2026-04-18 06:57:13 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档为2026年4月16日的威胁情报日报，汇总了24小时内4条威胁情报、14条漏洞速递（含4条高风险漏洞）、20个安全工具和23篇安全文章。核心内容包括Jellyfin路径遍历漏洞、ApacheTomcat认证绕过漏洞等关键风险，并推荐了ReconInspector、NezhaSec等开源安全工具。建议安全团队优先修复高危漏洞，并利用聚合平台momosec.cn进行日常跟踪。 综合评分： 85 文章分类： 威胁情报,漏洞预警,安全工具,应急响应,漏洞分析

cover_image

威胁情报日报 2026-04-16

原创

momo安全 momo安全

momo安全

2026年4月16日 11:28 广东

在小说阅读器读本章

去阅读

公众号：momo安全

微信内搜索上方公众号名称即可进入主页并关注。

MOMOSEC DAILY DIGEST

威胁情报日报

过去 24 小时，系统已汇总威胁情报 4 条、漏洞速递 14 条、工具雷达 20 个、安全文章 23 篇，以下按栏目整理输出。其中高风险漏洞速递 4 条。安全文章来源主要集中在安全圈 3、互联网安全内参 2、安全牛 2。当前时间窗口内新增较少，部分栏目已回退到最近收录条目。

更多安全内容可访问：https://www.momosec.cn

momosec.cn 聚合漏洞库、威胁情报、安全文章和常用安全工具，适合日常检索与跟踪。

威胁情报

漏洞速递

工具雷达

安全文章

威胁情报

以下为过去 24 小时汇总到的威胁情报，便于直接跟进来源、产品与攻击方式。

中危 #01

每日安全动态推送(26/4/15)

腾讯玄武实验室 / 2026-04-15 18:18:00

腾讯玄武实验室

Codex 利用 World-Writable Novatek 驱动实现三星智能电视 Root；Strix AI 发现 etcd 严重认证绕过漏洞；特洛伊化的 CPU-Z 与 HWMonit…

查看详情

信息 #02

Apache Tomcat 远程代码执行漏洞，附漏洞自查方案

微步在线研究响应中心 / 2026-04-15 15:55:00

微步在线研究响应中心

立即查看详情 →

查看详情

信息 #03

ISC Stormcast For Wednesday, April 15th, 2026 https://isc.sans.edu/podcastdetail/9892, (Wed, Ap…

SANS Internet Storm Center / 2026-04-15 02:00:02

SANS Internet Storm Center

https://isc.sans.edu/diary/rss/32900

信息 #04

Scanning for AI Models, (Tue, Apr 14th)

SANS Internet Storm Center / 2026-04-15 00:19:53

SANS Internet Storm Center

Starting March 10, 2026, my DShield sensor started getting probe for various AI models such as…

https://isc.sans.edu/diary/rss/32896

漏洞速递

以下为过去 24 小时收录的漏洞速递，已按风险和时间顺序完整展开，适合直接转成修复或排查清单。

高危 #01

keraattin/CVE-2026-35031

GitHub Repos/search / 2026-04-15 20:57:53

Critical 路径遍历 to 远程代码执行 vulnerability in Jellyfin Media Server (CVSS 9.9). Includes proof-of-co…

https://github.com/keraattin/CVE-2026-35031

高危 #02

NULL200OK/cve_2026_34621_advanced

GitHub Repos/search / 2026-04-15 15:30:40

A sophisticated, cross-platform 利用 generator for **CVE-2026-34621** – a critical prototype poll…

https://github.com/NULL200OK/cve_2026_34621_advanced

高危 #03

Astaruf/CVE-2026-40487

GitHub Repos/search / 2026-04-15 12:36:11

CVE-2026-40487 | Postiz <= 2.21.5 | Arbitrary 文件上传 via MIME-Type Spoofing → Stored XSS 跨站脚本 → A…

https://github.com/Astaruf/CVE-2026-40487

高危 #04

zebbernCVE/CVE-2026-40579

GitHub Repos/search / 2026-04-15 11:27:15

Advisory for git-js ⌯⌲ 11 mill weekly downloads | topics: cve-2026-40579, cwe-78, high, zebbern

