文章总结: 本周安全热点聚焦AdobeColdFusion高危漏洞,该漏洞在披露后两小时内即被利用,CISA已下令联邦机构紧急修复。此外,Langflow和Joomla等多个平台的高危漏洞也已在野利用。安全事件方面,AI编程工具ClaudeCode被指存在安全后门隐患,同时首个全程由AI驱动的勒索攻击也已曝光。 综合评分: 90 文章分类: 漏洞预警,网络安全,安全大事件,恶意软件,应用安全
安全热点周报:Adobe ColdFusion 曝高危漏洞,披露后两小时内即遭利用
奇安信 CERT
2026年7月10日 17:42 北京
在小说阅读器读本章
去阅读
| 安全资讯导视 | | — | | • 中国人民银行等三部门《金融业网络安全管理办法》公开征求意见 | | • AI编程工具Claude Code存安全后门隐患,工信部发布风险提示 | | • 首个AI勒索攻击曝光:从侦查入侵到数据加密,全程自主完成 |
PART01
漏洞情报
1.用友U8cloud XChangeServlet SQL注入漏洞安全风险通告
7月9日,奇安信CERT监测到官方修复用友U8cloud XChangeServlet SQL注入漏洞(QVD-2026-38848),该漏洞源于用友 U8cloud 的XChangeServlet 接口存在 SQL 注入漏洞。该接口用于处理 XML 格式的数据交换请求,服务端在解析请求体中的 ufinterface 节点属性时,对 sender 参数缺少严格校验,并将其带入后端 SQL 查询逻辑,导致攻击者可以构造恶意 SQL片段破坏原有查询语句结构。攻击者无需登录,只要能够访问目标系统 Web 服务,即可向XChangeServlet 发送恶意 XML 请求,在 sender 属性中注入 SQL 语句。该漏洞可造成任意命令执行,攻击者可进一步获取服务器控制权限。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2.XWiki Platform路径遍历漏洞安全风险通告
7月8日,奇安信CERT监测到官方修复XWiki Platform 路径遍历漏洞(CVE-2026-34151),该漏洞源于 /skin/ action 端点在处理资源路径时,未充分抵御 Jetty 12+ 应用服务器特有的 URL 解码和规范化行为,导致攻击者可通过双重 URL 编码的 “..%252f” 序列绕过路径限制。该漏洞主要影响使用 Jetty 12+ 部署的 XWiki 实例(例如官方 Docker 镜像,默认将 XWiki 部署在多级目录下)。攻击者可利用该漏洞,通过构造特殊 URL 访问 Jetty 实例有权限读取的任意资源,包括系统配置文件、Hibernate 配置、XWiki 配置文件甚至服务器敏感文件(如 /etc/passwd),从而导致敏感信息泄露。奇安信鹰图资产测绘平台数据显示,该漏洞关联的全球风险资产总数为3942个,关联IP总数为1670个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
3.Linux FUSE page cache本地权限提升漏洞安全风险通告
7月7日,奇安信CERT监测到Linux FUSE page cache 本地权限提升漏洞(CVE-2026-31694),该漏洞位于 Linux 内核 FUSE readdir 缓存逻辑中。fuse_add_dirent_to_cache() 会根据 FUSE 服务端返回的 namelen 计算目录项序列化长度,并复制到单个 page-cache 页中。原逻辑只检查目录项是否能放入“当前页剩余空间”,但没有检查该目录项本身是否超过 PAGE_SIZE。恶意 FUSE 服务端可返回 namelen=4095 的目录项,使记录长度达到 4120 字节。在 4KB 页系统上,memcpy() 会向相邻内核页溢出24 字节,造成受控越界写。成功利用后,可能导致系统权限被完全接管、敏感数据泄露、系统配置被篡改、后门账户被植入,严重时可造成系统崩溃或业务中断。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
4.Citrix NetScaler内存越界读取漏洞安全风险通告
