文章总结： 2026年5月13日信息安全快讯披露多领域高危漏洞与新型攻击手法。微软修复120个漏洞，涉及DNS、Office、Azure等核心组件；FortiSandbox自身漏洞可致检测链条被削弱；OpenWebUI的RCE漏洞暴露AI平台风险；VercelAI工具被滥用于批量生成钓鱼页面；SAPS/4HANA高危SQL注入威胁ERP核心数据；攻击者利用MicrosoftTeams进行社会工程学攻击；Lazarus组织将恶意代码隐藏于Githooks，通过面试题投毒开发者；Android无线调试功能存在0-click漏洞POC公开；Tanstacknpm包被投毒窃取CI凭据；PHPSOAP扩展曝远程代码执行漏洞。建议企业优先修补域控、公网系统、ERP及安全设备，并加强员工对AI钓鱼、Teams欺诈及代码仓库投毒的识别能力。 综合评分： 85 文章分类： 漏洞预警,威胁情报,供应链安全,社会工程学,安全意识

黑客把恶意代码藏进 Git Hooks，开发者面试题也可能是投毒入口

汇能云安全

2026年5月13日 09:49 广东

在小说阅读器读本章

去阅读

5月13日，星期三，您好！中科汇能与您分享信息安全快讯：

01

微软 5 月补丁日一次修 120 个漏洞，企业补丁窗口不能再拖

微软 5 月补丁日一次修复了 120 个漏洞，其中远程代码执行漏洞数量达到 31 个，严重 RCE 漏洞达 29 个。虽然微软称本轮没有已在野利用或提前公开的 0day，但这并不意味着风险低，真正需要关注的是受影响组件范围很广，覆盖 Windows DNS Client、Netlogon、Office、SharePoint、Hyper-V、Visual Studio Code、Azure 相关组件和 Copilot 相关产品。对企业来说，这类补丁不是“普通更新”，而是涉及身份认证、域环境、办公文档、云端开发和混合云管理面的集中修复。建议优先处理域控、邮件办公、高权限运维终端、开发环境和公网暴露系统。

02

FortiSandbox 高危漏洞无需认证即可触发，安全设备本身也可能被反向打穿

Fortinet 本次修复的漏洞里，FortiSandbox 的 CVE-2026-26083 最值得优先关注。该漏洞影响 FortiSandbox 本地版、云版本和 PaaS 版本，属于 Web UI 中缺失授权校验的问题，攻击者无需账号密码，就可能访问受限功能或敏感沙箱分析数据。FortiSandbox 的作用本来是分析恶意样本、隔离可疑文件、辅助企业识别攻击链。如果这类检测平台本身被打穿，后果就不是单台设备失陷，而是企业威胁检测链条被削弱，甚至攻击样本、分析结果和安全策略都可能暴露。建议企业优先升级 FortiSandbox，并同步检查 FortiManager、FortiAnalyzer、FortiAP 和 FortiOS 的修复情况。

03

Open WebUI 一键 RCE 漏洞公开，AI 工作台正在变成新的高价值入口

该漏洞来自头像上传功能，平台未严格限制上传媒体类型，攻击者可以上传包含 JavaScript 的恶意 SVG 文件，当已登录用户访问图片链接时，浏览器会直接执行隐藏脚本。若点击者是管理员或拥有工作区权限，攻击者可通过 API 创建恶意工具，形成持久化后门并实现远程代码执行；若是普通用户，也可能被窃取认证令牌和聊天历史。AI 平台里往往存着企业内部知识、模型调用记录和敏感提示词，不能再按普通开源 Web 工具的标准粗放部署。

04

Vercel AI 工具被滥用生成钓鱼站，钓鱼攻击开始进入“批量生产”阶段

攻击者正在滥用 Vercel 的 AI 网页生成能力批量生产钓鱼页面。研究显示，攻击者只需输入类似“生成一个微软登录页”的提示词，就能快速生成一个具备真实品牌颜色、Logo 和登录表单的页面。过去钓鱼团伙需要购买钓鱼套件、搭服务器、改模板，现在合法 AI 建站平台把这些环节自动化了。更麻烦的是，攻击者还能把 Vercel 页面和 Telegram Bot 串起来，受害者提交账号密码后，凭据会实时推送给攻击者。对企业来说，反钓鱼不能只看页面像不像、域名是不是新注册，还要关注异常登录上下文、MFA 会话劫持和员工对 AI 生成假站的识别能力。

