SecLens 情报中心

【安全通告】Linux Kernel "CIFSwitch" 本地权限提升漏洞风险通告

发布时间 2026-05-29 02:16 (UTC+08:00) 抓取时间 2026-05-29 09:20 (UTC+08:00)

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在本地权限提升漏洞，暂无漏洞编号，代号 "CIFSwitch"。可导致本地无特权攻击者通过伪造 cifs.spnego 密钥描述，触发加载攻击者控制的 NSS 模块，从而获得 root 权限等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux Kernel CIFS 组件（自 2007 年起）与 cifs-utils 6.14 及以上版本的组合中，由于内核中…

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在本地权限提升漏洞，暂无漏洞编号，代号 "CIFSwitch"。可导致本地无特权攻击者通过伪造 cifs.spnego 密钥描述，触发加载攻击者控制的 NSS 模块，从而获得 root 权限等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux Kernel CIFS 组件（自 2007 年起）与 cifs-utils 6.14 及以上版本的组合中，由于内核中的 cifs.spnego 密钥类型定义缺少 vet_description 验证钩子，无法区分密钥描述是来自内核 CIFS 模块还是来自不可信的用户态进程。攻击者可通过 request_key() 系统调用直接提交伪造的密钥描述（其中包含攻击者控制的 pid 和 upcall_target=app 字段），触发 /sbin/request-key 调用以 root 权限启动 cifs.upcall 辅助程序。该辅助程序在解析攻击者控制的 pid 后，会切换到攻击者指定的命名空间，随后在调用 getpwuid() 进行账户查找时，通过 NSS (Name Service Switch) 机制加载攻击者预先放置在挂载命名空间中的恶意 libnss_*.so.2 共享库，最终在 root 辅助进程上下文中执行任意代码，实现本地权限提升。目前该漏洞的漏洞细节、POC已公开。风险等级高风险漏洞风险本地攻击者利用该漏洞可在未授权的情况下获得系统 root 权限，导致系统完全失陷、数据泄露及任意代码执行等危害。影响版本 commit < 3da1fdf4efbc490041eb4f836bf596201203f8f2 目前已知受影响的系统： Linux Mint 21.3/22.3 Cinnamon CentOS Stream 9 GNOME Rocky Linux 9 Workstation Kali Linux 2021.4/2022.4/2023.4/2024.4/2025.4/2026.1 headless AlmaLinux 9.7 Workstation/Azure cloud image SLES 15 SP7/SAP 15 SP7 SLES SAP 16 安全版本 commit >= 3da1fdf4efbc490041eb4f836bf596201203f8f2 目前已知不受影响的系统： Amazon Linux 2 KVM Kali Linux 2019.4/2020.4 默认策略阻断的系统未安装 cifs-utils 的系统排查方法 1. 检查 SELinux/AppArmor 状态 # SELinux 状态（RHEL/CentOS/Fedora/Rocky/Alma） getenforce # Enforcing → 默认阻断；Permissive/Disabled → 可能受影响 # AppArmor 状态（Ubuntu/Debian/SUSE） sudo aa-status # 或检查用户命名空间限制 sysctl kernel.apparmor_restrict_unprivileged_userns # 返回 1 → 默认阻断；返回 0 → 可能受影响 2. 检查 cifs-utils 是否安装及版本 # RHEL/CentOS/Fedora/Rocky/Alma rpm -qa | grep cifs-utils # Ubuntu/Debian/Pop!_OS dpkg -l | grep cifs-utils # 查看版本号 cifs.upcall --version # 判断标准 cifs-utils 版本 < 6.14，不受影响（版本过旧，无命名空间切换功能） cifs-utils 版本 >= 6.14，可能受影响（需结合其他条件） cifs-utils 未安装，不受影响修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本 https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2 2. 缓解措施： (1) 如业务不需要，卸载 cifs-utils 软件包：sudo apt remove cifs-utils 或 sudo yum remove cifs-utils； (2) 如不需要 Kerberos 认证的 CIFS 挂载，删除或覆盖默认的 cifs.spnego request-key 规则：echo 'create cifs.spnego * * /usr/sbin/keyctl negate %k 30 %S' | sudo tee /etc/request-key.d/cifs.spnego.conf； (3) 禁止非特权用户创建用户命名空间：sudo sysctl -w kernel.unprivileged_userns_clone=0（部分发行版）或 sudo sysctl -w user.max_user_namespaces=0； (4) 如不需要 CIFS 功能，禁止加载 CIFS 内核模块：echo 'install cifs /bin/false' | sudo tee /etc/modprobe.d/disable-cifs.conf； (5) 应用 Linux 内核补丁（添加 vet_description 验证），并更新至包含修复的发行版内核版本。【备注】：建议您在升级前做好数据备份工作，避免出现意外漏洞参考 https://heyitsas.im/posts/cifswitch/ https://github.com/manizada/CIFSwitch/ 2026-05-29