7月6日,奇安信CERT监测到Citrix NetScaler 内存越界读取漏洞(CVE-2026-8451)在野利用,该漏洞源于设备在处理 SAML 认证请求时,其内置的 XML 解析器对属性值的边界检查存在缺陷。当 NetScaler 被配置为 SAML 身份提供商(IdP)时,未经身份验证的远程攻击者可以向 /saml/login 接口发送特制的 SAML 请求,导致解析器读取超出输入缓冲区边界的内存,攻击者可利用该漏洞,读取设备内存中的敏感数据,或导致 nsppe 进程崩溃,引发拒绝服务。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为2831个,关联IP总数为611个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞已发现在野利用,建议客户尽快做好自查及防护。
5.Adobe ColdFusion路径穿越漏洞安全风险通告
7月3日,奇安信CERT监测到官方修复Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282),该漏洞源于远程开发服务(RDS)功能在处理文件操作时,未能正确限制对受限目录的路径名访问。攻击者可以利用此漏洞,通过向 /CFIDE/main/ide.cfm 端点发送特制的 RDS 请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。目前该漏洞PoC和技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
PART02
新增在野利用
1.Adobe ColdFusion 路径穿越漏洞(CVE-2026-48282)
7月8日,美国网络安全和基础设施安全局 (CISA) 已命令政府机构在尽快修复 Adobe ColdFusion 商业网络应用程序开发平台中一个已被积极利用的最高级别漏洞。
该漏洞(CVE-2026-48282)影响 ColdFusion 版本 2025.9、2023.20 及更早版本,远程威胁行为者无需权限即可利用该漏洞进行低复杂度攻击,从而在未打补丁的系统上执行代码。Adobe 在一周前发布了安全更新来解决该安全漏洞,并敦促管理员立即部署补丁,称该漏洞存在很高的被利用风险。该公司表示,此次更新修复了特定产品版本和平台上的漏洞,这些漏洞目前正被恶意利用,或极易成为恶意利用的目标,Adobe 建议管理员尽快安装此更新。
KEVIntel 创始人 Ryan Dewhurst 在 Adobe 发布补丁两天后发出警告,攻击者在 Adobe 披露 CVE-2026-48282 漏洞后两小时内就开始利用该漏洞,而加拿大网络安全中心 (CCCS) 也鼓励网络防御者保护其系统免受这些持续攻击。
互联网安全监督组织 Shadowserver 目前追踪到近800个暴露在网上的 Adobe ColdFusion 实例,但没有信息表明其中有多少是蜜罐,或者有多少已经采取措施防止针对 CVE-2026-48282 漏洞的攻击。
建议管理员升级到 ColdFusion 2025 update 10 或 ColdFusion Update 21,如果服务器在过去一周内面向互联网,则应查找入侵迹象,例如 ColdFusion 的 Web 根目录和 /CFIDE/ 目录中的未经授权的文件。
参考链接:
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-max-severity-coldfusion-flaw-by-friday/
2.Langflow 不安全直接对象引用漏洞(CVE-2026-55255)
7月7日,美国网络安全和基础设施安全局 (CISA) 发出警告,Langflow 的另一个漏洞 (CVE-2026-55255) 已被攻击者利用。此前近两周,Sysdig 威胁研究团队观察到该漏洞正被积极利用。
Langflow 是黑客的理想目标,因为它是 AI 开发生态系统中流行的工具,它提供了一个拖放界面,可以将节点连接到可执行的管道中,并提供 REST API 以编程方式运行它们。
该漏洞被追踪为 CVE-2026-55255,它利用不安全的直接对象引用 (IDOR) 漏洞,允许经过身份验证的威胁行为者通过向 /api/v1/responses 端点发送恶意构造的请求,并使用受害者的 UUID (flow_id) 来访问其他用户的流。成功利用漏洞还能让攻击者访问受害者数据流处理的敏感数据并消耗其资源。
