文章总结： 本周安全热点聚焦AdobeReader零日漏洞(CVE-2026-34621)在野利用，攻击者可借恶意PDF文件窃取数据并执行任意代码。同时披露Windows截图工具、Cockpit、ApacheTomcat等多个高危漏洞，涉及信息泄露与远程代码执行风险。安全事件方面，俄罗斯黑客持续攻击关键基础设施，伊朗通信设备遭针对性破坏，供应链投毒事件频发。建议用户及时更新补丁、启用安全防护机制并加强供应链安全管理。 综合评分： 88 文章分类： 漏洞分析,威胁情报,应急响应,安全事件,供应链安全

安全热点周报：Adobe 修复已被利用数月的 Reader 零日漏洞

奇安信 CERT

2026年4月17日 17:36 北京

在小说阅读器读本章

去阅读

| 安全资讯导视 | | — | | • 美国联邦政府2027财年网络安全预算超830亿元，关基部门投入加大 | | • 俄罗斯黑客持续演练关基设施破坏能力，频频攻击电网水坝供热厂 | | • 旧版iOS面临数据被盗风险，苹果发文提醒中国手机用户更新系统 |

PART01

漏洞情报

1.Windows截图工具NTLM信息泄露漏洞安全风险通告

4月16日，奇安信CERT监测到官方修复Windows截图工具NTLM信息泄露漏洞(CVE-2026-33829)，该漏洞源于工具对ms-screensketch协议的filePath参数缺乏严格输入校验，攻击者可构造恶意SMB远程路径，诱使工具发起跨网络身份认证。攻击者通过构造恶意链接，触发工具自动连接受控SMB服务器，窃取当前用户的Net-NTLM哈希，导致用户身份凭据泄露。随后可利用泄露的哈希进行身份认证、横向移动或进一步网络渗透攻击。目前该漏洞PoC和技术细节已公开。虽然该漏洞评分仅为4.3，但作为内网渗透的跳板价值极高，建议客户尽快做好自查及防护。

2.Cockpit远程代码执行漏洞安全风险通告

4月16日，奇安信CERT监测到官方修复Cockpit远程代码执行漏洞(CVE-2026-4631)，该漏洞源于远程登录模块将Web端传入的用户名、主机名未经校验直接拼接为SSH命令行参数，且未使用–分隔符隔离选项与目标参数。攻击者无需身份凭证，仅构造恶意HTTP请求即可触发SSH参数注入，在目标服务器上以服务权限执行任意系统命令，从而完全控制服务器。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为15666个，关联IP总数为15540个。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

3.Apache Tomcat远程代码执行漏洞安全风险通告

4月15日，奇安信CERT监测到官方修复Apache Tomcat远程代码执行漏洞(CVE-2026-34486)，该漏洞的出现与针对CVE-2026-29146的修复补丁有关。在对EncryptInterceptor组件进行安全加固时，消息接收方法messageReceived()内部的异常处理流程发生了改变，这导致了当接收到的集群通信数据无法正常解密时，代码路径未能终止当前请求的处理，而是忽略了该异常状态并继续将原始的、未经解密验证的数据向后续处理环节传递。在启用Tribes集群并配置加密拦截器的场景下，远程攻击者能够向集群监听端口（默认为4000）提交特制的协议报文，且该报文无需遵守正常的加密规范。若当前应用环境或依赖库中已存在可利用的Gadget类，攻击者便获得了在服务器进程上下文中执行任意系统命令或代码的能力。目前该漏洞技术细节已公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

4.Adobe Acrobat Reader远程代码执行漏洞安全风险通告

4月13日，奇安信CERT监测到Adobe Acrobat Reader远程代码执行漏洞(CVE-2026-34621)在野利用，该漏洞源于JavaScript引擎未能正确控制对象原型属性的修改，攻击者可以利用该漏洞制作恶意的PDF文件，诱导受害者打开特制的文件，在当前用户的上下文中执行任意代码。可能导致数据泄露、系统损坏或其他恶意行为。目前该漏洞PoC和技术细节已公开。鉴于该漏洞已发现在野利用，建议客户尽快做好自查及防护。