扩展字段

{
  "add_time": "2026-05-28T18:37:31+00:00",
  "announce_type": "console",
  "begin_time": "2026-05-28T18:16:41+00:00",
  "content_html": "<span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\">尊敬的腾讯云用户，您好！</span><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">腾讯云安全中心监测到，<span style=\"color: rgb(255, 0, 0); font-weight: bold;\">Linux Kernel 被披露其存在本地权限提升漏洞，暂无漏洞编号，代号 \"CIFSwitch\"。可导致本地无特权攻击者通过伪造 cifs.spnego 密钥描述，触发加载攻击者控制的 NSS 模块，从而获得 root 权限等危害。</span></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞详情</span></div><div>Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。</div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">据描述，在 Linux Kernel CIFS 组件（自 2007 年起）与 cifs-utils 6.14 及以上版本的组合中，由于内核中的 cifs.spnego 密钥类型定义缺少 vet_description 验证钩子，无法区分密钥描述是来自内核 CIFS 模块还是来自不可信的用户态进程。攻击者可通过 request_key() 系统调用直接提交伪造的密钥描述（其中包含攻击者控制的 pid 和 upcall_target=app 字段），触发 /sbin/request-key 调用以 root 权限启动 cifs.upcall 辅助程序。该辅助程序在解析攻击者控制的 pid 后，会切换到攻击者指定的命名空间，随后在调用 getpwuid() 进行账户查找时，通过 NSS (Name Service Switch) 机制加载攻击者预先放置在挂载命名空间中的恶意 libnss_*.so.2 共享库，最终在 root 辅助进程上下文中执行任意代码，实现本地权限提升。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">目前该漏洞的漏洞细节、POC已公开。<br></span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">风险等级</span></div><div><span style=\"font-size: 14px; font-weight: bold; color: rgb(255, 0, 0);\">高风险</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞风险</span></div><div><span style=\"font-size: 14px;\">本地攻击者利用该漏洞可在未授权的情况下获得系统 root 权限，导致系统完全失陷、数据泄露及任意代码执行等危害。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">影响版本</span></div><div>commit < 3da1fdf4efbc490041eb4f836bf596201203f8f2</div><div><br></div><div>目前已知受影响的系统：</div><div>Linux Mint 21.3/22.3 Cinnamon</div><div>CentOS Stream 9 GNOME</div><div>Rocky Linux 9 Workstation</div><div>Kali Linux 2021.4/2022.4/2023.4/2024.4/2025.4/2026.1 headless</div><div>AlmaLinux 9.7 Workstation/Azure cloud image</div><div>SLES 15 SP7/SAP 15 SP7</div><div>SLES SAP 16<br></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">安全版本</span></div><div><span style=\"font-size: 14px;\">commit >= 3da1fdf4efbc490041eb4f836bf596201203f8f2<br></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">目前已知不受影响的系统：</span></div><div><span style=\"font-size: 14px;\">Amazon Linux 2 KVM</span></div><div><span style=\"font-size: 14px;\">Kali Linux 2019.4/2020.4</span></div><div><span style=\"font-size: 14px;\">默认策略阻断的系统</span></div><div><span style=\"font-size: 14px;\">未安装 cifs-utils 的系统<br></span></div><div><br></div><div><div><span style=\"font-size: 14px; font-weight: bold;\">排查方法</span></div></div><div><span style=\"font-size: 14px;\">1. 检查 SELinux/AppArmor 状态</span></div><div><span style=\"font-size: 14px;\"># SELinux 状态（RHEL/CentOS/Fedora/Rocky/Alma）</span></div><div><span style=\"font-size: 14px;\">getenforce</span></div><div><span style=\"font-size: 14px;\"># Enforcing → 默认阻断；Permissive/Disabled → 可能受影响</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\"># AppArmor 状态（Ubuntu/Debian/SUSE）</span></div><div><span style=\"font-size: 14px;\">sudo aa-status</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\"># 或检查用户命名空间限制</span></div><div><span style=\"font-size: 14px;\">sysctl kernel.apparmor_restrict_unprivileged_userns</span></div><div><span style=\"font-size: 14px;\"># 返回 1 → 默认阻断；返回 0 → 可能受影响</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">2. 检查 cifs-utils 是否安装及版本</span></div><div><span style=\"font-size: 14px;\"># RHEL/CentOS/Fedora/Rocky/Alma</span></div><div><span style=\"font-size: 14px;\">rpm -qa | grep cifs-utils</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\"># Ubuntu/Debian/Pop!_OS</span></div><div><span style=\"font-size: 14px;\">dpkg -l | grep cifs-utils</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\"># 查看版本号</span></div><div><span style=\"font-size: 14px;\">cifs.upcall --version</span></div><div><span style=\"font-size: 14px;\"># 判断标准</span></div><div><span style=\"font-size: 14px;\">cifs-utils 版本 < 6.14，不受影响（版本过旧，无命名空间切换功能）</span></div><div><span style=\"font-size: 14px;\">cifs-utils 版本 >= 6.14，可能受影响（需结合其他条件）</span></div><div><span style=\"font-size: 14px;\">cifs-utils 未安装，不受影响<br></span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">修复建议</span></div><div>1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本\nhttps://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2</div><div>2. 缓解措施：</div><div>(1) 如业务不需要，卸载 cifs-utils 软件包：sudo apt remove cifs-utils 或 sudo yum remove cifs-utils；</div><div>(2) 如不需要 Kerberos 认证的 CIFS 挂载，删除或覆盖默认的 cifs.spnego request-key 规则：echo 'create cifs.spnego * * /usr/sbin/keyctl negate %k 30 %S' | sudo tee /etc/request-key.d/cifs.spnego.conf；</div><div>(3) 禁止非特权用户创建用户命名空间：sudo sysctl -w kernel.unprivileged_userns_clone=0（部分发行版）或 sudo sysctl -w user.max_user_namespaces=0；</div><div>(4) 如不需要 CIFS 功能，禁止加载 CIFS 内核模块：echo 'install cifs /bin/false' | sudo tee /etc/modprobe.d/disable-cifs.conf；</div><div>(5) 应用 Linux 内核补丁（添加 vet_description 验证），并更新至包含修复的发行版内核版本。</div><div><br></div><div><span style=\"font-size: 14px;\">【备注】：建议您在升级前做好数据备份工作，避免出现意外</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞参考</span></div><div><a href=\"https://heyitsas.im/posts/cifswitch/\" title=\"https://heyitsas.im/posts/cifswitch/\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">https://heyitsas.im/posts/cifswitch/</a><br></div><div><a href=\"https://github.com/manizada/CIFSwitch/\" title=\"https://github.com/manizada/CIFSwitch/\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">https://github.com/manizada/CIFSwitch/</a><br></div><div><br></div></span><p align=\"right\" style=\"margin-bottom:0px;\"><a href=\"https://cloud.tencent.com\" title=\"点击进入腾讯云官网首页\"><span style=\"font-size: 14px;\"></span><img src=\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\" alt=\"img\" height=\"40\"></a></p><p align=\"right\" style=\"margin-top:0px;line-height:10px;\"><span id=\"date\" style=\"font-family: 微软雅黑; font-size: 14px;\">2026-05-29</span></p>",
  "end_time": "2026-06-28T18:16:41+00:00",
  "is_important": false
}

