文章总结： 本文汇总2026年4月25日CISAKEV目录新增高危漏洞动态，重点包括MarimoPre-AuthRCE（CVE-2026-39987）、MicrosoftDefender权限提升（CVE-2026-33825）及SimpleHelp多漏洞（CVE-2024-57726/57728）。漏洞均已被野外利用，CVSS评分最高达9.3，需在5月7-8日前完成修复。建议立即升级版本、限制网络暴露并启用EDR监控。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,应急响应,威胁情报,安全运营

今日（2026年04月25日）热点网络安全漏洞动态

奇安信 CERT

2026年4月25日 14:27 江苏

在小说阅读器读本章

去阅读

日期：2026-04-25　　威胁等级：Critical来源：CISA KEV · Microsoft MSRC

一、概要

今日（2026年4月25日）热度最高的漏洞均来自CISA KEV目录近期新增条目。4月22-24日，CISA 将多个已被证实活跃利用的高危漏洞纳入强制修复清单，其中Marimo Pre-Auth RCE（CVE-2026-39987）披露后仅10小时即被野用，Microsoft Defender BlueHammer（CVE-2026-33825）补丁发布前已公开 PoC，SimpleHelp 两个漏洞（CVE-2024-57726/57728）也同步进入 KEV。所有漏洞均要求在指定截止日期前完成修复。

二、高危漏洞详情

CVE-2026-39987：Marimo Pre-Auth RCE（最新KEV）

CVSS 9.3 CriticalPre-Auth RCE4月23日新进KEV

受影响产品：Marimo（开源反应式Python笔记本框架，用于数据科学/ML/内部分析），所有0.23.0 之前版本（含 <= 0.20.4）。

影响：未认证远程代码执行（Pre-Auth RCE）。攻击者只需连接 WebSocket 端点 /terminal/ws（无需任何认证令牌），即可获得完整交互式 PTY shell，并以服务器权限（默认 Docker 环境中为 root）执行任意系统命令。

热度原因：漏洞于4月8-9日披露后仅10小时即被在野利用，攻击者快速部署 NKAbuse 变种恶意软件、凭证窃取及区块链僵尸网络；4月23日被 CISA 加入 KEV（Due Date: 2026-05-07）；Marimo 在数据/ML 社区流行（GitHub 近2万星），大量实例暴露于互联网，攻击门槛极低。

修复建议：立即升级至 0.23.0+（pip install --upgrade "marimo>=0.23.0"）；生产环境禁用终端功能或强制所有 WebSocket 端点启用认证；避免将未打补丁的 Marimo 实例直接暴露于公网。

CVE-2026-33825：Microsoft Defender 权限提升（BlueHammer）

CVSS 7.8 High本地权限提升PoC已公开

受影响产品：Microsoft Defender（Windows 系统，包括客户端和服务器版本）。

影响：本地权限提升（Local Privilege Escalation）。低权限用户可利用 Defender 威胁修复引擎中的访问控制粒度不足（TOCTOU 竞态条件），将权限提升至 SYSTEM 级别，实现凭证转储等后续攻击。

热度原因：补丁发布前研究者已公开 PoC（名为 BlueHammer），导致零日利用；CISA 于4月22日加入 KEV（Due Date: 2026-05-06/07）；与 SharePoint 零日一同成为4月 Patch Tuesday 焦点。

修复建议：立即应用 2026年4月 Patch Tuesday 更新，重点安装 Defender Antimalware Platform 版本 4.18.26050.3011 或更高；启用自动更新；企业环境通过 Microsoft Update Catalog 或 WSUS 批量部署。

CVE-2024-57726 & CVE-2024-57728：SimpleHelp 多漏洞

高危4月24日新进KEV

受影响产品：SimpleHelp（远程支持/帮助台软件）5.5.7 及更早版本。

影响：

• CVE-2024-57726（缺少授权）：

  低权限技术员可创建高权限 API Key，实现权限提升至服务器管理员。

• CVE-2024-57728（路径遍历 Zip Slip）：

  管理员可通过特制 ZIP 文件任意位置上传文件，进而实现任意代码执行。

热度原因：4月24日 CISA 批量加入 KEV（Due Date: 2026-05-08），证据显示已被野外利用；SimpleHelp 作为远程支持工具常暴露于互联网，是勒索软件/初始访问的常见目标。

修复建议：立即升级至最新版本（官方已发布补丁）；参考官方 KB：https://simple-help.com/kb—security-vulnerabilities-01-2025；临时缓解：限制 API 权限，最小化暴露端口。

同批次其他KEV新增

D-Link DIR-823X 命令注入（CVE-2025-29635）：授权远程命令执行（产品可能已 EOL）。

Samsung MagicINFO 路径遍历（CVE-2024-7399）：任意文件写入。

三、总体修复提醒

• 优先级：

  Marimo（CVSS 9.3）和 SimpleHelp 为今日最高优先，24小时内完成修复；机构须在 KEV 截止日期前完成（Marimo Due: 2026-05-07，SimpleHelp Due: 2026-05-08）。

• CISA KEV 合规：

  使用 Nessus、Qualys 等工具批量检测资产；机构须在规定期限内完成 BOD 22-01。

• 通用防护：

  启用 EDR/XDR、限制不必要互联网暴露、监控 WebSocket/远程支持工具异常流量；Marimo 用户特别关注 /terminal/ws 端点连接日志。

• 持续关注：

  建议定期查看 CISA KEV 和 NVD 最新页面获取实时更新。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《今日（2026年04月25日）热点网络安全漏洞动态》