【安全日报】2026-04-04 | Cisco双9.8高危漏洞、Next.js大规模利用、Cookie控制WebShell新技术

by

🔥 今日重点安全事件

1. Cisco IMC & SSM 双高危漏洞(CVSS 9.8)

CVE-2026-20093 — Cisco IMC 认证绕过漏洞

  • CVSS: 9.8 (Critical)
  • 影响: 未认证远程攻击者可绕过认证,篡改任意用户密码(含管理员),获取系统完全控制权
  • 成因: 密码变更请求处理不当,攻击者可通过构造 HTTP 请求绕过认证
  • 受影响产品: Cisco 5000 Series ENCS, Catalyst 8300, UCS C-Series M5/M6, UCS E-Series M3/M6
  • 修复版本: 4.15.5 / 4.18.3 / 4.3(2.260007) / 6.0(1.250174) 等

CVE-2026-20160 — Cisco SSM On-Prem 远程命令执行

  • CVSS: 9.8 (Critical)
  • 影响: 未认证远程攻击者可在底层操作系统上以 root 权限执行任意命令
  • 成因: 内部服务意外暴露
  • 修复版本: Cisco SSM On-Prem 9-202601

2. Next.js React2Shell 大规模利用 — CVE-2025-55182(CVSS 10.0)🔴 活跃利用中

  • 影响: Next.js App Router (React Server Components)
  • 攻击规模: 至少 766 台主机被入侵,涉及多个地区和云服务商
  • 攻击者: UAT-10608(Cisco Talos 追踪)
  • 攻击手法:
    • 利用 CVE-2025-55182 获取初始访问
    • 部署 NEXUS Listener C2 框架(已发展至 V3 版本,含 GUI 管理界面)
    • 多阶段脚本窃取:数据库凭证、SSH 私钥、AWS/GCP/Azure 密钥、Stripe/OpenAI/Anthropic API 密钥、GitHub token
    • 通过 Shodan/Censys 自动化扫描发现目标
  • 防御建议: 最小权限原则、启用 secret scanning、避免 SSH 密钥复用、强制 IMDSv2、疑似入侵时立即轮换凭证

3. Microsoft 披露 Cookie 控制的 PHP Web Shell 持久化新技术

  • 发布方: Microsoft Defender Security Research Team
  • 技术要点:
    • 攻击者使用 HTTP Cookie 作为 PHP Web Shell 的控制通道,替代传统 URL 参数/请求体触发方式
    • Web Shell 在正常流量中保持休眠,仅在特定 Cookie 值出现时激活
    • 通过 $_COOKIE 超全局变量消费攻击者输入
    • 结合 cron 定时任务实现自愈持久化——即使被删除也会自动重建
    • 三种模式:多层混淆 PHP 加载器 / 结构化 Cookie 分段重组 / 单 Cookie 触发器
  • 防御建议: 管理面板/SSH 强制 MFA、审计 cron 任务、监控 Web 目录异常文件创建、限制控制面板 Shell 能力

4. Budibase 低代码平台批量修复 6 个严重漏洞

CVE 类型 修复版本
CVE-2026-35216 未认证 RCE (Webhook + Bash) 3.33.4
CVE-2026-35218 存储型 XSS 3.32.5
CVE-2026-35214 路径穿越 → 任意目录删除 3.33.4
CVE-2026-31818 SSRF(REST Connector 默认黑名单为空) 3.33.4
CVE-2026-25044 命令注入 (Bash Automation Step) 3.33.4
CVE-2026-25043 密码重置无速率限制 3.23.25

5. SparkCat 新变种 — iOS/Android 加密货币窃取

  • SparkCat 恶意软件新版本出现在 App Store 和 Google Play
  • 伪装为企业通讯和外卖 App
  • 静默扫描受害者相册,寻找加密钱包助记词截图
  • iOS 版本扫描英文助记词,影响范围更广
  • 主要目标为亚洲加密货币用户

6. 其他值得关注的漏洞

  • FastMCP CVE-2026-27124: OAuth 代理回调缺少同意验证,Confused Deputy 攻击
  • FastMCP CVE-2025-64340: Windows 命令注入
  • Linux Kernel CVE-2026-31402: NFSv4.0 LOCK replay cache 堆溢出
  • Casdoor CVE-2026-5469: Webhook URL SSRF(CVSS 5.8)
  • immich-server CVE-2026-25118: 认证凭证明文传输

📊 今日统计

  • 扫描来源: 4 个(CVEFeed、TheHackerNews、安全客、GitHub Advisory)
  • 收录 CVE: 18 个
  • 严重/高危: 5 个(CVSS ≥ 9.0)
  • 活跃利用: 1 个(CVE-2025-55182 Next.js)
  • 安全研究报告: 2 篇

💡 安全分析

  1. Cookie-gated Web Shell——传统的 URL 参数/请求体触发方式容易被 WAF 检测,而 Cookie 控制通道更加隐蔽。结合 cron 实现自愈功能使得清除难度大增。
  2. Next.js React2Shell 大规模利用——高 CVSS 漏洞从披露到武器化的时间窗口越来越短。NEXUS Listener C2 的 GUI 化设计表明攻击工具链正在向即插即用方向发展。
  3. 低代码平台安全问题——Budibase 一次性修复 6 个漏洞,低代码平台因开放度高、用户技术门槛低,更容易产生安全盲区。
  4. MCP 生态安全——FastMCP 漏洞提醒 MCP 生态快速发展的同时,经典攻击面也在暴露。

本文由 爱安全 Info 自动采集整理 | 数据来源:CVEFeed.io、The Hacker News、安全客、GitHub Advisory Database

发布时间:2026-04-04 00:58 CST