腾讯云安全公告 type:console cloud_security official_bulletin

【数据传输服务】【2026年05月27日】部分接口鉴权升级公告

发布时间 2026-05-26 14:26 (UTC+08:00) 抓取时间 2026-05-26 17:20 (UTC+08:00)

[{"type":"p","children":[{"text":"尊敬的腾讯云用户，您好！ "}]},{"type":"p","children":[{"text":" 感谢您长期以来对腾讯云的关注和支持！为了给您提供更完善的鉴权功能，从2026年05月27日（周三）至2026年06月10日（周三），数据传输服务（DTS）会新增部分接口鉴权。如果您的子账号仍需访问对应接口，可参考 "},{"type":"ref","props":{"type":"link","url":"https://cloud.tencent.com/document/product/598/37739"},"linkTitle":"https://cloud.tencent.com/document/product/598/37739…

扩展字段

{
  "add_time": "2026-05-22T10:06:35+00:00",
  "announce_type": "console",
  "begin_time": "2026-05-26T06:26:15+00:00",
  "content_html": "[{\"type\":\"p\",\"children\":[{\"text\":\"尊敬的腾讯云用户，您好！ \"}]},{\"type\":\"p\",\"children\":[{\"text\":\"       感谢您长期以来对腾讯云的关注和支持！为了给您提供更完善的鉴权功能，从2026年05月27日（周三）至2026年06月10日（周三），数据传输服务（DTS）会新增部分接口鉴权。如果您的子账号仍需访问对应接口，可参考 \"},{\"type\":\"ref\",\"props\":{\"type\":\"link\",\"url\":\"https://cloud.tencent.com/document/product/598/37739\"},\"linkTitle\":\"https://cloud.tencent.com/document/product/598/37739\",\"children\":[{\"text\":\"通过策略生成器创建自定义策略\"}]},{\"text\":\" 方式为您的子账号授权，否则接口新增鉴权后您的子账号将无法访问该接口。如果您的子账号不需要访问对应接口则可忽略。 感谢您对腾讯云的信赖与支持，若在使用云产品过程中有任何问题，可寻求 \"},{\"type\":\"ref\",\"props\":{\"type\":\"link\",\"url\":\"https://cloud.tencent.com/online-service?from=intro_dts&Is=sdk-floatbar\"},\"linkTitle\":\"https://cloud.tencent.com/online-service?from=intro_dts&Is=sdk-floatbar\",\"children\":[{\"text\":\"在线咨询\"}]},{\"text\":\"。  \"}]},{\"type\":\"h2\",\"children\":[{\"text\":\"新增鉴权的接口列表\"}],\"nodeId\":\"a86b135e-c3f6-4286-b986-ebad6fa39313\"},{\"type\":\"table\",\"children\":[{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"接口名称\",\"b\":1}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"接口功能\",\"b\":1}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"升级时间\",\"b\":1}]}]}]},{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"CreateConnectTestJob\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"检测源或者目标连接性\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"2026-05-27 至 2026-06-10\"}]}],\"rowSpan\":7,\"colSpan\":1}]},{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"DescribeConnectTestResult\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"查询连通性检查任务结果\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"}]}],\"rowSpan\":0,\"colSpan\":0}]},{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"},{\"type\":\"ref\",\"props\":{\"type\":\"link\",\"url\":\"https://cloud.tencent.com/document/product/571/92847\"},\"children\":[{\"text\":\"ModifySyncJobConfig\"}]},{\"text\":\"\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"修改同步任务配置\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"}]}],\"rowSpan\":0,\"colSpan\":0}]},{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"},{\"type\":\"ref\",\"props\":{\"type\":\"link\",\"url\":\"https://cloud.tencent.com/document/product/571/83865\"},\"children\":[{\"text\":\"SkipSyncCheckItem\"}]},{\"text\":\"\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"跳过同步校验检查项\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"}]}],\"rowSpan\":0,\"colSpan\":0}]},{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"},{\"type\":\"ref\",\"props\":{\"type\":\"link\",\"url\":\"https://cloud.tencent.com/document/product/571/92849\"},\"children\":[{\"text\":\"CreateModifyCheckSyncJob\"}]},{\"text\":\"\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"创建修改同步配置的校验任务\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"}]}],\"rowSpan\":0,\"colSpan\":0}]},{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"},{\"type\":\"ref\",\"props\":{\"type\":\"link\",\"url\":\"https://cloud.tencent.com/document/product/571/92848\"},\"children\":[{\"text\":\"DescribeModifyCheckSyncJobResult\"}]},{\"text\":\"\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"查询修改对象的校验任务的结果\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"}]}],\"rowSpan\":0,\"colSpan\":0}]},{\"type\":\"row\",\"children\":[{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"},{\"type\":\"ref\",\"props\":{\"type\":\"link\",\"url\":\"https://cloud.tencent.com/document/product/571/92846\"},\"children\":[{\"text\":\"StartModifySyncJob\"}]},{\"text\":\"\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"开始修改配置流程\"}]}]},{\"type\":\"cell\",\"children\":[{\"type\":\"p\",\"children\":[{\"text\":\"\"}]}],\"rowSpan\":0,\"colSpan\":0}]}],\"widthMode\":\"percentage\",\"widths\":[38,34.33,27.67],\"rowHeader\":true},{\"type\":\"html-block\",\"content\":\"<div style=\\\"text-align:right\\\"><div style=\\\"margin-bottom:0px;text-align:right;font-size:0;line-height:0\\\"><a href=\\\"https://cloud.tencent.com\\\" style=\\\"display:inline-block\\\"><img src=\\\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\\\" style=\\\"height:40px;display:block\\\" /></a></div><div style=\\\"text-align:right;margin-top:0px;line-height:24px\\\"><span style=\\\"font-family:微软雅黑;font-size:14px\\\">2026-05-26</span></div></div>\",\"children\":[{\"text\":\"\"}]},{\"type\":\"p\",\"children\":[{\"text\":\"\"}]}]",
  "end_time": "2026-06-26T06:26:15+00:00",
  "is_important": false
}

腾讯云安全公告 type:console cloud_security official_bulletin

【安全通告】关于网页篡改安全风险问题的加固指引

发布时间 2026-05-20 14:52 (UTC+08:00) 抓取时间 2026-05-20 17:20 (UTC+08:00)