https://github.com/zebbernCVE/CVE-2026-40579

低危 #05

masterwok/漏洞验证-CVE-2026-33017

GitHub Repos/search / 2026-04-15 05:25:40

Proof-of-concept 利用 for CVE-2026-33017 (Langflow <= 1.8.1). | language: Python

https://github.com/masterwok/PoC-CVE-2026-33017

重点 #06

moisei-dev/go-dbmigrate

GitHub Repos/search / 2026-04-15 19:44:39

Fork of jfrog/go-dbmigrate with pgx/v5 upgrade (CVE-2026-32286) | language: Go

https://github.com/moisei-dev/go-dbmigrate

重点 #07

gigachadusers/cve-2026-20127

GitHub Repos/search / 2026-04-15 16:36:20

语言：C++

https://github.com/gigachadusers/cve-2026-20127

重点 #08

samu-delucas/CVE-2026-39808

GitHub Repos/search / 2026-04-15 14:47:25

漏洞验证 for 未授权远程代码执行 in FortiSandbox via CVE-2026-39808 | topics: cve, cve-2026-39808, cve-漏洞验证,…

https://github.com/samu-delucas/CVE-2026-39808

重点 #09

404-src/CVE-2026-34486

GitHub Repos/search / 2026-04-15 12:43:09

Apache Tomcat EncryptInterceptor Bypass → 未授权远程代码执行 (CVE-2026-34486) | language: Python

https://github.com/404-src/CVE-2026-34486

重点 #10

Lechansky/CVE-2026-39808

GitHub Repos/search / 2026-04-15 11:34:57

Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) (CWE…

https://github.com/Lechansky/CVE-2026-39808

重点 #11

keraattin/CVE-2026-39987

GitHub Repos/search / 2026-04-15 08:12:44

CVE-2026-39987: Marimo Python Notebook Pre-Auth 远程代码执行 (CVSS 9.3). Python & Nmap NSE detection…

https://github.com/keraattin/CVE-2026-39987

重点 #12

AirSkye/CVE-2026-34486-漏洞验证

GitHub Repos/search / 2026-04-15 07:30:15

CVE-2026-34486 Apache Tomcat EncryptInterceptor 绕过漏洞复现（使用GLM5.1复现完成） | language: Shell

https://github.com/AirSkye/CVE-2026-34486-poc

重点 #13

punitdarji/tomcat-cve-2026-34486

GitHub Repos/search / 2026-04-15 06:55:45

CVE labs | language: Python

https://github.com/punitdarji/tomcat-cve-2026-34486

重点 #14

masterwok/漏洞验证-CVE-2026-1357

GitHub Repos/search / 2026-04-15 05:02:11

Proof-of-concept 利用 for 漏洞验证-CVE-2026-1357. WPvivid Backup & Migration plugin for WordPress <=…

https://github.com/masterwok/PoC-CVE-2026-1357

工具雷达

以下工具与当天热点较为贴近，适合用于威胁狩猎、验证复现或安全测试场景。

工具雷达 / GitHub 开源项目 / 2026-04-14 02:30

hzhsec/ReconInspector

适合用于安全研究、日常排查或演练环境验证。

亮点：一个集 FOFA 资产测绘、Nuclei 漏洞扫描、模板调试与常用安全工具于一体的可视化安全巡检平台。 | language: Python | stars: 3 | forks: 1 | updated 2026…

https://github.com/hzhsec/ReconInspector

工具雷达 / GitHub 开源项目 / 2026-04-13 16:02

jk8881mz33/-v7

适合用于安全研究、日常排查或演练环境验证。

亮点：安全工具包 | stars: 0 | forks: 0 | updated 2026-04-13T16:02:15Z | pushed 2026-04-13T16:02:12Z

https://github.com/jk8881mz33/-v7

工具雷达 / GitHub 开源项目 / 2026-04-13 11:24

ctkqiang/NezhaSec

适合用于安全研究、日常排查或演练环境验证。

亮点：哪吒网络安全分析器是一款面向授权渗透测试的红队辅助工具。它通过 DeepSeek 大模型的函数调用能力动态规划攻击路径，并自动执行 nmap、sqlmap、nuclei、ffuf 等常用安全工具。整个过程通过终端…

https://github.com/ctkqiang/NezhaSec

工具雷达 / GitHub 开源项目 / 2026-04-11 15:00

vegetableou/Intelligent-Android-Penetration-System

适合用于安全研究、日常排查或演练环境验证。

亮点：本项目旨在研发一款高度自动化的智能渗透测试系统，其核心目标是实现对安卓设备的无人值守安全评估。与传统的单一漏洞扫描工具不同，本系统是一个集成了情报收集、智能决策与多向量攻击能力的统一调度平台。它能够自动对目标网络进…

