15 篇博文 含有标签「Vulnerability」

摘要​

2026年5月27日，Linux 内核 CIFS 子系统中一处本地权限提升漏洞被公开披露（CVE-2026-29453，CVSSv3 7.8）。漏洞根源在于内核未对 cifs.spnego 类型密钥的描述信息实施来源合法性校验——未实现 vet_description 钩子以验证密钥是否由内核 CIFS 模块生成。同时，cifs.upcall 用户空间辅助程序以 root 权限运行时无条件信任密钥描述中的 pid、uid、creduid 及 upcall_target 等攻击者可控字段。本地低权限用户可构造伪造的密钥描述发起 request_key 系统调用，触发 root 权限的 cifs.upcall 执行，通过命名空间切换与 NSS 模块加载实现 root 权限代码执行。本分析从漏洞原理、利用条件、影响范围与修复方案四个维度展开讨论。

关键词：Linux 内核；CIFS；SPNEGO；权限提升；request_key；CVE-2026-29453

摘要​

文件系统时间戳是数字取证中重建攻击时间线的核心依据，但其本身也是攻击者篡改的重点目标。NTFS 文件系统同时维护四套独立的时间戳记录机制——MFT 的 $STANDARD_INFORMATION 与 $FILE_NAME 属性、USN Journal 变更日志与 $LogFile 事务日志，各自以不同的精度、更新规则与访问权限运行。本文系统分析 NTFS 时间戳架构的取证价值，分类讨论三种 Timestomping 手段的技术原理与固有痕迹，提出基于四源交叉验证的自动化检测框架，并给出基于 MFTECmd 与 exhume_ntfs 的实战工具链实现。

关键词：NTFS；Timestomping；数字取证；USN Journal；MFT

摘要​

Windows 受保护进程轻量级（PPL）是微软自 Windows 8.1 起构建的核心安全边界，通过基于数字签名的层级信任模型防止恶意代码篡改反恶意软件与端点安全产品。然而，PPL 的设计将密码学签名验证等同于运行时行为可信，形成结构性信任锚点缺陷。本文以三类独立 PPL 滥用技术——WerFaultSecure 竞态条件、ClipUp 二进制代理执行及 WaaSRemediation COM 对象操控——为分析对象，拆解其技术原理，构建集 BYOVD、竞态冻结、PPL 代理与 WDAC 策略部署于一体的四阶段融合攻击链，并讨论当前防御体系中的检测盲区与结构性修复瓶颈。

关键词：Windows PPL；受保护进程；EDR 绕过；信任模型；BVOVD

摘要​

2026年5月22日至5月24日，一场代号 TrapDoor 的大规模跨生态系统供应链攻击活动被披露。攻击者同时针对 npm、PyPI 和 Crates.io 三大软件包仓库发布超过 34 个恶意包及 384 余个关联版本，专门针对加密货币、DeFi、Solana 生态及 AI 开发社区的开发者群体。本次攻击展现出高度的跨平台协调性，利用各生态系统特有的执行机制实现恶意代码触发，并创新性地引入 AI 编程助手配置投毒技术。本文从攻击基础设施、多平台载荷机制、AI 定向注入与数据窃取模型四个维度进行技术分析。

关键词：供应链攻击；跨生态攻击；npm；PyPI；Crates.io；AI 投毒

摘要​

端点检测与响应（EDR）系统在过去三年中逐步建立了基于调用栈验证（Call Stack Validation）的检测体系，用于识别直接系统调用（Direct Syscalls）等恶意行为。间接系统调用（Indirect Syscalls）技术通过跳转到 ntdll.dll 中已有的 syscall 指令来执行系统调用，使 EDR 的调用栈验证机制完全失效——从 EDR 的检测视角来看，syscall 指令确实是从合法的 ntdll.dll 内存区域发起的。本文对间接系统调用的技术原理、与直接系统调用的差异、动态 SSN 解析方法及完整执行流程进行了系统分析，并从内核态验证、模块完整性检查及遥测完整性监控三个维度提出了相应的防御建议。

关键词：间接系统调用；EDR 绕过；调用栈验证；SSN 解析；Windows 安全

摘要​

OSC 8（Operating System Command 8）超链接转义序列允许终端模拟器在纯文本输出中嵌入可点击的超链接。这一设计显著增强了终端交互的可用性，但也引入了一个被广泛忽视的攻击面：攻击者可通过注入恶意的 OSC 8 序列，将终端从被动的信息显示设备转变为半主动的交互界面，使用户的单一点击行为即可触发本地资源访问或远程请求。本文对 OSC 8 协议的底层语法、跨平台注入向量、file:// URI 的行为差异以及现有安全防御机制进行了系统性分析，并在纵深防御体系框架下评估了此类非代码执行攻击面的真实威胁等级。