尊敬的腾讯云客户，您好：一、背景介绍网页篡改是网络安全攻击中较为广泛的一种攻击手段，此类攻击多利用未修复漏洞、配置缺陷直接侵入业务系统，篡改网页内容并植入恶意代码，在被攻击中后，可能导致企业业务中断、数据泄漏、合规等风险，为避免您的业务遭受损失，我们建议您及时开展安全加固。二、安全加固建议 1）漏洞治理优先：阻断攻击入口漏洞类型修复方案腾讯云工具 SQL注入参数化查询 + 输入过滤 Web应用防火墙（WAF）文件上传限制扩展名+内容校验 + 存储隔离 Web应用防火墙（WAF）框架漏洞升级高危框架等组件主机安全本地漏洞扫描/漏洞扫描/暴露面管理 XSS跨站漏洞启用CSP策略 + 输出编码 Web应用防火墙（WAF） 2）权限最小化控制 1. Web目录权限：禁止执行权…

尊敬的腾讯云客户，您好：一、背景介绍网页篡改是网络安全攻击中较为广泛的一种攻击手段，此类攻击多利用未修复漏洞、配置缺陷直接侵入业务系统，篡改网页内容并植入恶意代码，在被攻击中后，可能导致企业业务中断、数据泄漏、合规等风险，为避免您的业务遭受损失，我们建议您及时开展安全加固。二、安全加固建议 1）漏洞治理优先：阻断攻击入口漏洞类型修复方案腾讯云工具 SQL注入参数化查询 + 输入过滤 Web应用防火墙（WAF）文件上传限制扩展名+内容校验 + 存储隔离 Web应用防火墙（WAF）框架漏洞升级高危框架等组件主机安全本地漏洞扫描/漏洞扫描/暴露面管理 XSS跨站漏洞启用CSP策略 + 输出编码 Web应用防火墙（WAF） 2）权限最小化控制 1. Web目录权限：禁止执行权限（如 chmod 644 /wwwroot，其中/wwwroot为用户Web目录，实际需根据情况调整） 2. 进程账户隔离： Web服务账户独立且禁止 Shell 权限 3. 数据库账户：禁用 root 连接，按应用分配只读/只写账户 4. 关键配置文件：设置 400 权限 3）实时防御纵深防御 ① 主机层加固启用主机安全防篡改模块（核心文件保护）：登录主机安全控制台，在左侧导航中，选择高级防御＞核心文件监控，进入核心文件监控页面，详细配置可参考配置指引。 ② 网络层防护云防火墙：限制Web服务器仅开放 80/443 端口启用 WAF 防篡改模块（网页缓存保护）：防篡改功能用于保护网站核心静态页面，通过缓存页面和锁定访问请求，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则，详细配置可参考配置指引； ③ 数据安全兜底数据库开启透明加密(TDE) 核心数据，详细配置可参考配置指引；配置异地备份（COS版本控制+跨区域复制），其中： a）COS“跨地域复制”功能是针对存储桶的一项配置，通过配置跨地域复制规则，可以在不同存储区域的存储桶中自动、异步地复制增量对象。启用跨地域复制后，COS将精确复制源存储桶中的对象内容（如对象元数据、版本 ID 等）到目标存储桶中，复制的对象副本拥有完全一致的属性信息，详细配置可参考配置指引； b）腾讯云数据库提供跨地域备份功能，支持将备份文件存放到另一个地域存储，帮助用户提升监管与容灾恢复能力，同时提升数据的可靠性，详细配置可参考配置指引。三、应急排查及监测若您已发现网站被篡改，可采取如下应急步骤： 1. 通过云防火墙封锁可疑攻击源IP； 2. 如果非重要业务，可立即隔离受影响服务器，避免影响范围扩大； 3. 通过主机安全、WAF访问日志定位等排查可能的攻击原因； 4. 登陆被篡改的主机，针对入侵原因开展针对性安全加固。 2026-05-20

