安全情报屋

🚨 漏洞预警

🔴 CRITICAL · 5 条

1. GNU Inetutils telnetd 远程认证绕过 CVE-2026-24061 🔥 `CVSS 9.8`

🎯 受影响：GNU Inetutils 至 2.7 版本的 telnetd 服务，常用于远程登录场景

📋 简介：攻击者可通过设置 USER 环境变量为 "-f root"，无需有效凭据即可远程绕过 telnetd 认证，直接以 root 身份登录。该漏洞 CVSS 9.8，已有多个安全通告关注，危害极高。

🛠 处置：立即升级至 GNU Inetutils 最新版本（若已修复），或临时禁用 telnetd 服务以避免暴露

🔗 参考：

2. UniFi OS 设备不当访问控制漏洞 CVE-2026-34908 `CVSS 10.0`

🎯 受影响：Ubiquiti UniFi OS 设备（如网络控制器、网关等），多用于企业网络管理

📋 简介：网络邻接攻击者可利用不正确的访问控制，在未授权情况下对系统进行修改，可能导致配置篡改或服务中断。CVSS 10.0 表明风险极高。

🛠 处置：限制管理接口的公网暴露，并关注 UniFi OS 官方公告，及时升级至修复版本

🔗 参考：

3. UniFi OS 设备路径遍历漏洞 CVE-2026-34909 `CVSS 10.0`

🎯 受影响：Ubiquiti UniFi OS 设备，典型部署为无线控制器或安全网关

📋 简介：攻击者可通过路径遍历访问底层文件，进一步操纵文件内容以获得账户访问权限。CVSS 10.0 表明无需特殊权限即可造成严重危害。

🛠 处置：限制网络访问并升级至 UniFi OS 官方修复版本，同时加强文件权限控制

🔗 参考：

4. Linux 内核网络协议栈拒绝服务漏洞 CVE-2026-9054 `CVSS 9.2`

🎯 受影响：受影响 Linux 内核版本（触发协议包括 TCP、IL、RUDP、GRE），常见于各类服务器和网络设备

📋 简介：攻击者发送长度小于头部大小的特制数据包，可导致内核恐慌（Kernel Panic），造成系统崩溃或重启。CVSS 9.2 表明远程利用风险高。

🛠 处置：关注 Linux 发行版安全公告，及时应用补丁；在未修复前可在边界防火墙过滤异常小包

🔗 参考：

5. UniFi OS 设备命令注入漏洞 CVE-2026-33000 `CVSS 9.1`

🎯 受影响：Ubiquiti UniFi OS 设备，需攻击者拥有高权限并接入网络

📋 简介：具有高权限的网络攻击者可通过不安全的输入验证注入命令，在底层系统执行任意操作，导致完全失控。CVSS 9.1 显示危害严重。

🛠 处置：限制高权限账号的网络访问，并升级至 UniFi OS 官方修复版本

🔗 参考：

🟠 HIGH · 1 条

1. Apache Struts 外部实体注入漏洞（S2-069） CVE-2025-68493 🔥 `CVSS 8.1`

🎯 受影响：Apache Struts 2.0.0 至 6.1.0 版本，广泛用于 Java Web 应用开发

📋 简介：攻击者可利用缺失的 XML 验证触发外部实体注入（XXE），读取服务器敏感文件或发起 SSRF 攻击。该漏洞已有安全通告（S2-069）引发关注，需紧急处置。

