文章总结： 文档汇总了近期高危漏洞情报，涵盖GNUInetUtilstelnetd认证绕过、SmarterMail密码重置缺陷、eslint-config-prettier供应链投毒及CiscoUnifiedCM远程代码执行等。漏洞均可能导致系统完全接管或数据泄露，且多有POC公开。建议管理员尽快排查受影响环境并应用安全补丁以规避风险。 综合评分： 70 文章分类： 威胁情报,漏洞预警,漏洞分析,网络安全,漏洞POC

高危漏洞威胁情报合集 (2026-01-22~2026-01-23）

0xSecDebug 0xSecDebug

0xSecDebug

2026年1月24日 12:46 陕西

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

GNU InetUtils telnetd 远程认证绕过漏洞(QVD-2026-4408)

• CVE编号: 暂无
• 危害定级: 严重
• 漏洞标签: 影响万级 奇安信CERT验证 技术细节公开 关键漏洞
• 披露日期: 2026-01-20
• 推送原因: 漏洞创建
• 信息来源: https://ti.qianxin.com/vulnerability/detail/439421

漏洞描述

该漏洞存在于 telnetd 服务端 1.9.3–2.7 版本中。telnetd 在调用系统 /usr/bin/login 程序时，未对从客户端 USER 环境变量传入的用户名做过滤，直接拼接到 login 命令行。远程攻击者可利用该缺陷，在无需任何口令的情况下直接获取目标主机的 root shell，造成完全控制权泄露、敏感信息被窃取或进一步横向移动。由于 telnet 协议本身明文传输，且该漏洞可在默认配置触发，危害程度极高。

SmarterMail 身份认证绕过漏洞(QVD-2026-4572)

• CVE编号: 暂无
• 危害定级: 严重
• 漏洞标签: 在野利用 技术细节公开 奇安信CERT验证 影响万级 POC公开 关键漏洞
• 披露日期: 2026-01-22
• 推送原因: 标签更新: [在野利用 技术细节公开 奇安信CERT验证 影响万级 关键漏洞] => [在野利用 技术细节公开 奇安信CERT验证 影响万级 POC公开 关键漏洞]
• 信息来源: https://ti.qianxin.com/vulnerability/detail/439585

漏洞描述

SmarterMail 是一款由 SmarterTools 公司开发的企业级邮件服务器软件，适用于 Windows 平台。它提供完整的电子邮件、日历、联系人、任务管理和即时消息功能，支持标准协议如 SMTP、POP3、IMAP 以及 CalDAV 和 CardDAV，便于与各类邮件客户端（如 Outlook、Thunderbird、移动设备等）集成。 该漏洞源于系统管理员（IsSysAdmin=true）的密码重置路径未验证 OldPassword 字段的有效性，仅依赖用户输入的 Username 和 NewPassword 即可直接修改系统管理员账户密码。远程攻击者可通过构造特定请求，任意重置已知用户名的系统管理员账户密码，进而执行任意操作系统命令，最终实现远程代码执行。

eslint-config-prettier代码执行漏洞(CVE-2025-54313)

• CVE编号: CVE-2025-54313
• 危害定级: 高危
• 漏洞标签: 在野利用 影响百万级 POC公开 关键漏洞 CISA KEV EXP公开
• 披露日期: 2025-07-19
• 推送原因: 漏洞创建
• 信息来源: https://ti.qianxin.com/vulnerability/detail/413069

漏洞描述

eslint-config-prettier 8.10.1, 9.1.1, 10.1.6, and 10.1.7 包含用于供应链攻击的恶意代码。安装受影响的包会执行 install.js 文件，在 Windows 上启动 node-gyp.dll 恶意软件。

开源检索

暂未找到

Cisco Unified Communications Manager 远程代码执行漏洞(CVE-2026-20045)

• CVE编号: CVE-2026-20045
• 危害定级: 高危
• 漏洞标签: 在野利用 CISA KEV POC公开 关键漏洞
• 披露日期: 2026-01-21
• 推送原因: 标签更新: [在野利用 CISA KEV 关键漏洞] => [在野利用 CISA KEV POC公开 关键漏洞]
• 信息来源: https://ti.qianxin.com/vulnerability/detail/439449

漏洞描述

Cisco Unified Communications Manager、Cisco Unified Communications Manager Session Management Edition、Cisco Unified Communications Manager IM & Presence Service、Cisco Unity Connection 和 Cisco Webex Calling Dedicated Instance 是 Cisco 提供的一系列统一通信管理产品，广泛应用于企业通信解决方案中。这个漏洞是由于在处理 HTTP 请求时未能正确验证用户输入，导致攻击者可以通过发送特制的 HTTP 请求序列来利用该漏洞，进而获得对底层操作系统的用户级访问权限，并可能提升至 root 权限。

开源检索

暂未找到

🔴 绿盟漏洞情报（2026-01-23）

📊 共 2 条漏洞 | 来源：www.nsfocus.net

📌 格式：漏洞标题 | 详情链接

1. WordPress plugin Code Snippets代码注入漏洞（CVE-2025-1303… | 🔗

   详情：https://www.nsfocus.net/vulndb/133481

2. WordPress plugin Email Template Customizer for Woo… | 🔗

详情：https://www.nsfocus.net/vulndb/133480

💻 威胁情报推送群

  如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

 如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用：

    覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SOC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecDebug 0xSecDebug 0xSecDebug《高危漏洞威胁情报合集 (2026-01-22~2026-01-23）》