扩展字段

{
  "add_time": "2026-05-20T06:54:03+00:00",
  "announce_type": "console",
  "begin_time": "2026-05-20T06:52:54+00:00",
  "content_html": "<span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\">尊敬的腾讯云客户，您好： </span>\n\n\n<div><span style=\"font-size: 14px;\"><br>\n\n\n</span></div>\n\n\n\n\n\n<div><span style=\"font-weight: bold; font-size: 18px;\"> 一、背景介绍 </span></div>\n\n\n\n\n\n<div><span style=\"font-size: 14px;\">网页篡改是网络安全攻击中较为广泛的一种攻击手段，此类攻击多利用未修复漏洞、配置缺陷直接侵入业务系统，篡改网页内容并植入恶意代码，在被攻击中后，可能导致企业业务中断、数据泄漏、合规等风险，为避免您的业务遭受损失，我们建议您及时开展安全加固。</span></div>\n\n\n\n\n\n<div><br></div>\n\n\n\n\n\n<div><span style=\"font-size: 14px;\"><br>\n\n\n</span></div>\n\n\n\n\n\n<div>\n\n\n<div><span style=\"font-size: 14px;\"><span style=\"font-weight: bold; font-size: 18px;\">二、安全加固建议</span></span><div><span style=\"font-weight: bold; font-size: 16px;\">1）漏洞治理优先：阻断攻击入口</span></div>\n\n\n\n\n\n<div><table style=\"font-size: 14px; text-align: left; border-collapse: collapse; width: 100%;\">\n    <colgroup>\n        <col style=\"width: 120px;\">\n        <col style=\"width: 200px;\">\n        <col style=\"width: 280px;\">\n    </colgroup>\n    <tbody><tr style=\"background-color: #f5f7fa; font-weight: bold;\">\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">漏洞类型</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">修复方案</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">腾讯云工具</td>\n    </tr>\n    <tr>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">SQL注入</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">参数化查询 + 输入过滤</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">Web应用防火墙（WAF）</td>\n    </tr>\n    <tr>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">文件上传</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">限制扩展名+内容校验 + 存储隔离</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">Web应用防火墙（WAF）<br></td>\n    </tr>\n    <tr>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">框架漏洞</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">升级高危框架等组件<br></td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">主机安全本地漏洞扫描/漏洞扫描/暴露面管理</td>\n    </tr>\n    <tr>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">XSS跨站漏洞</td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">启用CSP策略 + 输出编码<br></td>\n        <td style=\"padding: 8px; border: 1px solid #ddd;\">Web应用防火墙（WAF）<br></td>\n    </tr>\n</tbody></table></div><div><br>\n</div>\n\n\n\n\n\n<div><span style=\"font-weight: bold; font-size: 16px;\">2）权限最小化控制</span></div>\n\n\n\n\n\n<div><span style=\"font-size: 14px; font-weight: bold;\">1. Web目录权限：</span><span style=\"font-size: 14px;\">禁止执行权限（如 chmod 644 /wwwroot，其中/wwwroot为用户Web目录，实际需根据情况调整） </span></div><div><span style=\"font-size: 14px; font-weight: bold;\">2. 进程账户隔离：</span><span style=\"font-size: 14px;\">Web服务账户独立且禁止 Shell 权限 </span></div><div><span style=\"font-size: 14px; font-weight: bold;\">3. 数据库账户：</span><span style=\"font-size: 14px;\">禁用 root 连接，按应用分配只读/只写账户 </span></div><div><span style=\"font-size: 14px; font-weight: bold;\">4. 