05

SAP S/4HANA 高危 SQL 注入修复，ERP 核心系统风险不能慢半拍

SAP 5 月补丁日修复多项严重漏洞，其中 SAP S/4HANA 的 CVE-2026-34260 最值得关注，CVSS 评分达到 9.6。该漏洞位于 SAP Enterprise Search for ABAP 组件，攻击者一旦成功利用，可能执行恶意数据库查询，读取、修改甚至删除企业核心财务和业务数据。ERP 系统不是普通业务后台，它连接采购、库存、财务、供应链、订单和客户数据，一旦被打穿，影响会直接进入企业经营层面。SAP 同时修复了 SAP Commerce Cloud 缺失认证校验漏洞和其他命令注入问题，使用 SAP 的企业应尽快完成补丁验证与上线，并重点检查异常查询、权限变更和接口调用记录。

06

攻击者劫持 Microsoft Teams 账号伪装 IT 支持，ModeloRAT 直接打进办公链路

最新 ModeloRAT 攻击活动把入口放在了 Microsoft Teams 里，攻击者通过被劫持或伪造的 Teams 账号联系员工，假扮企业 IT 支持人员，诱导受害者执行混淆后的 PowerShell 命令。命令执行后会在 AppData 目录释放 ZIP 包，解压便携 Python 环境和恶意组件，再启动 ModeloRAT。它的危险点在于，Teams 本身是企业日常协作工具，员工天然更容易信任“同事消息”或“IT 帮助台指令”。而攻击样本在研究时曾出现零杀软检测，并可绕过多款 EDR。企业应限制 Teams 外部通信、强化帮助台身份验证流程，并重点监控员工终端上异常 PowerShell 与便携 Python 执行。

07

黑客把恶意代码藏进 Git Hooks，开发者面试题也可能是投毒入口

Lazarus 相关攻击活动继续瞄准开发者，这次攻击者把恶意代码藏进 Git Hooks。攻击者伪装招聘人员，在 LinkedIn 等平台联系软件开发者，并发来所谓“技术面试题”或“代码测试仓库”。受害者克隆 GitHub 仓库后，恶意 pre-commit hook 就潜伏在 .githooks 目录中；一旦开发者尝试提交代码，脚本会自动运行，识别 Windows、macOS 或 Linux 系统，并下载对应载荷。攻击目标包括加密钱包、敏感凭据和持久化访问。这个案例说明，开发者不能只检查源码逻辑，也要检查仓库配置、hooks、CI 脚本和隐藏目录，求职面试代码仓库尤其要在隔离环境中运行。

08

Android 0-Click 漏洞 PoC 公开，无线调试功能可能变成远程 Shell 入口

Google 5 月 Android 安全公告披露了 CVE-2026-0073，该漏洞影响 Android 系统中的 adbd 守护进程。研究人员公开的 PoC 显示，攻击者在特定条件下可利用无线 ADB 认证逻辑错误，无需用户交互获得 shell 权限。该漏洞主要影响 Android 14、15、16 设备，前提是设备启用了开发者选项、开启无线调试、网络可访问 5555 端口，并存在已配对的 RSA 主机密钥。虽然利用条件看似有限，但对测试机、开发机、企业调试设备和移动安全实验环境来说风险很高。

09

TanStack 84 个 npm 包被投毒，CI 凭据与云密钥成为攻击目标

TanStack 生态发生一起严重供应链攻击，攻击者向 npm 发布了 84 个恶意包版本，影响 42 个 TanStack 包，其中包括周下载量超过 1200 万的 @tanstack/react-router。恶意版本会引入 router\_init.js 和可疑 optionalDependencies，通过安装生命周期钩子在开发机或 CI runner 中自动执行代码，目标是窃取 GitHub Token、AWS、GCP、Kubernetes、Vault 凭据、SSH 密钥和 .npmrc 内容。TanStack 事后说明，攻击链并不是偷 npm Token，而是滥用 GitHub Actions 工作流、缓存投毒和 OIDC trusted publisher 机制。企业应检查锁文件、轮换云密钥和 GitHub 凭据，并审计 CI 日志。

10

PHP SOAP 扩展曝远程代码执行漏洞，老牌 Web 组件仍是高危攻击面

PHP SOAP 扩展及核心字符串处理组件被披露一组漏洞，其中 CVE-2026-6722 最值得关注。该漏洞属于 use-after-free，出现在 SOAP 扩展处理 XML 对象去重逻辑时，攻击者可通过构造恶意 XML 请求触发内存破坏，并进一步实现远程代码执行。PHP 团队还修复了 SoapServer 会话对象、Apache Map 解码、urldecode、mbstring 等相关问题。受影响版本包括 PHP 8.2.31、8.3.31、8.4.21、8.5.6 之前的多个分支。很多企业仍在后台系统、接口服务、CMS 和老业务中使用 PHP SOAP。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《黑客把恶意代码藏进 Git Hooks，开发者面试题也可能是投毒入口》