https://github.com/vegetableou/Intelligent-Android-Penetration-System

工具雷达 / GitHub 开源项目 / 2026-04-11 07:58

maito-red/maito-war

适合用于安全研究、日常排查或演练环境验证。

https://github.com/maito-red/maito-war

工具雷达 / GitHub 开源项目 / 2026-04-10 16:10

dengxianghua888-ops/ecoalign-forge

适合用于安全研究、日常排查或演练环境验证。

亮点：Multi-Agent DPO Data Synthesis Factory — 多智能体偏好训练数据自动合成框架 | 红队攻击 → 多persona审核 → 终审裁决 → DPO偏好对 | topics: con…

https://github.com/dengxianghua888-ops/ecoalign-forge

工具雷达 / GitHub 开源项目 / 2026-04-10 14:40

taielab/ArmsIndex

适合用于安全研究、日常排查或演练环境验证。

亮点：Red Team Arsenal Manager – 红队武器库管理平台 | stars: 2 | forks: 0 | updated 2026-04-10T14:40:36Z | pushed 2026-04-…

https://github.com/taielab/ArmsIndex

工具雷达 / GitHub 开源项目 / 2026-04-10 10:43

Clearzero22/security-tools

适合用于安全研究、日常排查或演练环境验证。

亮点：🔐 网络安全工具集合 – 端口扫描、HTTP头分析、目录扫描、SQL注入测试工具（教育用途） | topics: bun, cybersecurity, educational, network-security,…

https://github.com/Clearzero22/security-tools

工具雷达 / GitHub 开源项目 / 2026-04-10 09:38

eason204646-droid/dunhu

适合用于安全研究、日常排查或演练环境验证。

https://github.com/eason204646-droid/dunhu

工具雷达 / GitHub 开源项目 / 2026-04-10 06:40

ktol1/RedTeam-Agent

适合用于安全研究、日常排查或演练环境验证。

亮点：RedTeam-MCP: AI-Powered Autonomous Red Team Framework via Model Context Protocol. AI红队与内网渗透自动化框架，支持 gogo, f…

https://github.com/ktol1/RedTeam-Agent

工具雷达 / GitHub 开源项目 / 2026-04-10 06:24

however-yir/howeverpromptfoo

适合用于AI 安全测试和越狱对抗。

亮点：HoweverPromptfoo：面向企业场景的 LLM 评测与红队测试框架 | language: TypeScript | stars: 1 | forks: 0 | updated 2026-04-13T10…

https://github.com/however-yir/howeverpromptfoo

工具雷达 / GitHub 开源项目 / 2026-04-09 18:34

SultanSah/-Taixu-Framework-Autonomous-Agent-Capital-AAC-2.0

适合用于安全研究、日常排查或演练环境验证。

亮点：把东方修仙神话的宏大叙事，硬核地转化为可落地、可扩展的现代 AGI（通用人工智能）工程蓝图。构建一个以“硅基修仙”为底层逻辑的完全自治型 AI 资本实体架构。通过引入“洗髓”（上下文动态修剪）、“藏经”（高维向量…

https://github.com/SultanSah/-Taixu-Framework-Autonomous-Agent-Capital-AAC-2.0-

工具雷达 / GitHub 开源项目 / 2026-04-09 18:28

lyu549601-design/my-repo

适合用于安全研究、日常排查或演练环境验证。

https://github.com/lyu549601-design/my-repo

工具雷达 / GitHub 开源项目 / 2026-04-09 10:31

wodefox/KALI-Skill

适合用于安全研究、日常排查或演练环境验证。

https://github.com/wodefox/KALI-Skill

工具雷达 / GitHub 开源项目 / 2026-04-09 06:36

biaomian09/biaomian

适合用于安全研究、日常排查或演练环境验证。

亮点：自写安全工具 | stars: 0 | forks: 0 | updated 2026-04-09T06:36:51Z | pushed 2026-04-09T06:36:45Z

https://github.com/biaomian09/biaomian

工具雷达 / GitHub 开源项目 / 2026-04-09 06:06

skeleton2024/ironclad-decision-engine

适合用于安全研究、日常排查或演练环境验证。

https://github.com/skeleton2024/ironclad-decision-engine

工具雷达 / GitHub 开源项目 / 2026-04-08 23:51

Gailtep/JAVA-dhxdasvrjp-GRA

适合用于安全研究、日常排查或演练环境验证。

亮点：基于SpringBoot+Vue的实验报告系统基于SpringBoot+Vue的java大学生校园线上招聘系统基于SpringBoot+Vue的校外兼职教师考勤管理系统基于SpringBoot+Vue的jav…