关键配置文件：</span><span style=\"font-size: 14px;\">设置 400 权限<br>\n\n\n</span></div>\n\n\n\n\n\n<div><br>\n\n\n</div><div><div><span style=\"font-weight: bold; font-size: 16px;\">3）实时防御纵深防御</span></div>\n\n\n\n\n\n<div><span style=\"font-size: 14px; font-weight: bold;\">① 主机层加固</span></div><div><span style=\"font-size: 14px;\">\n\n启用 主机安全防篡改模块（核心文件保护） ：</span><span style=\"font-size: 14px;\">登录 </span><span style=\"font-size: 14px;\">主机安全控制台</span><span style=\"font-size: 14px;\">，在左侧导航中，选择</span><span style=\"font-size: 14px;\">高级防御</span><span style=\"font-size: 14px;\"> ＞ 核心文件监控</span><span style=\"font-size: 14px;\">，进入核心文件监控</span><span style=\"font-size: 14px;\">页面，</span><span style=\"font-size: 14px;\">详细配置可参考 </span><a href=\"https://cloud.tencent.com/document/product/296/65110\" title=\"https://cloud.tencent.com/document/product/296/65110\" style=\"font-size: 14px; color: rgb(0, 164, 255); text-decoration-line: none; word-break: break-all; overflow-wrap: normal;\">配置指引</a>。</div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\"> ② 网络层防护\n\n</span></div><div><span style=\"font-size: 14px;\">云防火墙：限制Web服务器仅开放 80/443 端口</span></div><div><span style=\"font-size: 14px;\">启用 WAF 防篡改模块（网页缓存保护）：防篡改功能用于保护网站核心静态页面，通过缓存页面和锁定访问请求，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则，详细配置可参考 <a href=\"https://cloud.tencent.com/document/product/627/64338\" title=\"https://cloud.tencent.com/document/product/627/64338\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">配置指引</a>；</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">③ 数据安全兜底</span></div><div><span style=\"font-size: 14px;\">数据库开启 透明加密(TDE)\n核心数据，详细配置可参考 <a href=\"https://cloud.tencent.com/document/product/236/41101\" title=\"https://cloud.tencent.com/document/product/236/41101\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">配置指引</a>；</span></div><div><span style=\"font-size: 14px;\">配置异地备份（COS版本控制+跨区域复制），其中：</span></div><div><span style=\"font-size: 14px;\">a）COS“跨地域复制”功能是针对存储桶的一项配置，通过配置跨地域复制规则，可以在不同存储区域的存储桶中自动、异步地复制增量对象。\n\n启用跨地域复制后，COS将精确复制源存储桶中的对象内容（如对象元数据、版本 ID 等）到目标存储桶中，复制的对象副本拥有完全一致的属性信息，详细配置可参考 <a href=\"https://cloud.tencent.com/document/product/436/39189\" title=\"https://cloud.tencent.com/document/product/436/39189\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">配置指引</a>；</span></div><div><span style=\"font-size: 14px;\">b）腾讯云数据库提供跨地域备份功能，支持将备份文件存放到另一个地域存储，帮助用户提升监管与容灾恢复能力，同时提升数据的可靠性，详细配置可参考 </span><a href=\"https://cloud.tencent.com/document/product/236/73100\" title=\"https://cloud.tencent.com/document/product/236/73100\" style=\"color: rgb(0, 164, 255); text-decoration-line: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">配置指引</a>。</div><br></div><div><br></div><span style=\"font-size: 14px;\"><span style=\"font-size: 16px;\">\n\n\n\n\n\n<div><span style=\"font-size: 18px; font-weight: bold;\">三、应急排查及监测</span></div></span></span>\n\n\n\n\n\n<div><span style=\"font-size: 14px;\">若您已发现网站被篡改，可采取如下应急步骤：</span></div><div><span style=\"font-size: 14px;\">1. 通过云防火墙封锁可疑攻击源IP；</span></div><div><span style=\"font-size: 14px;\">2. 如果非重要业务，可立即隔离受影响服务器，避免影响范围扩大；</span></div><div><span style=\"font-size: 14px;\">3. 通过主机安全、WAF访问日志定位等排查可能的攻击原因；</span></div><div><span style=\"font-size: 14px;\">4. 登陆被篡改的主机，针对入侵原因开展针对性安全加固。</span></div></div></div></span><br><br><br><p align=\"right\" style=\"margin-bottom:0px;\"><a href=\"https://cloud.tencent.com\" title=\"点击进入腾讯云官网首页\"><span style=\"font-size: 14px;\"></span><img src=\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\" alt=\"img\" height=\"40\"></a></p><p align=\"right\" style=\"margin-top:0px;line-height:10px;\"><span id=\"date\" style=\"font-family: 微软雅黑; font-size: 14px;\">2026-05-20</span></p>",
  "end_time": "2026-07-31T06:52:54+00:00",
  "is_important": true
}