5.Nginx ngx_http_dav_module堆缓冲区溢出漏洞安全风险通告

4月13日，奇安信CERT监测到官方修复Nginx ngx_http_dav_module堆缓冲区溢出漏洞(CVE-2026-27654)，该漏洞源于处理WebDAV协议的MOVE或COPY方法时，ngx_http_map_uri_to_path函数对Destination头部进行路径映射时出现无符号整数下溢，导致堆缓冲区溢出。该漏洞影响使用dav_methods启用COPY或MOVE方法、结合前缀location（非正则表达式）和alias指令的配置场景。攻击者可利用该漏洞，通过构造特殊HTTP请求实现任意文件读写、部署WebShell并最终达成远程代码执行（RCE），或造成Nginx worker进程崩溃导致拒绝服务。目前该漏洞PoC和技术细节已公开。鉴于该漏洞aarch64架构上的利用脚本已公开，建议客户尽快做好自查及防护。

PART02

新增在野利用

1.Microsoft SharePoint Server 欺骗漏洞(CVE-2026-32201)

4月15日，微软在其补丁日中更新修复了165个漏洞，其中包括一个已被实际利用的 SharePoint 零日漏洞。

被利用的 SharePoint Server 漏洞编号为 CVE-2026-32201，它被描述为一个欺骗问题。微软将其严重性评级为“重要”，CVSS 评分为 6.5。微软表示，Microsoft Office SharePoint 中不正确的输入验证允许未经授权的攻击者通过网络执行欺骗操作。攻击者可能利用此漏洞访问敏感信息并对其进行篡改。

目前尚不清楚是谁利用 CVE-2026-32201 漏洞发起零日攻击，以及他们的动机是什么。截至现在，似乎还没有任何相关信息，微软也尚未透露是谁报告了该安全漏洞。然而，根据供应商的简要描述，CVE-2026-32201 有可能与其他漏洞连锁存在。

SharePoint 漏洞经常被恶意利用，CISA 的已知已利用漏洞（KEV）目录目前收录了10个 SharePoint 漏洞。

Microsoft 已发布 SharePoint 2016、2019 和 SharePoint Server 订阅版的更新来修复这些漏洞，建议受影响客户尽快更新至补丁版本。

参考链接：

https://www.securityweek.com/microsoft-patches-exploited-sharepoint-zero-day-and-160-other-vulnerabilities/

2.Adobe Acrobat Reader 远程代码执行漏洞(CVE-2026-34621)

4月13日，Adobe 发布了 Acrobat Reader 的紧急安全更新，以修复一个漏洞（编号为 CVE-2026-34621），该漏洞至少从去年12月起就被用于零日攻击。

该漏洞允许恶意 PDF 文件绕过沙箱限制并调用特权 JavaScript API，从而可能导致任意代码执行。攻击中发现的这种利用方式能够读取和窃取任意文件。除了打开恶意 PDF 文件之外，无需任何用户交互。具体来说，该漏洞利用了诸如 util.readFileIntoStream() 之类的 API 来读取任意本地文件，并利用 RSS.addFeed() 来窃取数据并获取攻击者控制的其他代码。该安全问题是由 EXPMON 漏洞检测系统的创始人李海飞发现的，此前有人提交了一个名为“ yummy_adobe_exploit_uwu.pdf ”的 PDF 样本进行分析。

李海飞表示，有人在3月26日向 EXPMON 提交了该样本，但该样本三天前就已发送到 VirusTotal，当时64家安全厂商中只有5家将其标记为恶意程序。研究人员在一篇博客文章中表示，在漏洞检测系统激活了其“深度检测”功能后，他决定手动调查该问题。该功能是李海飞专门为 Adobe Reader 开发的高级检测功能。安全研究员 Gi7w0rm 发现了利用俄语文档和石油天然气行业诱饵的攻击。

在收到李的报告后，Adobe 在周末发布了一份安全公告，将该漏洞的跟踪号定为 CVE-2026-34621。虽然该漏洞最初被评为严重（9.6），攻击途径为网络攻击，但 Adobe 随后将攻击途径改为本地攻击，并将严重程度降低至 8.6。Adobe 建议受影响用户通过“帮助 > 检查更新”来更新应用程序，这将触发自动更新。或者，用户可以从 Adobe 官方软件门户网站下载 Acrobat Reader 安装程序。

