文章总结： 2026年5月12日披露多条高危漏洞：BitLocker降级攻击CVE-2025-48804可绕过补丁解密；ClaudeChrome扩展存在会话劫持风险；PHPSOAP扩展CVE-2026-6722（CVSS9.5）存在在野利用的RCE漏洞；ClineAIAgentWebSocket劫持CVE-2026-44211（CVSS9.6）可窃取数据并实现RCE；两条SAP漏洞（SQL注入与RCE）同步达热度峰值。建议立即处理PHP、SAPCommerceCloud及Cline漏洞，48小时内处理BitLocker、Claude扩展及SAPS/4HANA漏洞。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应急响应,应用安全,终端安全

今日（2026年5月12日）热点网络安全漏洞动态

奇安信 CERT

2026年5月12日 17:11 北京

在小说阅读器读本章

去阅读

日期: 2026-05-12  |  威胁等级: High  |  来源: securityonline.info · NVD · thehackernews

一、概要

2026年5月12日，多条高危漏洞集中披露：BitLocker 降级攻击即使打补丁仍可绕过加密卷；Claude Chrome 扩展会话劫持引发 AI 安全边界广泛讨论；PHP SOAP 远程代码执行（CVSS 9.5）已有在野检测；Cline AI Agent WebSocket 劫持（CVSS 9.6）威胁开发者日常工作环境；两条 SAP 漏洞同时达到热度峰值，安全团队多线处置压力大。

二、高危漏洞详情

CVE-2025-48804：BitUnlocker Windows 11 BitLocker 降级攻击漏洞

物理攻击补丁绕过PoC已公开BitLocker

受影响产品：Windows 11（22H2/23H2/24H2 等版本）、BitLocker 加密功能（未完全迁移到新证书的系统）。

影响：物理访问攻击者使用 BitUnlocker 工具，通过证书降级绕过已修复的 BitLocker，在几分钟内解密卷、提取密钥或访问敏感数据。非远程漏洞，需要物理接触设备。

热度原因：5月12日 PoC 工具及完整攻击演示公开，即使安装了2025年补丁仍可被绕过，物理攻击场景实用性强，加密数据保护话题引发广泛关注。

修复建议：完成 Windows UEFI CA 2023 新证书迁移（参考 KB5025885 等）；保持系统最新补丁；启用 TPM + PIN 双重保护；加强设备物理安全（如锁屏、设备追踪）；审计并更换受影响卷的恢复密钥。

ClaudeBleed / LayerX：Claude Chrome 扩展 AI 会话劫持漏洞

会话劫持AI安全浏览器扩展LayerX

受影响产品：Anthropic Claude Chrome 浏览器扩展。

影响：其他普通 Chrome 扩展可注入恶意脚本，完全劫持 Claude AI 会话，包括窃取 Gmail/Drive 数据、绕过安全防护，执行未授权操作等。

热度原因：5月12日 LayerX 研究披露，AI 代理/扩展安全边界问题引发热议，演示了浏览器扩展信任风险，今天在 AI 与浏览器安全社区广泛传播。

修复建议：立即更新 Claude Chrome 扩展至最新版本；谨慎安装其他扩展或临时禁用；监控浏览器权限和 Claude 会话异常；关注 Anthropic 官方安全更新。

CVE-2026-6722：PHP SOAP 扩展远程代码执行漏洞

CVSS 9.5RCE在野检测PHP SOAP

受影响产品：PHP（启用 SOAP 扩展的版本，特别是使用 Apache map 对象去重机制的实例）。

影响：Use-After-Free 类型漏洞，远程攻击者通过特制 SOAP 请求实现远程代码执行（RCE），可完全接管服务器。

热度原因：5月11日 PHP 官方安全补丁发布并被重点报道，已有活跃利用检测，PHP 作为广泛使用的后端语言导致影响面极大，今日热度持续。

修复建议：立即升级到包含修复的最新 PHP 版本；禁用不必要的 SOAP 扩展；部署 WAF 过滤恶意 SOAP 请求；审计日志并轮换所有凭证。

CVE-2026-44211：Cline AI Agent WebSocket 劫持漏洞

CVSS 9.6WebSocket劫持开发者工具AI Agent

受影响产品：Cline AI Agent（使用 kanban npm 包的版本，本地 Kanban 服务器，端口 127.0.0.1:3484）。

影响：恶意网站可通过浏览器跨域劫持本地 WebSocket，窃取文件路径、任务数据、Git 信息、AI 聊天记录，并注入提示实现 RCE 或终端控制。

热度原因：5月12日 报道突出浏览器到本地 AI 代理的隐蔽攻击路径，开发者日常工具特性放大风险，今日热度高。

修复建议：升级 Cline 到最新修复版本；加强 Origin 头验证；避免浏览器中同时访问可信与不可信站点；使用防火墙限制本地端口暴露。

CVE-2026-34260：SAP S/4HANA SQL注入漏洞

SQL注入企业系统SAP S/4HANA

受影响产品：SAP S/4HANA（Enterprise Search 等相关组件）。

影响：攻击者可注入恶意 SQL，实现未授权数据访问、数据泄露或应用崩溃。

热度原因：SAP 企业核心系统，近期补丁相关披露，大型企业环境影响显著，今日被多处平台同步报道。

修复建议：应用 SAP 最新 Security Note 补丁；使用参数化查询；严格输入验证并监控数据库异常日志。

CVE-2026-34263：SAP Commerce Cloud 远程代码执行漏洞

CVSS 9.6RCE企业云平台SAP Commerce

受影响产品：SAP Commerce Cloud（HY_COM 2205、COM_CLOUD 2211 等版本）。

影响：未认证攻击者通过不当 Spring Security 配置上传恶意配置文件，实现任意服务器端代码执行（RCE）。

热度原因：5月12日 相关报道，电商/企业云平台 RCE 漏洞实用性强，关注度高，今日多条 SAP 漏洞同步达到热度峰值。

修复建议：立即应用 SAP 官方补丁；强化 Spring Security 配置；限制 API/配置文件上传并加强 WAF 防护；审计系统日志。

三、总体修复提醒

最高优先（立即处理）：

• PHP SOAP RCE（CVE-2026-6722，CVSS 9.5）——立即升级 PHP；禁用非必要 SOAP 扩展；部署 WAF。
• Cline WebSocket 劫持（CVE-2026-44211，CVSS 9.6）——升级 Cline；限制本地端口暴露；隔离浏览器环境。
• SAP Commerce Cloud RCE（CVE-2026-34263，CVSS 9.6）——立即应用 SAP 官方补丁。

高优先级（48小时内处理）：

• BitLocker 降级攻击（CVE-2025-48804）——完成 UEFI CA 2023 证书迁移；启用 TPM+PIN；加强设备物理安全。
• Claude Chrome 扩展劫持（ClaudeBleed/LayerX）——更新扩展；审查扩展权限；监控 AI 会话异常。
• SAP S/4HANA SQL注入（CVE-2026-34260）——应用 SAP Security Note；参数化查询；数据库日志审计。

通用防护建议：

• 优先处理 PHP、SAP 和 AI 相关产品更新，监控物理访问与本地服务暴露。
• 使用全面漏洞扫描工具检查环境暴露面，关注 HP/SAP/AI 工具链。
• 访问 securityonline.info 持续跟踪最新漏洞披露与官方补丁动态。
• 建立漏洞响应 SOP，快速验证、测试与生产部署全流程闭环。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《今日（2026年5月12日）热点网络安全漏洞动态》