当前位置: 首页 > news >正文

赛克艾威早报20260630:Oracle EBS与Apache HTTP Server曝高危漏洞,多款产品遭在野利用

说明:文中行业资讯由AI聚合公开网络信息整理编撰,内容仅作安全技术参考,相关漏洞处置与防护方案请结合自身业务环境验证落地。

前言

一、Oracle E-Business Suite 远程接管漏洞(CVE-2026-46817)

简介:Oracle E-Business Suite Payments产品文件传输组件存在严重漏洞,CVSS评分9.8。未经认证的远程攻击者可通过HTTP利用该漏洞完全接管Oracle Payments,影响版本覆盖12.2.3至12.2.15。攻击活动已于2026年6月27日至28日周末在蜜罐中被捕获,是首次确认的在野利用。攻击者通过向/OA_HTML/ibytransmit端点发送特制XML payload,利用路径遍历读取/etc/passwd等敏感系统文件。

修复建议:立即安装Oracle于2026年5月28日发布的Critical Security Patch Update(CSPU),以及6月16日发布的补充更新。阻断或限制对Oracle EBS接口(特别是/OA_HTML/路径)的公网访问。审计Web日志中是否存在对/OA_HTML/ibytransmit的POST请求,在防火墙中封堵攻击者IP45.84.137.125并拦截User-Agentibytransmit-lab-poc/1.0

信息来源:https://healsecurity.com/hackers-exploiting-critical-oracle-e-business-suite-vulnerability-actively-in-attacks/

二、Apache HTTP Server 多个高危漏洞(CVE-2026-23918 / CVE-2026-29167 / CVE-2026-44631)

简介:研究人员发现Apache HTTP Server存在3个高風險安全漏洞,类型包含内存双重释放(Double Free)、释放后使用(Use After Free)及缓冲区溢出(Buffer Overflow)。最严重情况下,已通过身份鉴别的远程攻击者可执行任意代码。影响Apache HTTP Server 2.4.0至2.4.67版本。

修复建议:官方已针对漏洞释出修复更新,请参考Apache官方安全页面进行更新。升级至Apache HTTP Server 2.4.68或更高版本。

信息来源:https://httpd.apache.org/security/vulnerabilities_24.html

三、PTC Windchill 远程代码执行漏洞(CVE-2026-12569)

简介:PTC Windchill PDMlink与FlexPLM存在重大远程代码执行漏洞,CVSS评分9.3。该漏洞属于输入验证不当,攻击者可通过发送恶意请求执行任意代码。CISA已将其纳入已知被利用漏洞(KEV)目录,PTC于6月25日确认攻击者正利用该漏洞对受影响系统部署JSP Web Shell。攻击者C2服务器IP为5.180.41.35,Web Shell文件命名模式为/Windchill/login/[0-9a-f]{16}.jsp

修复建议:立即于边界防火墙封堵IP5.180.41.35。审计HTTP访问日志中是否存在对/Windchill/login/*.jsp的POST请求。扫描文件系统查找符合16位十六进制命名规则的JSP文件。在WAF/IDS中增加规则阻断包含X-windchill-req标头的请求。尽可能降低Windchill登录端点的公网暴露。

信息来源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=13042

四、Cisco Unified CM 服务器端请求伪造漏洞(CVE-2026-20230)

简介:Cisco Unified Communications Manager存在服务器端请求伪造(SSRF)漏洞,CVSS评分8.6。由于对特定HTTP请求的输入验证不当,未经认证的远程攻击者可发送特制HTTP请求向操作系统写入文件,进而提权至root。该漏洞仅在WebDialer服务启用时才可被利用(默认禁用)。Cisco于6月3日发布补丁时表示未发现恶意利用,但Defused Cyber于6月确认在野积极利用。

修复建议:升级至Cisco Unified CM和Unified CM SME的14SU6或15SU5版本。若无法立即打补丁,应通过Unified Serviceability > Tools > Service Activation > CTI Services中取消勾选WebDialer Web Service禁用该服务。

信息来源:https://securityaffairs.com/194153/uncategorized/cisco-unified-cm-flaw-cve-2026-20230-actively-exploited-in-the-wild.html

五、Microsoft Exchange Server 零日漏洞(CVE-2026-42897)

简介:微软6月Patch Tuesday共修补200个安全漏洞,包含6个零日漏洞。其中Exchange Server漏洞CVE-2026-42897是唯一确认已在野外被主动利用的漏洞,属于Spoofing类型。攻击者仅需发送一封精心构造的恶意邮件,当收件者以Outlook Web Access(OWA)打开邮件并触发特定互动条件后,即可在受害者浏览器中执行任意JavaScript代码。微软尚未完成完整修补程序开发,现阶段通过Exchange紧急缓解服务(EEMS)推送临时措施。

修复建议:立即确认EEMS服务处于启用状态(默认为启用)。使用Exchange Health Checker脚本验证缓解状态。持续关注微软后续释出的完整安全性更新并及时部署。

信息来源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=13036

http://www.jsqmd.com/news/1104038/

相关文章:

  • rat与生态系统集成:如何将高性能文件查看器融入你的开发工作流
  • 当灯光“躲”进陪伴机器人:智能照明的隐藏式进化与异业合作新浪潮
  • Windows 11系统优化神器:Win11Debloat让你的电脑性能提升51%的秘密
  • 从零到一:在STM32上跑通TinyML的完整实践指南
  • 2026年AI建站平台哪个好?企业官网、SEO和GEO能力对比
  • ABAP :新语法 - REF
  • 编写自动化脚本时使用多线程技术
  • LangChain4j Guardrails:给你的 AI Service 装上输入输出双层卡口
  • Windows10上安装MySQL操作步骤
  • 纯小白零基础漏洞挖掘完整教程,从理论到实操一步到位,看完即可上手提交漏洞拿赏金
  • 论文格式改 3 遍还不合格?笔墨 AI 一键匹配院校模板,不用手动调半天
  • 多场景学术写作一站式解决方案,paperxie 智能论文写作功能拆解实测
  • 使用JMeter进行gRPC微服务性能测试的完整指南
  • 优化数据库查询性能的五个实用技巧
  • 哔哩下载姬完整指南:告别网络焦虑,轻松掌控B站视频资源
  • 简单聊一下JAX
  • 3个关键突破:如何用dnSpyEx解决.NET逆向工程的核心痛点?
  • 工业4-20mA电流环设计:DAC161S997与PIC32实战解析
  • 工业清洁机器人智能化应用与厂区使用优势
  • Mac远程控制Windows电脑的两种方法
  • 论文选题总是太宽泛?笔墨 AI 前置引导锚定研究边界,从源头避免跑偏
  • 示波器基础:从探头补偿到SPI总线解码实战——触发、解码、测量
  • HarmonyOS7 缓存不是越多越好:图片、数据、视图多层缓存策略这样定
  • 核聚热爱,竞力向上!爱攻AGON亮相2026核聚变游戏嘉年华
  • HarmonyOS7 插件化怎么做才真能热插拔?动态加载架构拆开讲
  • 松江厂房出租企业哪家专业
  • CCF-GESP计算机学会等级考试2026年6月二级C++T2 菱形
  • bug 记录 - 字符加粗导致宽度变化抖动问题
  • CRMEB Pro 订单二开避坑:为什么商品页和下单页的价格会不一致?
  • VSCode JSON 样式