Sysdig 的威胁研究团队 (TRT) 于 6月25日首次观察到 CVE-2026-55255 的实际利用,并表示其目标是“代码执行和第二阶段植入程序交付(加载器/投放器类)”。安全研究人员补充道,根据观察,很明显,攻击者是机会主义者,并且以经济利益为目的。很明显,其动机是通过入侵人工智能主机获取金钱,而入侵的人工智能主机可以带来两项可靠的收益:计算能力(僵尸网络/植入程序)和凭证(LLM/云密钥)。而获取这两项收益都使用了廉价、可重复且技术含量低的工具。
周二,CISA 将 CVE-2026-55255 授权绕过漏洞添加到其已知利用漏洞目录(KEV) 中,并命令美国联邦民事行政部门 (FCEB) 机构在周五之前按照约束性操作指令 (BOD) 26-04 的要求保护其设备。
据 VulnCheck 安全研究员 Caitlin Condon 称,自6月以来,攻击者还积极利用严重性较高的 Langflow 路径遍历漏洞(CVE-2026-5027) 在暴露的服务器上写入任意文件。
此漏洞已在 1.9.1 版本中修复,建议受影响客户尽快升级到补丁版本。
参考链接:
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-prioritize-patching-langflow-auth-bypass-flaw/
3.JoomShaper SP Page Builder 任意文件上传漏洞(CVE-2026-48908)&Joomlack Page Builder 任意文件上传漏洞(CVE-2026-56290)
7月7日,美国网络安全和基础设施安全局 (CISA) 发出警告,黑客一直在利用两个 Joomla 扩展漏洞,影响 JoomShaper 的 SP Page Builder 和 Joomlack 的 Page Builder CK。
SP Page Builder 漏洞,编号为 CVE-2026-48908(CVSS 评分为 10.0),被描述为访问控制不当的问题,允许未经身份验证的攻击者实现远程代码执行 (RCE)。
此漏洞已在 SP Page Builder 6.6.2 版本中修复。该漏洞影响插件的自定义图标上传功能,且无需身份验证即可访问。由于存在漏洞的函数会将文件写入网站根目录,因此该漏洞可能导致从网站根目录执行代码的服务器上的 PHP 代码被执行。
最近的报告显示,威胁行为者一直在利用该漏洞在 Joomla 网站上植入隐藏的管理员帐户,并部署 PHP 文件管理器后门。
Page Builder CK 漏洞被追踪为 CVE-2026-56290(CVSS 评分为 10.0),该漏洞被描述为未经身份验证的任意文件上传问题,导致底层 Web 服务器出现远程代码执行 (RCE)。
Page Builder CK 3.6.0 版本于6月27日发布,修复了该安全漏洞。几个小时内,威胁行为者就开始利用该漏洞植入 web shell。
建议受影响客户立即更新,然后检查网站是否已被入侵。
参考链接:
https://www.securityweek.com/cisa-urges-immediate-patching-of-exploited-coldfusion-langflow-joomla-flaws/
PART03
安全事件
1.AI编程工具Claude Code存安全后门隐患,工信部发布风险提示
7月8日网络安全威胁和漏洞信息共享平台消息,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,AI编程工具Claude Code存在安全后门隐患,危害严重。Claude Code是美国Anthropic公司开发的AI编程工具,可根据文字需求自主完成代码编写、修复等工作。由于其内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息,受影响的Claude Code为2.1.91至2.1.196版本。建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。
原文链接:
https://www.secrss.com/articles/91969
2.IT咨询巨头埃森哲35GB机密数据疑泄露:涉源代码、密钥、访问凭证等
