GitHub曝严沉RCE缝隙影响数百万代码库

首页 > 安全钻研 > 安全传递 > 安全简讯

GitHub曝严沉RCE缝隙影响数百万代码库

颁布功夫 2026-04-30

1. GitHub曝严沉RCE缝隙影响数百万代码库

4月29日，，，，，云安全巨头Wiz的钻研人员在GitHub上发现了一个严沉的远程代码执行缝隙，，，，，该缝隙可能露出数百万个代码库。。。。。缝隙编号为CVE-2026-3854，，，，，影响了代码托管平台内部的Git基础架构，，，，，GitHub Enterprise Server和GitHub.com均受到波及。。。。。Wiz诠释称，，，，，通过利用GitHub内部和谈中的注入缝隙，，，，，任何经过身份验证的用户均可使用尺度git客户端，，，，，通过一个git push号令在GitHub的后端服务器上执行肆意号令。。。。。这家安全公司利用人为智能发现该问题，，，，，并暗示缝隙利用极度容易。。。。。以GitHub Enterprise Server为例，，，，，攻击者可利用此缝隙齐全节造服务器，，，，，获得对所有存储库和内部机密信息的接见权限。。。。。该缝隙对GitHub.com的影响更为宽泛，，，，，攻击者可在共享存储节点上执行远程代码，，，，，Wiz确认数百万个属于其他用户和组织的公共及私有代码库在受影响的节点上均可接见。。。。。固然身份验证要求似乎降低了风险，，，，，但GitHub诠释称，，，，，任何占有向存储库推送权限的用户均可利用此缝隙在服务器上执行肆意号令。。。。。

https://www.securityweek.com/critical-github-vulnerability-exposed-millions-of-repositories/

2. CISA将ConnectWise与Windows Shell缝隙纳入KEV目录

4月29日，，，，，美国网络安全和基础设施安全局近日将两个已被宽泛利用的安全缝隙纳入其已知可利用缝隙目录，，，，，要求联国机构在2026年5月12日前实现建复。。。。。首个缝隙是ConnectWise ScreenConnect中的蹊径遍历缝隙，，，，，编号CVE-2024-1708，，，，，CVSS评分为8.4分。。。。。该缝隙影响23.9.7及更早版本的ScreenConnect，，，，，源于文件蹊径限度不当，，，，，攻击者可能接见预期领域之表的文件和目录。。。。。攻击者通过篡改文件蹊径，，，，，可接见系统的敏感区域，，，，，在某些情景下可导致远程代码执行或未经授权接见机密数据和关键资源。。。。。值妥贴心的是，，，，，该缝隙常与另一严沉认证绕过缝隙CVE-2024-1709（CVSS评分10.0）共同使用。。。。。第二个缝隙是Windows Shell糊弄缝隙，，，，，编号CVE-2026-32202，，，，，CVSS评分为4.3分。。。。。该缝隙源于此前针对CVE-2026-21510的不齐全补丁。。。。。CVE-2026-21510原是俄罗斯APT28黑客组织自2025年12月起用来攻击乌克兰和欧盟国度的零日缝隙，，，，，与MSHTML缝隙CVE-2026-21513组成利用链。。。。。微软于4月27日更新布告确认该缝隙已被积极利用，，，，，建复了早前颁布的谬误利用性指标。。。。。

https://securityaffairs.com/191442/security/u-s-cisa-adds-microsoft-windows-shell-and-connectwise-screenconnect-flaws-to-its-known-exploited-vulnerabilities-catalog.html

3. SAP多个官方npm包遭供给链攻击

4月29日，，，，，TeamPCP提议了一路供给链攻击，，，，，导致多个官方SAP npm包遭到入侵，，，，，主张是窃取开发人员系统中的痛处和身份验证令牌。。。。。安全钻研人员汇报称，，，，，这次缝隙影响了四个软件包，，，，，其恶意版本目前已在npm上被弃用：@cap-js/sqlite v2.2.2、@cap-js/postgres v2.2.2、@cap-js/db-service v2.10.1和mbt v1.2.48。。。。。这些软件包支持SAP的云利用法式编程模型和云MTA，，，，，通常用于企业开发环境。。。。。凭据Aikido和Socket的最新汇报，，，，，被入侵的软件包已被批改，，，，，蕴含一个恶意的“预装置”剧本，，，，，该剧本在装置npm包时会自动执杏祝。。。。该剧本启动一个名为setup.mjs的加载器，，，，，从GitHub下载Bun JavaScript运行时，，，，，并使用它来执行经过高度混合的execution.js载荷。。。。。该载荷是一种信息窃取法式，，，，，用于从开发人员机械和CI/CD环境中窃取各类痛处，，，，，蕴含npm和GitHub身份验证令牌、SSH密钥、开发人员痛处、AWS/Azure/Google Cloud的云凭证、Kubernetes配置和密钥，，，，，以及CI/CD流水线密钥和环境变量。。。。。

