📊 本周总览

指标	数据
本周新增CVE总数（4月12日—19日）	1,211 条
其中高危（HIGH，CVSS 7.0–8.9）	179 条
其中严重（CRITICAL，CVSS 9.0+）	待统计（NVD API查询超时）
主要来源	Microsoft、Adobe、SAP、Siemens、WordPress生态
本周重大安全事件	Patch Tuesday（4月14日）、Operation PowerOFF

---

一、🔴 重点高危漏洞（按厂商分类）

1. Microsoft Patch Tuesday（4月14日）— 大规模补丁日

本周最重要的安全事件：微软4月补丁日，集中披露大量高危漏洞。

Microsoft Office Word — 多个RCE漏洞

CVE	类型	CVSS	描述
CVE-2026-33095	Use-After-Free → RCE	7.8	未授权攻击者可本地执行任意代码，需用户交互（打开恶意文件）
CVE-2026-33114	不可信指针解引用 → RCE	8.4	无需用户交互即可本地执行代码，危险性更高
CVE-2026-33115	Use-After-Free → RCE	8.4	同上，无需用户交互

⚠️ 影响版本：Microsoft Office Word（多个版本） 修复：立即通过Windows Update安装2026年4月补丁

Microsoft SQL Server — 网络RCE

CVE	类型	CVSS	描述
CVE-2026-33120	不可信指针解引用 → RCE	8.8	已认证攻击者可通过网络执行任意代码，无需用户交互

⚠️ 影响版本：SQL Server（多个版本） 修复：安装2026年4月SQL Server安全更新

Windows Active Directory — 相邻网络RCE

CVE	类型	CVSS	描述
CVE-2026-33826	输入验证不当 → RCE	8.0	相邻网络内已认证攻击者可执行任意代码

⚠️ 影响版本：Windows Server 2012 R2 / 2016 / 2019 / 2022 / 2025 修复：安装2026年4月Windows Server安全更新

Microsoft Defender — 本地权限提升

CVE	类型	CVSS	描述
CVE-2026-33825	访问控制粒度不足 → LPE	7.8	本地已认证攻击者可提升至更高权限

Windows Server Update Service — 本地权限提升

CVE	类型	CVSS	描述
CVE-2026-32224	Use-After-Free → LPE	7.0	影响Windows 11 26H1（ARM64/x64），本地权限提升

---

2. Adobe 安全公告（4月14日）

Adobe InDesign — 堆溢出RCE（多个）

CVE	类型	CVSS	描述
CVE-2026-34627	堆缓冲区溢出 → RCE	7.8	打开恶意文件可触发任意代码执行
CVE-2026-34628	堆缓冲区溢出 → RCE	7.8	同上
CVE-2026-34629	堆缓冲区溢出 → RCE	7.8	同上

⚠️ 影响版本：InDesign Desktop ≤ 20.5.2 / ≤ 21.2 修复：升级至 20.5.3 / 21.3（APSB26-32）

Adobe Connect — XSS权限提升

CVE	类型	CVSS	描述
CVE-2026-34617	存储型XSS → 权限提升	8.7	低权限攻击者注入恶意脚本，可接管受害者账户/会话

⚠️ 影响版本：Adobe Connect ≤ 2025.3 / ≤ 12.10 修复：安装APSB26-37补丁

---

3. SAP 安全公告（4月14日）

CVE	产品	CVSS	描述
CVE-2026-34256	SAP ERP / S/4HANA	7.1	缺少授权检查，已认证攻击者可覆盖任意8字符ABAP报告，导致可用性破坏

⚠️ 影响版本：SAP ERP、SAP S/4HANA（私有云和本地部署） 修复：SAP Note 3731908

---

4. Siemens SINEC NMS — 工控系统认证绕过（4月14日）

CVE	类型	CVSS	描述
CVE-2026-24032	认证绕过（UMC组件）	7.3	未认证远程攻击者可绕过认证，获得未授权访问
CVE-2026-25654	待分析	HIGH	SINEC NMS < V4.0 SP3，详情待补充

⚠️ 影响版本：SINEC NMS < V4.0 SP3（含UMC） 修复：升级至V4.0 SP3（SSA-801704） ⚠️ 特别关注：工控/OT系统漏洞，影响工业网络管理