https://github.com/Gailtep/JAVA-dhxdasvrjp-GRA

工具雷达 / GitHub 开源项目 / 2026-04-08 15:23

JiatongLin666/CTFLearningNotes

适合用于安全研究、日常排查或演练环境验证。

亮点：作为信息安全专业的学生，我开始尝试学习CTF（信息攻防比赛），尤其是其中的pwn方向。本仓库会存储一些例题、一些脚本，脚本上有我认真撰写的注释作为学习笔记。 | language: Python | stars:…

https://github.com/JiatongLin666/CTFLearningNotes

工具雷达 / GitHub 开源项目 / 2026-04-08 09:02

34312038/JAVA-mufmdpqlde-34312038

适合用于安全研究、日常排查或演练环境验证。

https://github.com/34312038/JAVA-mufmdpqlde-34312038

工具雷达 / GitHub 开源项目 / 2026-04-07 22:02

hjnnjh/awesome-generative-recommendation

适合用于安全研究、日常排查或演练环境验证。

亮点：A curated collection of papers on generative recommendation systems, covering semantic IDs, end-to-end gene…

https://github.com/hjnnjh/awesome-generative-recommendation

安全文章

以下为过去 24 小时聚合到的安全文章，共整理 23 篇，便于继续深挖背景、样本和厂商分析。

绿盟科技CERT / 2026-04-15 19:50

【安全更新】微软4月安全更新多个产品高危漏洞通告

查看详情

安全圈 / 2026-04-15 19:01

【安全圈】假冒 Ledger Live 应用致 950 万美元加密货币被盗，受害者损失惨重

查看详情

安全圈 / 2026-04-15 19:01

【安全圈】微软 SharePoint Server 0Day漏洞遭在野利用

查看详情

安全圈 / 2026-04-15 19:01

【安全圈】Adobe 修复 PDF 阅读器零日漏洞，已被黑客利用至少四个月

查看详情

互联网安全内参 / 2026-04-15 18:28

OpenAI也搞“Mythos”？网络安全版GPT-5.4-Cyber对外亮相

查看详情

互联网安全内参 / 2026-04-15 18:28

实测：Anthropic新模型可执行复杂渗透测试，自主攻陷基础防护系统

查看详情

云鼎实验室 / 2026-04-15 17:24

Apache Tomcat RCE 漏洞来袭，腾讯云安全已支持防护

查看详情

绿盟科技研究通讯 / 2026-04-15 16:34

OpenClaw安全实战系列三：利用网关劫持实现 OpenClaw控制端1-Click RCE (CVE-2026-25253)

查看详情

慢雾科技 / 2026-04-15 16:24

慢雾 Hacking Time 邀您共探 AI × Web3 安全与合规新边界

查看详情

腾讯安全应急响应中心 / 2026-04-15 12:16

AI安全，由攻入防｜腾讯广告AI专项众测正式启动

查看详情

安全牛 / 2026-04-15 12:07

4・15 全民国家安全教育日–筑牢网络安全防线，护航数字中国新征程；OpenSSL 4.0.0版本发布：移除弃用协议，新增后量子支持| 牛览

查看详情

安全牛 / 2026-04-15 12:07

Claude Mythos Preview：AI网络安全能力的分水岭时刻

查看详情

永安在线情报平台 / 2026-04-15 11:29

威胁猎人黑话词典2.0｜打击欺诈行为，快速了解黑灰产黑话（数据泄露篇）

查看详情

securitainment / 2026-04-15 10:25

red-run 2.0: Agent Teams — Claude Code 智能体协作仪表盘

查看详情

securitainment / 2026-04-15 10:25

滥用 Windows Toast 通知实现用户操纵

查看详情

奇安信技术研究院 / 2026-04-15 10:05

【天穹】浮出水面：隐匿于DoH之下的C2通信

查看详情

奇安信CERT / 2026-04-15 10:04

微软4月补丁日多个产品安全漏洞风险通告：1个在野利用、8个紧急漏洞

查看详情

奇安信CERT / 2026-04-15 10:04

【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2026-34486)安全风险通告

查看详情

赛博昆仑CERT / 2026-04-15 09:43

【补丁日速递】2026年4月微软补丁日安全风险通告

查看详情

公众号-安全分析与研究 / 2026-04-15 08:34

Shellcode技术——代码注入的核心

查看详情

安全威胁情报 / 2026-04-15 08:30

清理完所有木马后，内网却失陷了

查看详情

✅Cn*d️高提交到个人账户上，CNNVD中高漏洞及一般、重要情报支撑单位均可协助获得 ✅CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等全网最低价。ISO27001、ITss服务项目经理报名等下证即可，可对公，可开专普票 ✅需要私聊联系~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：momo安全 momo安全 momo安全《威胁情报日报 2026-04-16》