勒索组织一通电话即可在 1 小时内窃取 SharePoint 数据摘要ReliaQuest 7/9 披露新型数据勒索组织 Helix该组织通过语音钓鱼vishing冒充员工经理诱导受害者完成设备代码认证流程获取 Microsoft 365 有效会话令牌。无需窃取密码或触发 MFA。攻击者在获取访问后立即注册新的 MFA 认证器实现持久化然后枚举并批量下载 SharePoint 文件用于勒索。整个攻击链从初始访问到批量数据外泄可在 1 小时内完成。Helix 与已解散的 BlackFile 和 ShinyHunters 存在基础设施关联。阅读原文 — BleepingComputer阅读原文 — Purple Shield Security阅读原文 — Infosec.ge6. Gravity Forms 供应链攻击百万安装量插件被植入后门摘要WordPress 知名表单插件 Gravity Forms100 万 安装量遭遇供应链攻击。攻击者入侵 RocketGenius 基础设施在 7/9-10 期间将带后门的版本 2.9.11.1 和 2.9.12 通过官方下载页面分发。恶意代码收集站点元数据URL、管理路径、主题、插件版本、阻止自动更新、联系外部服务器下载额外载荷、并创建隐藏管理员账户。仅影响手动下载和 Composer 安装自动更新不受影响。2.9.13 版本已清除恶意代码。阅读原文 — Patchstack阅读原文 — BleepingComputer7. MODBEACON RAT银狐组织使用 gRPC 流式加密 C2 通信摘要奇安信 7/10 披露中国关联的银狐Silver Fox网络犯罪组织部署新型 Rust 编写的模块化 RAT——MODBEACON。该木马采用加载器/Beacon 分离架构复用开源抗审查代理框架 Xray/V2Ray 的传输层作为 C2 信道通过 gRPC over HTTP/2 双向流式通信隐蔽流量。具备主机指纹采集、Agent Token 认证、心跳维持、内存插件加载native-v3 架构等能力。目标覆盖科技、教育、国企领域同时对柬埔寨博彩行业进行黑吃黑攻击。阅读原文 — The Hacker News阅读原文 — 奇安信威胁情报8. XRINGXQUIC 未修补缺陷可使任何远程客户端崩溃 HTTP/3 服务器摘要FoxIO 研究员 Sébastien Féry 7/8 公开披露了 XQUIC阿里巴巴开源 QUIC/HTTP/3 库中的严重 DoS 漏洞 XRING。该漏洞位于 QPACK 动态表环形缓冲区实现中仅约 260 字节的合法 QPACK 流量即可使服务器进程崩溃。所有 XQUIC 版本至 v1.9.4受影响无补丁、无 CVE。阿里巴巴在 90 天披露窗口内未响应。XQUIC 被 Tengine支撑淘宝、支付宝等广泛使用影响面远超阿里巴巴自身基础设施。阅读原文 — The Hacker News阅读原文 — Cloud Security Alliance9. 微软AI 发现漏洞将带来更多 Windows 安全更新摘要微软 7/10 发表博客文章表示随着公司越来越依赖 AI 来发现代码库中的漏洞Windows 用户应预期看到安全更新数量的增加。微软部署了专有的多模型代理扫描系统在 Windows 代码库中加速漏洞发现和分析。7 月 Patch Tuesday 570 个漏洞的创纪录数量正是这一趋势的体现。AI 正在改变漏洞发现的节奏。阅读原文 — BleepingComputer阅读原文 — IntelFusions10. 微软 AI 辅助漏洞发现推动安全更新创纪录摘要微软执行副总裁 Pavan Davuluri 在 7/9 博客中表示Windows 用户将注意到每个安全版本中包含的安全更新数量更高。AI 的进步显著加速了漏洞发现使工程师能够在漏洞被用于零日攻击之前识别出更多安全问题。这一趋势意味着企业需要缩短补丁部署周期加强自动化修补能力。阅读原文 — Coastline Cyber Security四、 CISA KEV 动态汇总7 月 14 日新增4 项CVE产品漏洞类型BOD 截止日CVE-2026-15409SonicWall SMA1000SSRFCVSS 10.02026-07-17CVE-2026-15410SonicWall SMA1000代码注入2026-07-17CVE-2026-56155Microsoft ADFS访问控制不足2026-08-04CVE-2026-56164Microsoft SharePoint认证缺失2026-08-047 月 10 日新增2 项CVE产品漏洞类型CVE-2026-48939iCagendaJoomla危险文件上传CVE-2026-56291Balbooa FormsJoomla危险文件上传7 月 7 日新增3 项CVE产品漏洞类型CVE-2026-48908JoomShaper SP Page Builder危险文件上传CVSS 10.0CVE-2026-55255Langflow用户控制键授权绕过CVE-2026-56290Joomlack Page Builder访问控制不当CVSS 10.0持续关注的在野利用 KEVCVE产品状态CVE-2026-48282Adobe ColdFusion路径遍历 RCECVSS 10.0CVE-2026-45659Microsoft SharePoint反序列化 RCECVE-2026-32201Microsoft SharePointRCECVE-2026-0257Palo Alto PAN-OS认证绕过CVE-2026-46817Oracle EBS未认证远程接管CISA KEV 完整目录五、 本期重点总结 最高优先级48 小时内必须处置SonicWall SMA1000 双零日CVE-2026-15409/15410CVSS 10.0 SSRF 代码注入在野利用确认BOD 截止 7/17 仅剩 2 天。VPN 网关设备是勒索软件首选入口点。Microsoft SharePoint 三漏洞组合链CVE-2026-32201 CVE-2026-45659 CVE-2026-56164 形成完整 RCE 链攻击者窃取 IIS 机器密钥实现补丁后持久化。Microsoft ADFS CVE-2026-56155AD FS 是 SSO 核心权限提升可导致身份基础设施沦陷。Microsoft 7 月补丁日 570 个漏洞创纪录数量57 个严重级别需优先处置 3 个零日。 高优先级XRING/XQUIC 无补丁 DoS260 字节即可崩溃 HTTP/3 服务器影响阿里巴巴 Tengine 生态。临时缓解禁用 QPACK 动态表或 HTTP/3。CVE-2026-6307 Chrome V8 RCEPoC 已公开单漏洞实现沙箱逃逸 RCE影响 Chrome 106-1464 年。Exchange Server CVE-2026-55008 XSSCVSS 9.6一封邮件即可劫持 OWA 会话。威胁趋势WP-SHELLSTORM 产业化 WebShell 经纪25,000 站点已沦陷27 个 CVE 武器化运营者同时攻击 Java 基础设施。Helix 身份导向攻击无恶意件、纯社工 设备代码钓鱼1 小时内完成 SharePoint 数据外泄。Gravity Forms 供应链攻击百万安装量插件被植入后门仅影响手动下载用户。MODBEACON RAT 国家级工程化银狐组织使用 gRPC 隧道 内存插件架构通信隐蔽性达到 APT 水准。报告生成时间2026-07-15 14:20 CST数据来源CISA、NVD、The Hacker News、BleepingComputer、FreeBuf、SecPod、SOCRadar、奇安信、Microsoft MSRC、SonicWall PSIRT 等声明本报告仅供安全研究和防御参考PoC 使用请遵守相关法律法规