---

5. AI框架漏洞集中爆发（4月12日）— 值得关注的新趋势

本周出现多个AI/LLM框架漏洞，反映AI工具链安全问题日益突出：

CVE	产品	CVSS	类型	描述
CVE-2026-6108	MaxKB（1Panel-dev）≤ 2.6.1	6.3	OS命令注入	MCP节点组件execute函数，PoC已公开，可远程利用
CVE-2026-6110	MetaGPT（FoundationAgents）≤ 0.8.1	7.3	代码注入	Tree-of-Thought Solver的generate_thoughts函数，PoC已公开，无需认证
CVE-2026-6111	MetaGPT ≤ 0.8.1	HIGH	SSRF	decode_image函数，可发起服务端请求伪造，PoC已公开
CVE-2026-6109	MetaGPT ≤ 0.8.1	4.3	CSRF	Mineflayer HTTP API，PoC已公开
CVE-2026-1116	lollms（parisneo）< 2.2.0	8.2	存储型XSS	AppLollmsMessage.from_dict未对content字段做HTML编码，可导致账户接管、会话劫持、蠕虫攻击

⚠️ 趋势警示：MetaGPT项目被通知后尚未响应，MaxKB已发布修复版本2.8.0 建议：使用AI框架的开发者应立即检查版本并更新

---

6. WordPress生态漏洞（4月14日）

CVE	插件	CVSS	类型	描述
CVE-2026-4352	JetEngine ≤ 3.8.6.1	7.5	SQL注入（未认证）	CCT REST API搜索端点，_cct_search参数直接拼接SQL，无需认证即可提取数据库敏感信息
CVE-2026-4388	Form Maker by 10Web ≤ 1.15.40	7.2	存储型XSS（未认证）	表单提交注入JS，管理员查看提交详情时触发
CVE-2026-6227	BackWPup ≤ 5.6.6	7.2	本地文件包含（LFI）	REST端点路径遍历绕过，可读取wp-config.php或RCE
CVE-2026-3017	Smart Post Show ≤ 3.0.12	7.2	PHP对象注入	反序列化不可信输入，需配合POP链利用

---

二、🌐 重大安全事件

1. Operation PowerOFF：国际执法打击DDoS租用服务（4月17日）

• 21个国家联合执法行动，查封53个DDoS域名，逮捕4人

• 涉及超过75,000名网络犯罪分子使用的DDoS-for-hire服务

• 获取包含300万+犯罪用户账户的数据库

• 已发出25份搜查令，向已识别用户发送警告邮件

• 参与国：澳大利亚、奥地利、比利时、巴西、保加利亚、丹麦、爱沙尼亚、芬兰、德国、日本、拉脱维亚、立陶宛、卢森堡、荷兰、波兰、葡萄牙、瑞典、泰国、英国、美国等

来源：The Hacker News（2026年4月17日）

---

2. Mirai变种Nexcorium利用CVE-2024-3721攻击TBK DVR（4月18日）

• 威胁行为者利用TBK DVR设备漏洞CVE-2024-3721（CVSS 6.3，命令注入）

• 部署Mirai变种Nexcorium，构建DDoS僵尸网络

• 同时攻击已停产的TP-Link Wi-Fi路由器

• 研究来源：Fortinet FortiGuard Labs + Palo Alto Networks Unit 42

• 核心问题：IoT设备缺乏补丁、安全配置薄弱，成为大规模攻击的首选目标

来源：The Hacker News（2026年4月18日）

---

3. ThreatsDay周报：Defender 0-Day、SonicWall暴力破解、17年历史Excel RCE（4月16日）

• Zerion加密钱包被黑：疑似朝鲜黑客，内部热钱包被盗约10万美元

• Defender 0-Day：Windows Defender存在零日漏洞（细节待披露）

• SonicWall暴力破解：SonicWall设备遭大规模暴力破解攻击

• 17年历史Excel RCE：一个存在17年的Excel远程代码执行漏洞被重新发现并利用

来源：The Hacker News（2026年4月16日）

---

4. Google Android 17隐私重大升级（4月17日）

• Google宣布Android 17新隐私策略：引入Contact Picker，应用只能访问用户选择的特定联系人（替代过于宽泛的READ_CONTACTS权限）