7月7日Bleeping Computer消息,一名代号“888”的威胁行为者在网络犯罪论坛公开售卖,声称窃取自埃森哲的35GB机密数据,涉及源代码、RSA密钥、SSH密钥、Azure PAT、Azure Storage访问密钥等敏感信息,并公布了克隆相关Azure DevOps代码仓库的截图作为凭证。埃森哲确认发生数据泄露,不过没有给出进一步信息,尚不确定数据泄露内容及客户影响范围。埃森哲回应称,已消除此次孤立事件的源头,并强调此次事件未对公司的运营和服务交付造成影响。有安全专家指出,被窃数据可能包含代码漏洞和凭证,或为后续攻击提供线索。
原文链接:
https://www.secrss.com/articles/92012
3.中学生利用ChatGPT恶意攻击会员系统,致日本知名动漫网站关停超6周
7月6日日本时报消息,日本东京警方以涉嫌妨害业务罪逮捕了一名15岁的中学生,他涉嫌利用系统漏洞,恶意取消知名动漫视频平台“万代频道”约4.68万个用户账号的会员,导致该平台进入应急状态紧急关停服务,6周后才恢复服务。该少年已承认相关指控。警方介绍,这名少年从小学四年级左右开始学习编程,案发时正就读于初中三年级。他通过分析该公司的数据流量,发现了“万代频道”系统中的一个漏洞,随后利用ChatGPT合作编写了恶意程序,用来取消会员账号的订阅。“万代频道”在察觉到攻击后,采取了封锁访问服务器等措施,但该少年通过大约30次更换IP地址,持续进行未授权的会员取消操作。
原文链接:
https://www.secrss.com/articles/91988
4.首个AI勒索攻击曝光:从侦查入侵到数据加密,全程自主完成
7月4日Bleeping Computer消息,美国安全厂商Sysdig发现一起完全由AI智能体驱动的勒索软件攻击行动,其目标侦察、凭据窃取、横向移动、持久化建立、权限提升和数据加密环节均由智能体自主完成,能利用数个已知漏洞,并根据目标情况实时调整改进。尽管此次攻击存在些许瑕疵,如勒索加密密钥为随机生成且未回传给攻击者,勒索信的支付地址为示例地址等,但不影响其威胁性,智能体网络攻击的时代正在到来。与此同时,当前由大模型生成的攻击载荷存在较多“数字指纹”特征,这也为安全防护产品提供了新的检测点和突破口。
原文链接:
https://www.secrss.com/articles/91914
5.马来西亚国民级数字停车服务被黑后中断超3天,用户无法缴费被开罚单
7月3日综合消息,马来西亚国民级数字停车支付移动应用Flexi Parking近日遭受网络攻击后服务中断超3天,现在已恢复运行。Flexi Parking为马来西亚64个地方政府提供停车缴费、支付交通罚单、查找充电站等服务,约占全国四成地区。服务中断后,大量驾驶员无法通过手机应用支付停车费,导致被开具欠费罚单,部分地区如雪兰莪州已要求暂停开具欠费罚单。
原文链接:
https://www.secrss.com/articles/91880
6.希腊电网运营商电表数据遭大规模非法篡改,损失逾7000万元
6月24日Proto Thema消息,希腊警方披露,该国唯一电网运营商HEDNO的电表遭到大规模数据篡改,被滥用实施电力盗窃,目前已确认600余起案件,预计造成经济损失超7000万元。据悉,HEDNO的模拟电表和数字电表均被篡改,模拟电表采用物理干涉的方式压低电表记录的用电量,数字电表则是利用改装固件监控和篡改电表软件,上报虚假的用电数据。犯罪团伙采取“订阅销售模式”,按月/季度/半年等周期去更新用电参数,已持续进行多年。电表制造商表示,这是目前针对该款数字电表最复杂的技术攻击。
原文链接:
https://www.secrss.com/articles/91947
PART04
政策法规
1.欧盟发布《网络安全与人工智能行动计划》
7月7日,欧盟委员会提出《网络安全与人工智能行动计划》,旨在汇聚成员国、行业组织及欧盟层面机构的力量,共同加强数字环境安全防护,有效抵御先进人工智能可能引入的脆弱环节。该文件指出,新型先进人工智能模型正重新定义网络安全边界,人工智能既可用于辅助漏洞检测、提升网络攻击预防能力及关键基础设施保护水平,也可能被恶意行为者利用,实现攻击自动化、弱点识别及网络行动的快速规模化。该文件重点明确了推动先进人工智能的安全与负责任使用、增强欧盟整体网络安全韧性、提升欧洲在网络安全领域的人工智能技术实力三项目标,并围绕目标部署了多项关键行动。
原文链接:
https://www.secrss.com/articles/92019
2.《工业控制系统网络安全防护能力成熟度模型》等7项网络安全国家标准发布
7月7日,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2026年第30号),全国网络安全标准化技术委员会归口的7项国家标准正式发布。具体包括《网络安全技术 网络安全产品互联互通 第4部分:威胁信息格式》《网络安全技术 网络安全产品互联互通 第5部分:行为信息格式》《网络安全技术 电子邮件系统安全技术规范》《网络安全技术 工业控制系统网络安全防护能力成熟度模型》《网络安全技术 互联网恶意软件定义与描迷格式》《网络安全技术 网络安全事件管理 第1部分:原理和过程》《网络安全技术 网络安全事件管理 第2部分:事件响应规划和准备指南》。
原文链接:
https://www.secrss.com/articles/91953
3.国家文物局印发《国有文物资源数据管理办法》
7月6日,国家文物局印发《国有文物资源数据管理办法》。该文件有多项条款涉及网络安全。该文件提出,国有文物资源数据实施全生命周期管理,遵循权益清晰、安全可控等原则。国有文物管理机构应委派专人对委托采集活动进行现场指导和监督,确保文物安全和数据安全;国有文物管理机构应建立数据保存管理制度,配备数据存储、管理、服务安全等必要设施,明确数据安全负责人和管理部门,加强数据安全管控;数据传输一般应采用线上方式,线上传输应通过国家安全管理认证的数据传输平台进行;国务院文物行政部门统筹建立国有文物资源数据安全风险监管与应急处置机制,指导国有文物资源数据风险评估与监测预警工作,组织协调处置重大数据安全风险事件。
原文链接:
https://www.secrss.com/articles/91963
4.中国人民银行等三部门《金融业网络安全管理办法》公开征求意见
7月3日,中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家外汇管理局联合起草了《金融业网络安全管理办法(征求意见稿)》,现面向社会公开征求意见。该文件共五章33条,包括总则、网络安全保护义务、监督管理协同、法律责任、附则。该文件提出,金融从业机构应当建立网络安全管理组织架构和议事决策机制,指定网络安全牵头管理部门,保障本机构网络安全资金和人员投入。应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。向公众提供应用软件下载服务的金融从业机构,应当履行恶意程序和违法违规信息检测等安全管理义务。发现应用软件存在设置恶意程序,或者含有法律、行政法规禁止发布、传输的信息的,金融从业机构应当立即停止提供下载服务。
原文链接:
https://www.secrss.com/articles/91889
5.《移动智能终端信息清除技术指引》等3项网络安全标准实践指南公开征求意见
7月3日,全国网络安全标准化技术委员会秘书处组织编制了3项网络安全标准实践指南征求意见稿。其中,《半导体存储介质块擦除技术指引》提出了半导体存储介质的块擦除技术要求,并给出各类半导体存储介质块擦除指令对照表;《电子产品信息清除记录、标识与回收管理指引》规定了电子产品信息清除日志记录的格式、内容和回收过程、代理回收点管理要求,提出了信息清除标识的样式和使用方法;《移动智能终端信息清除技术指引》规定了移动智能终端信息清除技术要求,包括基本要求、清除范围、清除方法、清除操作过程等要求和验证方法。
原文链接:
https://www.secrss.com/articles/91863
往期精彩推荐
【已复现】用友U8cloud XChangeServlet SQL注入漏洞(QVD-2026-38848)安全风险通告
【已复现】XWiki Platform 路径遍历漏洞(CVE-2026-34151)安全风险通告
【已复现】Linux FUSE page cache 本地权限提升漏洞(CVE-2026-31694)安全风险通告
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:奇安信 CERT 《安全热点周报:Adobe ColdFusion 曝高危漏洞,披露后两小时内即遭利用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论