文章总结： 本文汇总了2026年5月26日的安全动态，重点披露了多个高危漏洞的活跃利用情况。MuddyWater组织正利用Langflow的CVE-2025-34291漏洞进行初始入侵，思科SecureWorkload的CVE-2026-20223漏洞允许未认证攻击者获取最高权限。同时揭示了GhostTree通过NTFS连接点绕过EDR扫描、Linux内核DirtyDecrypt提权漏洞等新型攻击技术。文档强调立即应用补丁、更新内核模块、加强身份验证控制等缓解措施的必要性。 综合评分： 85 文章分类： 漏洞分析,威胁情报,恶意软件,应急响应,解决方案

每日安全动态推送(26/5/26)

原创

admin admin

腾讯玄武实验室

2026年5月26日 17:19 北京

在小说阅读器读本章

去阅读

•  MuddyWater 利用 Langflow 漏洞入侵事件 https://sectoday.tencent.com/event/EDxbYJ4B5M25NX6Pwq3A

美国网络安全和基础设施安全局（CISA）将 Langflow 中的严重源验证漏洞 CVE-2025-34291 列入已知被利用漏洞（KEV）目录，确认该漏洞正遭伊朗高级持续性威胁组织 MuddyWater 活跃利用。该漏洞由过于宽松的跨域资源共享（CORS）配置、缺乏跨站请求伪造（CSRF）保护以及可执行代码端点缺陷共同导致，攻击者可借此窃取刷新令牌、执行任意代码并实现系统完全接管。CISA 警告称，该漏洞已被用于初始入侵攻击，导致凭证泄露，并敦促所有组织立即应用补丁、收紧 CORS 策略并加强身份验证控制以应对迫在眉睫的威胁。

•  Cisco Secure Workload 未认证权限提升漏洞 (CVE-2026-20223) https://sectoday.tencent.com/event/ADGxUJ4B5M25NX6PoNib

思科发布紧急通告修复其 Secure Workload 产品中的严重漏洞 CVE-2026-20223，该漏洞 CVSS 评分高达 10.0。由于内部 REST API 端点存在验证不足的问题，未认证的远程攻击者能够绕过多租户隔离边界，直接获取 Site Admin 最高权限。攻击者可利用此漏洞跨租户读取敏感数据并篡改云基础设施配置。该漏洞影响 SaaS 和本地部署环境，且无临时缓解措施，受影响用户必须立即升级至 3.10.8.3 或 4.0.3.17 等修复版本。目前该漏洞尚未发现野外利用案例。

•  无硬件环境下利用 Windows 内核驱动：基于 Device Objects 的 BYOVD 视角 https://thehackernews.com/2026/05/making-vulnerable-drivers-exploitable.html

本文揭示了在缺乏专用硬件的情况下，如何通过深入分析Windows即插即用（PnP）架构与设备对象生命周期，绕过硬件限制以触发内核驱动漏洞。这项研究为评估BYOVD攻击中驱动漏洞的实际可达性提供了关键方法论，填补了现有硬件门控漏洞利用研究的空白。

•  基于恶意 Polyglot PDF 利用 GTK 系阅读器命令注入漏洞的研究 https://noise.getoto.net/2026/05/22/vulnerabilities-in-various-gtk-based-pdf-readers/

本文揭示了攻击者利用恶意多态PDF文件（同时为有效PDF和ELF二进制文件）结合命令注入漏洞，通过GTK模块加载机制实现任意代码执行的高危攻击链。该研究特别指出GTK 4已移除相关危险标志，为Evince等旧版PDF阅读器的紧急修补提供了关键技术依据。

•  GhostTree：利用 NTFS Junctions 诱导 EDR 挂起并绕过文件扫描 https://cybersecuritynews.com/ghosttree-attack-edr-products/

本文揭示了利用 NTFS 连接点构建递归目录循环的’GhostTree’攻击，其通过指数级路径膨胀使 EDR 扫描器陷入死循环，从而完美隐藏恶意负载。这一发现不仅暴露了现有端点防护在文件系统逻辑层面的致命盲区，更强调了从数据层监控异常连接点创建的紧迫性。

•  PinTheft：Linux RDS 双重释放漏洞本地提权 https://sectoday.tencent.com/event/yZt2RJ4B0VHppVqo8cd7

PinTheft 是一个针对 Linux 内核 RDS 子系统 zerocopy 发送路径中双重释放漏洞的本地提权利用。该漏洞由安全研究员 V12 发现，攻击者利用 io_uring 固定缓冲区窃取页面引用，通过操纵失败的 RDS 操作覆盖 SUID-root 二进制文件的页面缓存条目并植入恶意 ELF 负载，从而获取 root 权限。该漏洞主要影响默认启用 CONFIG_RDS 内核模块的发行版，如 Arch Linux 和 Fedora，而 Ubuntu 和 Debian 等系统通常通过禁用该模块进行缓解。

•  20 年前 PostgreSQL RCE 漏洞 PoC 发布：pgcrypto 扩展堆溢出攻击分析 https://cybersecuritynews.com/20-year-old-postgresql-vulnerability/

本文揭示了针对 PostgreSQL pgcrypto 扩展中一个潜伏近二十年的关键远程代码执行漏洞（CVE-2026-2005）的公开概念验证利用程序，其核心亮点在于详细展示了攻击者如何利用堆缓冲区溢出绕过 ASLR 保护，通过内存泄漏实现特权提升至超级用户并执行任意系统命令。

•  DirtyDecrypt Linux 内核提权漏洞及利用代码发布 https://sectoday.tencent.com/event/eSesQZ4B5M25NX6Pv7fq

安全研究人员 V12 团队披露了名为 DirtyDecrypt（又称 DirtyCBC，CVE-2026-31635）的严重 Linux 内核本地提权漏洞。该漏洞存在于用于 Andrew File System (AFS) 的 RxGK 子系统中，根源在于 rxgk_decrypt_skb 函数缺失写时复制（COW）保护机制，允许攻击者破坏页面缓存并将权限提升至 root。受影响的系统包括启用了 CONFIG_RXGK 配置的 Fedora 和 Arch Linux 等发行版。随着公开概念验证（PoC）利用代码的发布，云环境和开发工作站面临迫在眉睫的 root 权限失陷风险。该漏洞被视为继 CopyFail 之后 2026 年“Dirty”系列内存管理漏洞浪潮的一部分。建议立即更新内核或禁用 esp4、esp6 和 rxrpc 等特定模块以进行缓解。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin admin《每日安全动态推送(26/5/26)》