https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/

4. Quick Page/Post Redirect插件藏五年后门

4月29日，，，，，五年前，，，，，装置在超过70,000个WordPress网站上的Quick Page/Post Redirect插件被增长了一个后门，，，，，允许向用户网站注入肆意代码。。。。。WordPress主机提供商Anchor的首创人Austin Ginder发现了该恶意软件，，，，，此前他托管的服务器上有12个网站受到习染，，，，，触发了安全警报。。。。。Quick Page/Post Redirect是一款用于在文章、页面和自界说URL中创建沉定向的根基实用插件，，，，，已在WordPress.org上提供多年。。。。。目前，，，，，WordPress.org已临时将该插件从目录中移除，，，，，期待审查。。。。。尚不明显是插件作者自行植入了后门，，，，，还是其账户被第三方入侵。。。。。Ginder诠释说，，，，，2020年至2021年间颁布的官方插件版本5.2.1和5.2.2蕴含一个指向第三方域名anadnet[.]com的暗藏自我更新机造，，，，，该机造允许将肆意代码推送到WordPress.org节造领域之表。。。。。2021年2月，，，，，恶意自更新法式从WordPress.org插件的后续版本中被移除，，，，，代码审查员还没来得及仔细审查它。。。。。据Ginder称，，，，，2021年3月，，，，，运行Quick Page/Post Redirect 5.2.1和5.2.2的网站偷偷地从该表部服务器接管到了一个篡悔改的5.2.3版本，，，，，该版本引入了一个被动后门。。。。。

https://www.bleepingcomputer.com/news/security/popular-wordpress-redirect-plugin-hid-dormant-backdoor-for-years/

5. 青龙面板曝认证绕过缝隙，，，，，攻击者可部署加密矿工

4月29日，，，，，黑客在利用开源工作调度工具青龙面板中的两个认证绕过缝隙，，，，，在开发者服务器上部署加密矿工。。。。。两个安全问题影响青龙面板2.20.1及更早版本，，，，，且能够串联利用以实现远程代码执杏祝。。。。CVE-2026-3965：配置不当的沉写规定将/open/*要求映射到/api/*，，，，，无意中通过未经身份验证的蹊径露出了受保唬唬�；；；；さ闹卫碓倍说恪！！�。。CVE-2026-4047：认证查抄以分辨大幼写方式处置蹊径（/api/），，，，，而路由匹配则不分大幼写，，，，，这允许/aPi/...等要求绕过认证并接见受保唬唬�；；；；さ亩说恪！！�。。Snyk汇报称，，，，，自2月7日起，，，，，攻击者一向在针对公开露出的青龙面板利用这两个缝隙以部署加密矿工。。。。。该活动最初由青龙用户发现，，，，，他们汇报称存在一个名为.fullgc的恶意暗藏过程，，，，，占用了85%至100%的CPU资源。。。。。攻击持续进行，，，，，在蕴含Nginx和SSL反向代理后的多种配置环境中都确认了习染案例。。。。。而青龙守护者直到3月1日才对此情况作出回应。。。。。建议仍在使用易受攻击版本的用户立即升级到已建复版本，，，，，并查抄服务器中是否存在可疑的.fullgc过程及非授权配置调换。。。。。

https://www.bleepingcomputer.com/news/security/european-police-dismantles-50-million-crypto-investment-fraud-ring/

6. 跨国加密钱币诳骗团伙覆灭，，，，，全球损失超5000万欧元

4月29日，，，，，奥地利和阿尔巴尼亚当局近日捣毁了一个被指控运营大规模加密钱币投资诳骗的犯罪团伙，，，，，该团伙给全球受害者造成的经济损失估计超过5000万欧元（约合5850万美元）。。。。。这次结合行动始于2023年6月，，，，，并得到了欧洲刑警组织和欧洲司法组织的支持，，，，，最终于4月17日扣留了10名嫌疑人，，，，，并对三个呼叫中心和九处个人住所进行了搜查。。。。。行动中，，，，，法律人员缴获了891,735欧元现金、443台电脑、238部手机、6台笔记本电脑以及多种数据存储设备以供取证查抄。。。。。该诳骗团伙选取类似合法企业的模式运营，，，，，雇佣多达450名员工，，，，，分属客户获取、客户维系、财政、IT和人力资源等部门。。。。。受害者通过搜索引擎和社交媒体上的告白被诱骗至虚伪的加密钱币投资平台，，，，，随后被分配给所谓的“客户维系专员”，，，，，这些专员治理受害者的投资账户，，，，，常使用远程接见软件节造受害者设备，，，，，并通过生理施压诱骗受害者追加存款。。。。。然而，，，，，受害者的资金从未真正被投资，，，，，而是被转入一个国际洗钱打算，，，，，最终流入犯罪网络的账户。。。。。在二次诳骗中，，，，，犯罪分子再次联系受害者，，，，，宣称可援手追回损失，，，，，但要求先向加密钱币账户存入500欧元作为入场费，，，，，从而对受害者执行二次诓骗。。。。。

https://www.bleepingcomputer.com/news/security/european-police-dismantles-50-million-crypto-investment-fraud-ring/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研