关键词：OSC 8；终端安全；转义序列注入；攻击面建模；纵深防御

摘要​

SYLK（Symbolic Link）文件格式诞生于 1980 年代，设计目标为仅使用可显示 ANSI 字符实现跨应用程序的表格数据交换。该格式至今仍被 Microsoft Office 默认映射至 Excel 应用程序。本文揭示了一个被广泛忽视的攻击面：SYLK 文件可直接承载 Excel 4.0/XLM 宏指令，且在当前安全生态中几乎未被充分认知与检测。与受到层层监视的 VBA 宏不同，XLM 宏在 SYLK 容器中的复活为攻击者提供了一条低风险、高成功率的攻击通道。本文系统分析了 SYLK 格式在受保护视图豁免、邮件与浏览器网关绕过、AMSI 盲区等方面的安全缺陷，并提出了多层次防御建议。

关键词：SYLK；XLM 宏；Excel 安全；攻击面分析；AMSI 盲区

摘要​

传统的进程注入技术——包括 CreateRemoteThread、NtCreateThreadEx 及 QueueUserAPC——均依赖于在目标进程中创建新线程或在现有线程中插入 APC 对象，这些操作均会被端点检测与响应（EDR）系统的用户态钩子所监控。本文分析一种利用 Windows 原生线程池机制实现进程注入的替代方法。该技术通过将 Shellcode 封装为线程池工作项，提交至目标进程的线程池队列中，由线程池的现有空闲线程自动执行，全程无需调用线程创建相关 API，从而规避基于线程创建监控的检测规则。本文对该技术的原理、实现约束及适用范围进行了系统分析，并从监控策略与内核级检测两个维度提出了相应的防御建议。

关键词：进程注入；线程池；EDR 绕过；Windows 安全；攻击面分析

摘要​

2026年5月20日，Drupal 官方发布安全公告 SA-CORE-2026-004，披露了 Core 中一处未授权 SQL 注入漏洞（CVE-2026-9082，CVSSv3 6.5）。漏洞存在于 PostgreSQL 特定的实体查询条件处理逻辑中，攻击者可利用 JSON:API 模块的过滤参数构造恶意数组键，操纵 PDO 命名占位符解析过程，在未认证条件下对 PostgreSQL 数据库执行任意 SQL 命令。本分析从漏洞原理、影响范围、复现验证及修复方案四个维度展开讨论。

关键词：Drupal；SQL 注入；PostgreSQL；JSON:API；PDO 占位符；CVE-2026-9082

摘要​

2026年5月13日，cPanel 官方发布安全更新，修复了 cpdavd 服务中的一个高危漏洞（CVE-2026-29205，CVSSv3 8.6）。该漏洞源于 cpdavd 附件下载端点存在权限管理错误与路径过滤不足，攻击者可利用构造的特制文件路径参数，在未认证条件下以 root 权限读取服务器任意文件，涵盖系统配置文件、数据库凭证及 SSL 私钥等敏感信息。本分析从漏洞原理、影响范围、复现验证及修复方案四个维度展开讨论。

关键词：cPanel；WHM；任意文件读取；路径遍历；CVE-2026-29205

摘要​

2026年5月12日，Microsoft 披露了 Windows Netlogon 服务中存在一处已遭在野利用的零点击远程代码执行漏洞（CVE-2026-41089，CVSSv3 9.8）。漏洞位于 Netlogon 处理 CLDAP（Connectionless LDAP）查询的 NlGetLocalPingResponse 函数中，该函数分配的 528 字节栈缓冲区在通过 BuildSamLogonResponse 与 NetpLogonPutUnicodeString 处理攻击者可控的用户名字段时，因字节长度与 WCHAR 长度计算混淆导致缓冲区溢出。攻击者可向目标域控制器的 UDP 389 端口发送特制 CLDAP 请求，无需身份凭证、无需用户交互，即可实现以 SYSTEM 权限执行任意代码的域控完全接管。本分析从漏洞原理、攻击向量、影响范围及修复方案四个维度展开讨论。

关键词：Netlogon；CLDAP；栈缓冲区溢出；零点击远控；域控制器；CVE-2026-41089

摘要​

2026年5月5日，Redis 数据库中两条远程代码执行利用链被公开披露：RESTORE 机制双重释放漏洞（CVE-2026-25243，CVSSv3 8.8）与主从同步 Lua 引擎释放后使用漏洞（CVE-2026-23631，CVSSv3 8.1）。前者源于 RESTORE 命令反序列化流程中验证器与转换器之间的字节长度解析歧义，可导致 zipmap 编码哈希及 Stream Consumer Group 对象的双重释放；后者利用单线程模型下 Lua 超时钩子与外部主节点 FULLRESYNC 指令的竞态交互，导致全局 Lua 解释器环境被销毁后仍被引用。经身份验证的攻击者在满足配置条件下可将两类内存破坏原语转化为任意内存读写能力，最终实现远程代码执行。本分析分别拆解两条利用链的技术原理与攻击路径。