腾讯云安全公告 important type:console cloud_security official_bulletin

【安全通告】Linux Kernel 越权任意文件读取漏洞风险通告

发布时间 2026-05-15 16:43 (UTC+08:00) 抓取时间 2026-05-15 17:20 (UTC+08:00)

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在越权任意文件读取漏洞，暂无漏洞编号。可导致本地低权限攻击者通过 pidfd_getfd() 系统调用，在目标进程退出且内存映射被释放但文件描述符仍存活的短暂时间窗口内，窃取原本无权访问的已打开文件句柄，从而读取 /etc/shadow、SSH 主机私钥等敏感文件等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux 内核 2026 年 5 月 14 日修复版…

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在越权任意文件读取漏洞，暂无漏洞编号。可导致本地低权限攻击者通过 pidfd_getfd() 系统调用，在目标进程退出且内存映射被释放但文件描述符仍存活的短暂时间窗口内，窃取原本无权访问的已打开文件句柄，从而读取 /etc/shadow、SSH 主机私钥等敏感文件等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux 内核 2026 年 5 月 14 日修复版本之前的代码中，由于 __ptrace_may_access() 函数在目标进程的 task->mm == NULL（即内存映射已被释放）时会跳过 dumpable 权限检查，而 do_exit() 进程退出过程中先执行 exit_mm() 释放内存映射，后执行 exit_files() 关闭文件描述符。攻击者利用 pidfd_getfd() 系统调用，可在目标进程内存已释放但文件描述符仍存活的极短时间窗口内，通过匹配调用者 uid 与目标进程 uid 的条件，成功窃取目标进程中已打开但本无权访问的敏感文件句柄（如 ssh-keysign 程序打开的 SSH 主机私钥、chage 程序打开的 /etc/shadow 等），进而读取文件内容。目前该漏洞的漏洞细节、POC已公开。风险等级高风险漏洞风险本地攻击者利用该漏洞可在无需提升权限的情况下，读取系统上受保护的敏感文件（如 SSH 主机私钥、/etc/shadow 密码哈希等），可能导致凭证泄露、横向移动或离线密码破解等危害。影响版本 Linux Kernel < commit 31e62c2ebbfd 安全版本 Linux Kernel >= commit 31e62c2ebbfd 修复建议官方已发布漏洞补丁，请评估业务是否受影响后，及时更新补丁 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a 【备注】：建议您在升级前做好数据备份工作，避免出现意外漏洞参考 https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn https://www.openwall.com/lists/oss-security/2026/05/15/2 2026-05-15