🛠 处置：立即升级至 Apache Struts 6.1.1 或更高版本

🔗 参考：

---

新发现 72 条 · 热度升级 0 条 · 🔥=高热度/有 PoC · 🆙=昨日已推、今日热度升级

🛡️ 每日安全情报

🛡️ AI 安全情报日报 · 2026-05-23

_2026-05-23 · 共筛出 50 条 ≥4★_

1. Apache Flink 高危漏洞可导致远程代码执行攻击 🔓 ★★★★★

📋 Apache Flink存在高危漏洞，可导致远程代码执行攻击。

2. CVE-2026–1839: How Training AI with Heavy Weights Can Still Lead to Light Security 🔓 📄 ★★★★★

📋 CVE-2026-1839漏洞存在于HuggingFace库，AI训练权重处理不当导致安全问题。

3. Exploit for CVE-2025-0680 exploit 🔓 ★★★★★

📋 CVE-2025-0680漏洞利用代码公开，可能被利用。

4. Exploit for CVE-2026-36227 exploit 🔓 ★★★★★

📋 CVE-2026-36227漏洞利用代码公开，可能被用于攻击。

5. Lawmakers Demand Answers as CISA Tries to Contain Data Leak 🚨 📜 ★★★★★

📋 CISA承包商在公开GitHub泄露AWS GovCloud密钥等大量敏感信息，国会要求解释，CISA仍在遏制影响。

6. Linux 本地提权工具支持多个Linux 内核和 Polkit 漏洞 | AnolisOS、openEuler、统信UOS、openKylin、Ubuntu、CentOS 7 🔓 🔧 ★★★★★

📋 公开Linux本地提权工具，利用多个内核和Polkit漏洞，影响主流国产及Ubuntu等系统。

7. Mini Shai-Hulud｜微软 durabletask SDK 被投毒，下载量超百万 🚨 ⚔️ ★★★★★

📋 微软durabletask Python SDK在PyPI遭投毒，下载量超百万，攻击者利用泄露的发布凭据注入恶意代码。

8. vm2 沙箱曝5大高危漏洞：最高 CVSS 10.0，波及所有3.11.3及以下版本 🔓 ★★★★★

📋 vm2沙箱发现5个高危漏洞，最高CVSS 10.0，影响所有3.11.3及以下版本，可导致沙箱逃逸。

9. 一图看懂｜从说错话到做错事，Skill成智能体风险新入口 ⚔️ 🛡️ 📄 ★★★★★

📋 智能体Skill成为新风险入口，AI风险从错误输出转向错误执行，需重建安全边界。

10. 关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示 ⚔️ 🔓 ★★★★★

📋 CNCERT发现黑产团伙利用AI工具批量生成高仿真钓鱼网站，大规模传播银狐远控木马，形成完整攻击链。

11. 攻击者如何迫使微软发送钓鱼邮件 ⚔️ 🚨 ★★★★★

📋 攻击者滥用微软Entra ID租户品牌功能，迫使微软合法基础设施发送钓鱼邮件，绕过邮件验证，已发现250多个租户被利用。

12. 漏洞预警 | Linux Kernel Fragnesia 本地权限提升漏洞（CVE-2026-46300） 🔓 ★★★★★

📋 Linux内核Fragnesia漏洞(CVE-2026-46300)允许本地提权，PoC已公开，影响广泛。

13. 潜伏九年的Linux内核漏洞可致攻击者窃取SSH私钥 🔓 ⚔️ ★★★★★

📋 潜伏九年的Linux内核漏洞可被利用窃取SSH私钥，构成严重持久威胁。

14. 5 个月 9.2 万次攻击，伪装成 AI 工具的恶意软件，正盯上你的电脑！ ⚔️ 🔓 ★★★★☆

📋 伪装成AI工具的恶意软件在5个月内发动9.2万次攻击，威胁用户电脑安全。

15. 97.7% 告警降噪：腾讯云安全运营Agent实践 🛡️ 🔧 📄 ★★★★☆

📋 腾讯云安全运营Agent实现97.7%告警降噪，从17万告警中筛选出42条真实威胁，发现隐藏入侵。

---

其他 35 条：

📊 GitHub 热榜

📊 GitHub 日榜 · 2026-05-23

1. Lum1104/Understand-Anything

📋 教学图谱 > 炫技图谱。将任意代码转化为可探索、搜索和提问的交互式知识图谱。兼容 Claude Code、Codex、Cursor、Copilot、Gemini CLI 等工具。

2. anthropics/claude-plugins-official

📋 Anthropic 官方维护的高质量 Claude Code 插件目录。

3. colbymchenry/codegraph

📋 为 Claude Code、Codex、Cursor、OpenCode 和 Hermes Agent 预索引的代码知识图谱——更少 token、更少工具调用、100% 本地运行。

4. rohitg00/ai-engineering-from-scratch

📋 学习它。构建它。为他人交付它。

5. Fincept-Corporation/FinceptTerminal

📋 FinceptTerminal 是一款现代金融应用，提供高级市场分析、投资研究和经济数据工具，旨在交互式探索和数据驱动决策，用户界面友好。

6. multica-ai/andrej-karpathy-skills

📋 一份改进 Claude Code 行为的 CLAUDE.md 文件，源自 Andrej Karpathy 对 LLM 编码陷阱的观察。

7. dotnet/skills

📋 辅助 AI 编码代理处理 .NET 和 C# 的技能仓库。

8. ChromeDevTools/chrome-devtools-mcp

📋 面向编码代理的 Chrome DevTools。

9. mukul975/Anthropic-Cybersecurity-Skills

📋 754 项结构化网络安全技能，供 AI 代理使用 · 映射至 5 个框架：MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、D3FEND 和 NIST AI RMF · 遵循 agentskills.io 标准 · 兼容 Claude Code、GitHub Copilot、Codex CLI、Cursor、Gemini CLI 及 20+ 平台 · 覆盖 26 个安全领域 · Apache 2.0 许可。

10. presenton/presenton

📋 开源 AI 演示文稿生成器及 API（Gamma、Beautiful AI、Decktopus 替代方案）。

🤖 AI 总结分析

截至 2026 年 5 月 23 日，今日安全态势极为严峻，共监测到 5 条 CRITICAL 级别漏洞及 1 条 HIGH 级别漏洞，其中 3 个漏洞 CVSS 评分高达 10.0。攻击面集中在网络基础设施（UniFi OS、GNU Inetutils）、操作系统内核（Linux）及开发框架（Apache Struts），同时 AI 供应链与沙箱逃逸成为情报热点。技术趋势上，远程认证绕过与命令注入成为主流攻击向量，且多已有 PoC 或安全通告。

高危漏洞预警中，最值得关注的是 Ubiquiti UniFi OS 设备 集中爆发的三个 CVSS 10.0 漏洞（CVE-2026-34908 不当访问控制、CVE-2026-34909 路径遍历、CVE-2026-33000 命令注入），攻击者无需认证即可篡改配置或获取完整系统权限，严重影响企业网络管理。其次是 GNU Inetutils telnetd 认证绕过漏洞（CVE-2026-24061，CVSS 9.8），攻击者通过设置环境变量即可免密以 root 身份登录，危害直接且利用门槛低。

安全情报方面，vm2 沙箱曝出 5 个高危漏洞（最高CVSS 10.0） 影响所有 3.11.3 及以下版本，可导致完整沙箱逃逸，对依赖该沙箱的 Node.js 安全方案构成直接威胁。另外，微软 durabletask Python SDK 在 PyPI 遭投毒，下载量超百万，攻击者利用泄露凭据植入恶意代码，提醒开发者务必校验软件包完整性。GitHub 热榜今日因非工作无新增，暂无可参考项目。

行动建议：立即检查并升级所有暴露在公网的 UniFi OS 设备，若无法升级需先限制管理接口网络访问，三个 CVSS 10.0 漏洞的远程利用风险极高，优先处置。