用户应始终对来自未经请求来源的 PDF 文件保持警惕，建议在怀疑时通过沙盒环境中打开它们。

参考链接：

https://www.bleepingcomputer.com/news/security/adobe-rolls-out-emergency-fix-for-acrobat-reader-zero-day-flaw/

3.Marimo 远程代码执行漏洞(CVE-2026-39987)

4月12日，据云安全公司 Sysdig 报道，一名威胁行为者针对 Marimo 中的一个严重漏洞开发了攻击程序，并在该漏洞公开披露后大约9个小时就开始利用该漏洞进行攻击。

Marimo 是一个开源的 Python 响应式笔记本，旨在确保代码、输出和程序状态保持一致。它在 GitHub 上拥有约20,000个星标。4月8日，该平台的维护者披露了 CVE-2026-39987（CVSS 评分为 9.3），这是一个未经身份验证的远程代码执行 (RCE) 漏洞，其根源在于终端 WebSocket 端点缺乏身份验证验证。该问题可能允许攻击者在未经身份验证的情况下获得完整的交互式 shell，从而导致任意系统命令的执行。

Marimo 的维护者解释称，与其他正确调用 validate_auth() 进行身份验证的 WebSocket 端点（例如 /ws）不同，/terminal/ws 端点在接受连接之前只检查运行模式和平台支持，完全跳过了身份验证验证。据 Sysdig 称，该漏洞的首次利用发生在安全公告发布9小时41分钟后。尽管尚未发布概念验证 (PoC)，但攻击者已创建了一个功能完善的漏洞利用程序，并利用该程序窃取了凭据。攻击者直接根据安全公告的描述构建了一个可用的漏洞利用程序，连接到未经身份验证的终端端点，并开始手动探索受感染的环境。

这家网络安全公司表示，他们观察到来自单个 IP 地址的攻击活动，但另有125个地址参与了侦察行动，例如端口扫描和 HTTP 探测。作为 Sysdig 蜜罐捕获的攻击的一部分，攻击者连接到易受攻击的终端 WebSocket 端点，两分钟后进行了手动侦察，六分钟后返回以窃取包含凭据的文件。此外，攻击者还试图读取目标目录中的所有文件并搜索 SSH 密钥。Sysdig 表示，整个攻击过程在三分钟内完成。

Marimo 0.20.4 及更早版本均受 CVE-2026-39987 影响。建议用户更新至 0.23.0 或更高版本，这些版本包含针对此漏洞的补丁。

参考链接：

https://www.securityweek.com/critical-marimo-flaw-exploited-hours-after-public-disclosure/

PART03

安全事件

1.俄罗斯黑客持续演练关基设施破坏能力，频频攻击电网水坝供热厂

4月15日TechCrunch消息，瑞典政府表示，与俄罗斯政府关联的黑客去年曾试图扰乱该国一座供热厂的运行。瑞典民防部长卡尔-奥斯卡·博林在新闻发布会上表示，这起未遂攻击发生在2025年初，其未透露涉事供热厂名字，但指出此次攻击“已被内置防护机制阻止”。他认为，这起事件显示黑客行为正变得“更加激进且鲁莽”。近两年来，俄关联黑客频频被指针对能源水务等系统发起攻击，意在扰乱现实世界公共服务，波兰电网、挪威水坝、乌克兰市政供暖系统等均曾遭遇攻击造成影响。

原文链接：

Sweden blames Russian hackers for attempting ‘destructive’ cyberattack on thermal plant

2.遇袭期间，伊朗境内大量美国制造的通信设备集体“失灵”

4月15日新华社消息，伊朗法尔斯通讯社报道称，在伊朗中部伊斯法罕省遇袭期间，伊朗境内大量美国制造的通信设备突然失灵，操作系统崩溃。出故障的通信设备全部来自美国的思科、飞塔和朱尼珀等品牌。报道援引伊朗网络安全专家分析认为，该国的通信网络此次可能遭受四种恶意攻击。一是隐藏访问：相关产品中包含即使没有互联网连接也能激活的“后门”，能够破坏设备；二是恶意数据包：从网络内部发送特殊数据，致使系统瞬间瘫痪；三是潜伏式“僵尸网络”：潜伏多年的恶意软件，在特定事件发生时被激活；四是生产链污染：硬件和软件在进入该国前已被篡改，即使更换操作系统也无法解决问题。此次事件表明，一个国家网络安全的支柱不能依赖外国设备。真正的安全始于自主拥有和生产本土技术。发展国产设备不再是一句口号，而是在网络战中生存的必要条件。