关键词：Redis；双重释放；释放后使用；远程代码执行；RESTORE；Lua 沙箱

摘要​

本报告针对cPanel & WHM主机控制面板近期披露的两批次高危安全漏洞（CVE-2026-2920x系列与CVE-2026-41940）进行分析。漏洞涉及认证绕过、任意文件读取、远程代码执行（RCE）及本地权限提升等多个攻击面，其组合利用可对服务器资产构成完整的控制链威胁。报告梳理了漏洞的技术细节、影响范围、关联的安全事件，并提出了相应的缓解与修复建议。

1. 漏洞技术细节分析​

近期发现的高危漏洞主要分为两个关联的安全事件。

1.1 CVE-2026-2920x系列漏洞（2026年5月披露）​

cPanel官方近期发布了针对三个新漏洞的安全更新：

• CVE-2026-29201（CVSSv3评分：4.3）

  • 位置：feature::LOADFEATUREFILE管理命令。
  • 原因：输入验证不完善。
  • 影响：可通过路径遍历攻击，读取服务器文件系统上的任意文件。

• CVE-2026-29202（CVSSv3评分：8.8）

  • 位置：create_user API接口的plugin参数。
  • 原因：参数验证存在缺陷。
  • 影响：经身份验证的攻击者可注入恶意Perl代码，实现远程代码执行（RCE）。

• CVE-2026-29203（CVSSv3评分：8.8）

  • 位置：符号链接处理机制。
  • 原因：chmod操作存在缺陷。
  • 影响：可导致拒绝服务（DoS）攻击或本地权限提升。

1.2 CVE-2026-41940（关联的已武器化漏洞）​

在以上漏洞披露之际，网络安全社区正面临另一个已被活跃利用的cPanel漏洞：

• CVE-2026-41940（CVSSv3评分：9.3）
  • 状态：已被美国网络安全和基础设施安全局（CISA）列入“已知被利用漏洞（KEV）”目录。
  • 原因：cPanel & WHM（版本11.40之后）登录流程中存在身份验证逻辑缺陷。
  • 影响：允许远程攻击者完全绕过或操纵身份验证，获得未授权的控制面板访问权限。

2. 影响评估与威胁背景​

2.1 影响范围​

• 受影响的软件版本：CVE-2026-2920x系列漏洞影响多个受支持的cPanel & WHM版本。官方已在以下版本中完成修复：
  • 11.136.0.9
  • 11.134.0.25
  • 11.132.0.31
  • 及后续版本
  • （WP Squared及旧版CentOS 6/CloudLinux 6系统的相应更新也已发布）
• 暴露规模：据Shadowserver基金会监测，可能有数千台服务器实例面临风险。

2.2 关联威胁活动​

• CVE-2026-41940漏洞的利用代码已被武器化，并作为0Day漏洞用于部署Mirai僵尸网络的变种。
• 网络安全公司watchTowr报告指出，野外利用活动可追溯至今年二月。

3. 缓解与修复建议​

3.1 紧急修补措施​

管理员应立即将cPanel & WHM系统升级至已修复的版本（11.136.0.9、11.134.0.25、11.132.0.31或更高版本）。

3.2 威胁检测与遏制​

• 检测：建议使用cPanel官方或第三方安全机构（如watchTowr）发布的检测工具进行系统扫描。
• 访问控制：在无法立即应用补丁时，应通过防火墙策略限制对cPanel/WHM管理端口（如2083、2087）的公网访问。

3.3 安全监控​

建议持续关注cPanel官方安全公告及CISA等权威安全机构的漏洞通报。

结论​

cPanel & WHM控制面板相继爆出的高危漏洞，特别是已观测到活跃利用的CVE-2026-41940认证绕过漏洞与新近披露的CVE-2026-2920x系列漏洞，构成了严峻的叠加风险。系统管理员需立即采取行动，应用安全更新、加强访问控制并部署检测机制，以缓解潜在的数据泄露、服务瘫痪乃至服务器完全被控的安全事件。

CVE-2026-1097（CVSS 9.8 Critical）是 ICE 实验室在对 Linux 内核 Netfilter 子系统进行 Fuzzing 测试时发现的一个零日漏洞，已于 2026 年 3 月通过负责任披露流程通知维护者。

漏洞详情​

漏洞类型：堆溢出（Heap Overflow） 影响组件：net/netfilter/nf_tables_api.c 影响版本：Linux Kernel 5.15 - 6.12

触发条件​

当用户空间通过 nf_tables API 执行以下操作序列时，可触发堆溢出：

1. 创建包含 NFTA_SET_USERDATA 的规则集合
2. 并发提交 NFT_MSG_NEWRULE 和 NFT_MSG_DELRULE
3. 在 nft_setelem_catchall 处理路径中，dlen 未正确校验导致越界写入