• 2025年全年：Google封锁/删除83亿条违规广告，暂停2490万个账户

• 新政策限制第三方应用对联系人列表和位置信息的访问方式

来源：The Hacker News（2026年4月17日）

---

三、📈 本周漏洞统计

按厂商分布（高危+严重）

厂商	高危CVE数量	代表漏洞类型
Microsoft	30+	RCE、LPE、认证绕过
Adobe	15+	堆溢出RCE、XSS
WordPress生态	20+	SQL注入、XSS、LFI、PHP对象注入
SAP	5+	授权缺失、信息泄露
Siemens（工控）	3+	认证绕过、命令注入
AI框架	5+	命令注入、代码注入、SSRF、XSS
IoT/路由器	10+	栈溢出、命令注入

按漏洞类型分布

漏洞类型	占比估算	代表CVE
缓冲区溢出（栈/堆）	~25%	Tenda F451系列、Adobe InDesign
跨站脚本（XSS）	~20%	WordPress插件、Adobe Connect、lollms
代码/命令注入	~15%	MetaGPT、MaxKB、Tenda
SQL注入	~10%	JetEngine、WordPress插件
权限提升（LPE）	~10%	Microsoft Defender、WSUS
认证绕过	~8%	Siemens SINEC NMS
Use-After-Free	~7%	Microsoft Office Word、WSUS
SSRF/CSRF	~5%	MetaGPT

---

四、⚡ 本周重要时间线

日期	事件
4月12日	MaxKB、MetaGPT、lollms多个AI框架漏洞集中披露
4月12日	Tenda F451路由器多个栈溢出漏洞（CVE-2026-6120~6124）披露
4月14日	Microsoft Patch Tuesday：大规模补丁日，Office/SQL Server/AD/Defender等
4月14日	Adobe安全公告：InDesign堆溢出RCE、Connect XSS
4月14日	SAP安全公告：ERP/S4HANA授权缺失漏洞
4月14日	Siemens SINEC NMS：工控系统认证绕过漏洞
4月14日	WordPress JetEngine SQL注入、BackWPup LFI等插件漏洞披露
4月16日	ThreatsDay周报：Defender 0-Day、17年历史Excel RCE
4月17日	Operation PowerOFF：21国联合查封53个DDoS域名
4月17日	Google Android 17隐私重大升级公告
4月18日	Mirai变种Nexcorium利用TBK DVR漏洞构建DDoS僵尸网络

---

五、🛡️ 本周修复建议（优先级排序）

优先级	产品	操作
🔴 P0	Microsoft Office（Word）	立即安装4月Patch Tuesday补丁
🔴 P0	Microsoft SQL Server	立即安装4月SQL Server安全更新
🔴 P0	Windows Server（AD）	立即安装4月Windows Server补丁
🔴 P0	Adobe InDesign	升级至20.5.3 / 21.3
🟠 P1	Adobe Connect	安装APSB26-37补丁
🟠 P1	Siemens SINEC NMS	升级至V4.0 SP3（工控环境优先）
🟠 P1	SAP ERP / S/4HANA	应用SAP Note 3731908
🟠 P1	MaxKB	升级至2.8.0
🟡 P2	MetaGPT	关注官方修复进展，暂时限制网络访问
🟡 P2	WordPress JetEngine	升级至3.8.6.2+（关注Crocoblock官方公告）
🟡 P2	WordPress BackWPup	升级至5.6.7+
🟡 P2	TBK DVR / TP-Link EoL路由器	隔离网络或更换设备

---

六、🔍 趋势洞察

1. AI框架成新攻击面：本周MetaGPT、MaxKB、lollms等AI工具链集中爆发漏洞，且多个PoC已公开，MetaGPT项目方尚未响应，风险持续存在。

2. Patch Tuesday规模扩大：4月补丁日涵盖Office、SQL Server、Active Directory、Defender、WSUS等核心组件，修复优先级极高。

3. 工控系统持续受威胁：Siemens SINEC NMS认证绕过漏洞影响工业网络管理系统，OT/ICS环境需特别关注。

4. IoT僵尸网络活跃：Mirai变种Nexcorium利用已知漏洞攻击TBK DVR，IoT设备补丁滞后问题依然严峻。

5. DDoS-for-hire生态被打击：Operation PowerOFF是近年来规模最大的DDoS服务打击行动之一，但类似服务仍会快速重建。