原文链接：

https://app.xinhuanet.com/news/article.html?articleId=20260415c04a0893ae644f8d80413038e3c45ce4

3.旧版iOS面临数据被盗风险，苹果发文提醒中国手机用户更新系统

4月15日Apple公众号消息，安全研究人员最近发现，存在一些基于网页的攻击，它们会借助恶意网页内容，对过时版本的iOS发起攻击, 一旦点按恶意链接或访问被入侵的网站，用户iPhone上的数据就可能面临被盗的风险。针对这一情况，苹果公司服务号“Apple”发布《更新iOS以保护你的iPhone免受网页攻击》安全公告，提醒相关iPhone用户，2026年4月开始为更多设备提供iOS 18.7.7，建议用户及时更新到安全版本或安装关键安全更新，无法更新设备的用户可考虑启用锁定模型，解决相关漏洞，阻断此类攻击。

原文链接：

https://mp.weixin.qq.com/s/X3-aVy9u4lTHBAJ49FA-pg

4.利用技术手段干扰、危害铁路12306平台安全，7家涉火车票销售第三方平台被约谈

4月10日网信中国消息，依据《网络安全法》《关键信息基础设施安全保护条例》有关规定，中央网信办、国家铁路局近日联合约谈携程、同程、去哪儿、飞猪、美团、智行火车票、高铁管家等7家涉火车票销售业务的第三方互联网平台，要求相关平台应当严格落实网络安全相关法律法规要求，不得利用自动化程序实施大规模、高频次的抢票操作干扰铁路12306平台的安全核验措施，不得干扰、危害铁路12306平台的安全稳定运行。后续相关部门将加强技术监测，如发现利用技术手段干扰、危害铁路12306平台安全的行为，将依据《网络安全法》《关键信息基础设施安全保护条例》等法律法规严肃查处。

原文链接：

https://mp.weixin.qq.com/s/AB287emmckacQnxWAAbGwg

5.近期爆发多起供应链投毒事件，国家网络安全通报中心发布风险分析

4月10日，国家网络安全通报中心监测发现，近期集中爆发多起供应链投毒攻击事件，攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios，涉及开源软件仓库和商用工具两大核心供应链场景。其中，Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库，导致风险通过依赖链向终端用户进一步蔓延。三起供应链投毒事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征，可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。当前，供应链安全事件已从偶发性风险演变为常态化、精准化的安全威胁，建议广大开发运维用户加强安全防范。

原文链接：

https://mp.weixin.qq.com/s/bdhBSMtbnIxGJ2pJBEB-hw

6.AI提效供应商被黑，至少十余家客户遭数据泄露及勒索攻击

4月7日Bleeping Computer消息，主打AI提效的商业监测公司Anodot被黑，导致Rockstar Games等许多客户的Snowflake云数据平台身份验证令牌泄露，遭到数据窃取乃至数据勒索威胁，至少12家公司受到影响。实施攻击的ShinyHunters组织声称，若不支付赎金，将公开从云端窃取的海量敏感数据。这一事件再次展示了SaaS、AI等新技术新业态极大放大了数据安全风险，此前Salesforce也曾因第三方生态屡遭攻击，导致大量客户数据大规模泄露。

原文链接：

https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/

PART04

政策法规

1.国家数据局《关于推进行业高质量数据集建设行动的实施方案》公开征求意见

4月15日，国家数据局综合司研究起草了《关于推进行业高质量数据集建设行动的实施方案（征求意见稿）》，现向社会公开征求意见。该文件共八章，包括总体要求、实施强基扩容行动、实施标注攻坚行动、实施提质增效行动、实施应用赋能行动、实施管理服务行动、实施价值释放行动、保障措施。该文件要求，鼓励依托国家数据基础设施，充分运用隐私保护计算、可信数据空间等能力，开展数据集安全存储、可信流通、高效应用，推动数据集从分散持有向集约化、标准化供给转变；强化安全保障，落实数据安全相关法律法规要求，建立全流程安全治理机制，防范数据投毒、数据篡改、数据泄露等安全风险，守牢数据安全底线。

