文章总结： 腾讯玄武实验室2026年4月17日安全动态推送揭示了多个高危漏洞与威胁，包括MicrosoftDefender未修复零日漏洞利用云端文件逻辑缺陷实现SYSTEM权限提权、Nginx-UIMCP认证绕过漏洞遭活跃利用导致服务器完全失陷、OWASPCRS空白字符绕过漏洞可导致RCE攻击。文档还分析了rsync的UAF漏洞、Vim命令注入漏洞及智能体LLM浏览器的新攻击面，提供了具体的修复建议与应急响应指导。 综合评分： 87 文章分类： 漏洞分析,威胁情报,应急响应,安全工具,WEB安全

每日安全动态推送(26/4/17)

原创

admin admin

腾讯玄武实验室

2026年4月17日 17:36 中国香港

在小说阅读器读本章

去阅读

•  RedSun：Microsoft Defender 未修复 0-Day 漏洞利用云端文件逻辑缺陷获取 SYSTEM 权限 https://cybersecuritynews.com/defender-0-day-redsun/

本文揭示了名为“RedSun”的未修复零日漏洞，该漏洞利用微软 Defender 云文件处理机制中的逻辑缺陷，允许普通用户在已打补丁的 Windows 系统上通过重定向写入操作提升至 SYSTEM 权限。其最大亮点在于证明了 Defender 架构中存在深层且独立的逻辑漏洞，即便在最新补丁环境下仍能实现 100% 可靠的提权，对全球企业安全构成紧迫威胁。

•  Nginx-UI MCP 认证绕过漏洞遭活跃利用导致服务器完全失陷 https://sectoday.tencent.com/event/NT8Elp0BVJfJhgnJTTvD

Pluto Security 研究人员发现 Nginx-UI 在集成 Model Context Protocol (MCP) 时存在严重认证绕过漏洞（CVE-2026-33032，CVSS 9.8）。该漏洞源于 /mcp_message 端点完全缺失认证中间件且 IP 白名单默认配置为故障开放模式，致使未认证攻击者能够调用管理工具执行任意命令。目前该漏洞已在野外被活跃利用，攻击者借此实现了对全球超过 2,600 个暴露实例的完全接管，包括修改服务器配置、植入后门、拦截流量及窃取凭证。官方已在 2.3.4 及后续版本中修复此问题，建议受影响用户立即升级或禁用 MCP 功能以阻断攻击。

•  CVE-2026-33691：利用 Whitespace Padding 绕过 OWASP CRS 实现 RCE 攻击 https://seclists.org/oss-sec/2026/q2/154

本文揭示了 OWASP CRS 中利用文件名空白字符填充绕过文件上传检测的严重漏洞（CVE-2026-33691），该漏洞在特定后端环境下可复活旧有的远程代码执行风险。文章不仅提供了详尽的跨平台攻击链分析，还警示了依赖未修补 WAF 及已停止维护插件所带来的致命安全隐患，极具实战参考价值。

•  基于畸形 sed 脚本与不安全 CGI 端点的 Geutebrück 摄像头 Root 命令注入漏洞 https://insinuator.net/2026/04/disclosure-command-injection-in-geutebruck-cameras/

本文精彩地复盘了攻击者如何仅凭一条 sed 报错信息，利用 BusyBox 环境下的 sed 读写命令绕过限制，最终在 Geutebrück 摄像头中实现 Root 权限任意命令执行。该研究深刻揭示了在嵌入式系统中将用户输入直接拼接到 sed 脚本中的致命风险，为 IoT 设备的安全开发提供了极具价值的实战警示。

•  rsync 3.4.1 中的 UAF 漏洞：receive_xattr() 中 qsort 越界导致的堆破坏 https://seclists.org/oss-sec/2026/q2/144

本文深入剖析了 rsync 中一个潜伏近 18 年的严重逻辑缺陷，揭示了因错误使用协议计数值而非实际数组长度调用 qsort，导致跨文件扩展属性（xattr）数据污染并引发释放后使用（UAF）漏洞的完整攻击链。该发现对广泛部署的备份与同步服务构成直接威胁，其详尽的根因分析与修复方案为运维人员提供了关键的紧急响应依据。

•  Vim v9.2.0357 之前标签文件名中反引号扩展导致的命令注入漏洞 https://seclists.org/oss-sec/2026/q2/140

本文深入剖析了Vim编辑器中一个利用标签文件名反引号扩展导致命令注入的严重漏洞，揭示了恶意tags文件如何在用户导航时触发任意代码执行。该文章不仅提供了清晰的攻击链分析和复现步骤，还强调了在开源项目中处理文件元数据时进行严格输入验证的紧迫性。

•  智能体 LLM 浏览器：提示词注入与数据窃取的新攻击面 https://cybersecuritynews.com/agentic-llm-browsers-expose-new-attack-surface/

本文揭示了代理型LLM浏览器为追求自动化而牺牲传统安全隔离机制的致命架构缺陷，指出跨站脚本攻击（XSS）结合间接提示注入可导致攻击者完全接管用户会话并窃取本地文件。Varonis的研究首次证实了此类AI代理将单一网页漏洞升级为整个设备沦陷的严重风险，为当前AI安全防御提供了紧迫的预警。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin admin《每日安全动态推送(26/4/17)》