利用场景​

• 本地攻击者可实现从非特权用户态到内核态的提权
• 结合用户命名空间可实现容器内完整内核控制
• 理论上可构造远程内核代码执行链（需配合网络服务）

时间线​

补丁分析​

// 修复：增加 dlen 校验
+ if (dlen > NFT_USERDATA_MAXLEN)
+     return -EINVAL;
  kdata = kmalloc(dlen, GFP_KERNEL);

修复方案简洁有效，核心是在 nft_user_data_copy 入口处增加长度边界检查，阻止超长 userdata 写入。

摘要​

本文综述了在2026年4月Black Hat Asia安全大会上首次被系统披露的一种新型、系统性的Java生态安全威胁。该威胁源于Java编程语言中char（16位）类型向byte（8位）类型转换时，高位字节（即“幽灵比特位”）被静默丢弃的底层编码缺陷。攻击者可利用此缺陷构造特制的Unicode载荷，使其在Web应用防火墙等前端安全设备的检测中表现为无意义字符序列，而在目标Java后端解码时，该载荷通过高位截断被还原为原始攻击指令，从而有效绕过基于字符串特征匹配的安全检测，最终触发包括SQL注入、远程代码执行、文件上传、SMTP注入等多种高危攻击链。

1. 缺陷机理​

Java语言规范中，char类型用于表示Unicode字符，占用16位存储空间，而byte类型仅占8位。在涉及(byte)ch、ch & 0xFF、ByteArrayOutputStream.write(ch)、DataOutputStream.writeBytes()等常见转换操作时，系统会丢弃char值的高8位，仅保留低8位。例如，汉字“爻”（Unicode码点U+2F58，二进制00101111 01011000）在经(byte)转换后，高8位0x2F被丢弃，仅保留低8位0x3A，其ASCII对应字符为:。此机制意味着，任何ASCII字符均可被其低8位与之相同的特定Unicode字符所“伪装”。

2. 攻击模型与影响​

攻击模型为：攻击者将传统攻击载荷（如../etc/passwd）中的关键ASCII字符替换为上述“伪装”Unicode字符。当前端WAF/IDS对原始请求进行字符串匹配检测时，由于字符编码不同，无法识别威胁特征。当该请求被后端Java应用接收并处理时，在路径解析、参数解码、序列化、文件名处理等涉及char到byte转换的环节，幽灵比特位被丢弃，载荷被还原为原始攻击指令，从而成功执行。

此缺陷在Java生态中广泛存在。据研究统计，在GitHub代码仓库中，存在此类风险写法的项目超过8,100个。其直接影响覆盖了主流的框架与中间件，包括但不限于：

• Apache Commons BCEL、Fastjson：导致反序列化漏洞的WAF绕过。
• Jackson Databind：导致SQL注入载荷绕过检测。
• Apache Tomcat：实现恶意文件（如.jsp Webshell）的上传绕过。
• Spring Framework、Jetty、Undertow：导致URL路径穿越与CRLF注入。
• Angus Mail：实现SMTP注入，可能导致邮件劫持。
• Apache HttpClient：可能导致HTTP请求走私。

更严重的是，该技术可被用于绕过针对多个已公开高危漏洞（如GeoServer CVE-2024-36401、Spring Framework CVE-2022-22965）的现有WAF防护规则，使得相关系统在已部署安全设备的情况下依然暴露于远程代码执行风险之中。

3. 缓解与修复方案​

针对此系统性风险，建议采取多层次防御措施：

1. 组件升级：密切关注并升级受影响组件的至已修复版本。例如，将Apache Commons BCEL升级至6.12.0以上，Apache HttpClient升级至4.5.10以上。
2. 安全设备增强：依赖传统正则匹配的WAF规则在此攻击面前基本失效。需在安全网关或WAF内部引入Unicode规范化（如NFC/NFKC）预处理，或转向在应用层解码后进行语义分析的深度检测模型。
3. 代码层修复：审查并重构自研代码，避免使用(byte)ch、ch & 0xFF等危险转换。应明确指定字符集，使用String.getBytes(StandardCharsets.UTF_8)等方法。
4. 输入验证强化：在业务逻辑的输入校验点，对关键字段（如文件名、URL路径、邮件头）严格过滤或规范化非ASCII字符。

4. 结论​

“幽灵比特位”攻击揭示了Java生态中长期被忽视的一个底层编码隐患，其利用方式优雅且高效，对现有以特征匹配为核心的安全防护体系构成了严峻挑战。该缺陷的普遍性意味着大量Java应用面临潜在风险。修复此问题不仅需要依赖厂商的补丁，更需要开发者在编码实践中建立正确的字符集处理意识，以及安全团队在防御体系中部署能够理解编码语义的深层检测机制。