原文链接：

https://www.secrss.com/articles/89439

2.国家网信办等三部门印发《网络安全标识管理办法》

4月10日，国家互联网信息办公室、工业和信息化部、公安部联合印发《网络安全标识管理办法》，旨在提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益。该文件明确，网络安全标识是指能够反映产品本身网络安全能力水平的信息标识。网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级，相应的标识等级分别用一星、二星、三星表示。该文件提出，网络安全标识管理工作坚持统筹发展和安全，产品生产者按照自愿原则参与；鼓励产品生产者依据本办法提升产品网络安全能力，标注网络安全标识；鼓励消费者优先选用标注网络安全标识的产品。根据文件，需要标注网络安全标识的产品，产品生产者应当依据实施规则相关要求开展网络安全能力检测，确定网络安全能力等级，并取得检测报告。任何组织和个人不得伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传。

原文链接：

https://www.secrss.com/articles/89306

3.国家网信办等五部门联合公布《人工智能拟人化互动服务管理暂行办法》

4月10日，国家网信办、国家发展改革委、工业和信息化部、公安部、市场监管总局联合公布《人工智能拟人化互动服务管理暂行办法》。该文件规定提供拟人化互动服务的基本要求，明确不得从事生成危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度等内容的活动。该文件明确了拟人化互动服务提供者的安全管理义务，未成年人、老年人权益保护和个人信息保护等义务，还规定了安全评估、算法备案、指导推动人工智能沙箱安全服务平台建设等制度。

原文链接：

https://www.secrss.com/articles/89307

4.教育部等五部门联合印发《“人工智能+教育”行动计划》

4月10日，教育部、国家发展改革委、工业和信息化部、科技部、国家数据局联合印发《“人工智能+教育”行动计划》。该文件共六章，包括总体要求、推动人工智能人才培养与素养提升、促进人工智能与教育深度广泛融合、建强“人工智能+教育”基础环境、优化“人工智能+教育”发展生态、组织实施。该文件要求，筑牢“人工智能+教育”安全屏障。具体包括：建立人工智能教育应用的安全防护体系，分类分级确定安全防护标准。深化建立教育大模型安全审核机制，确保生成内容积极健康、向上向善。建立人工智能教育应用的安全测评标准，一体保障模型算法、数据资源、基础设施、应用系统等安全，确保技术应用符合教育规律。推动软件正版化，保障人工智能应用安全、可信、可控。强化人工智能进校园管理，明确智能产品、终端的应用规范。健全人工智能评估备案、技术监测、风险预警、应急响应机制，有效防范利用人工智能伪造诈骗、学术造假、应试内卷、泄露隐私等问题。

原文链接：

https://www.secrss.com/articles/89294

5.美国联邦政府2027财年网络安全预算超830亿元，关基部门投入加大

4月3日，美国白宫公布2027财年联邦政府预算提案，美国联邦政府民事部门网络安全支出预计将从2026年的124.55亿美元（约合人民币849亿元）降至2027年的122.28亿美元（约合人民币833亿元），减少约2.27亿美元，同比略有下降约1.8%。各机构之间预算出现结构性分化，司法部、国务院、交通部等关基部门涨幅巨大，国土安全部、退伍军人事务部及科研项目削减费用较多。作为美国国家网络防御核心部门，国土安全部网络安全与基础设施安全局不仅遭遇大幅预算削减，还需裁撤约800名全职员工，将面临巨大的不确定性，不过关基安全核心职能目前未出现明显削减情况。

原文链接：

https://www.secrss.com/articles/89386

往期精彩推荐

【已复现】Cockpit 远程代码执行漏洞(CVE-2026-4631)安全风险通告

【已复现】Windows 截图工具 NTLM 信息泄露漏洞(CVE-2026-33829)安全风险通告

奇安信集团2026年04月补丁库更新通告-第一次更新

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《安全热点周报：Adobe 修复已被利用数月的 Reader 零日漏洞》