扩展字段

{
  "add_time": "2026-05-15T08:48:49+00:00",
  "announce_type": "console",
  "begin_time": "2026-05-15T08:43:07+00:00",
  "content_html": "<span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\">尊敬的腾讯云用户，您好！</span><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">腾讯云安全中心监测到，<span style=\"color: rgb(255, 0, 0); font-weight: bold;\">Linux Kernel 被披露其存在越权任意文件读取漏洞，暂无漏洞编号。可导致本地低权限攻击者通过 pidfd_getfd() 系统调用，在目标进程退出且内存映射被释放但文件描述符仍存活的短暂时间窗口内，窃取原本无权访问的已打开文件句柄，从而读取 /etc/shadow、SSH 主机私钥等敏感文件等危害。</span></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞详情</span></div><div>Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。</div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">据描述，在 Linux 内核 2026 年 5 月 14 日修复版本之前的代码中，由于 __ptrace_may_access() 函数在目标进程的 task->mm == NULL（即内存映射已被释放）时会跳过 dumpable 权限检查，而 do_exit() 进程退出过程中先执行 exit_mm() 释放内存映射，后执行 exit_files() 关闭文件描述符。攻击者利用 pidfd_getfd() 系统调用，可在目标进程内存已释放但文件描述符仍存活的极短时间窗口内，通过匹配调用者 uid 与目标进程 uid 的条件，成功窃取目标进程中已打开但本无权访问的敏感文件句柄（如 ssh-keysign 程序打开的 SSH 主机私钥、chage 程序打开的 /etc/shadow 等），进而读取文件内容。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">目前该漏洞的漏洞细节、POC已公开。<br></span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">风险等级</span></div><div><span style=\"font-size: 14px; font-weight: bold; color: rgb(255, 0, 0);\">高风险</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞风险</span></div><div><span style=\"font-size: 14px;\">本地攻击者利用该漏洞可在无需提升权限的情况下，读取系统上受保护的敏感文件（如 SSH 主机私钥、/etc/shadow 密码哈希等），可能导致凭证泄露、横向移动或离线密码破解等危害。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">影响版本</span></div><div><span style=\"font-size: 14px;\">Linux Kernel < commit 31e62c2ebbfd</span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">安全版本</span></div><div><span style=\"font-size: 14px;\">Linux Kernel >= commit 31e62c2ebbfd</span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">修复建议</span></div><div>官方已发布漏洞补丁，请评估业务是否受影响后，及时更新补丁</div><div>https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a</div><div><br></div><div><span style=\"font-size: 14px;\">【备注】：建议您在升级前做好数据备份工作，避免出现意外</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞参考</span></div><div><a href=\" https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn\" title=\" https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn</a></div><div><a href=\"https://www.openwall.com/lists/oss-security/2026/05/15/2\" title=\"https://www.openwall.com/lists/oss-security/2026/05/15/2\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">https://www.openwall.com/lists/oss-security/2026/05/15/2</a></div></span><br><br><p align=\"right\" style=\"margin-bottom:0px;\"><a href=\"https://cloud.tencent.com\" title=\"点击进入腾讯云官网首页\"><span style=\"font-size: 14px;\"></span><img src=\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\" alt=\"img\" height=\"40\"></a></p><p align=\"right\" style=\"margin-top:0px;line-height:10px;\"><span id=\"date\" style=\"font-family: 微软雅黑; font-size: 14px;\">2026-05-15</span></p>",
  "end_time": "2026-05-29T08:43:07+00:00",
  "is_important": false
}

腾讯云安全公告 type:console cloud_security official_bulletin

【安全通告】Linux Kernel "Dirty Frag" 本地权限提升漏洞风险通告

发布时间 2026-05-08 09:11 (UTC+08:00) 抓取时间 2026-05-08 13:21 (UTC+08:00)

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在本地权限提升漏洞，暂无漏洞编号，代号 “Dirty Frag”。可导致本地无特权攻击者通过链式利用 xfrm-ESP 和 RxRPC 两个页缓存写入漏洞，无需竞争条件即可在主流 Linux 发行版上获得 root 权限等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux 内核中，由于 xfrm-ESP（esp4/esp6）模块和 RxRPC（rxrpc）模…

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在本地权限提升漏洞，暂无漏洞编号，代号 “Dirty Frag”。可导致本地无特权攻击者通过链式利用 xfrm-ESP 和 RxRPC 两个页缓存写入漏洞，无需竞争条件即可在主流 Linux 发行版上获得 root 权限等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux 内核中，由于 xfrm-ESP（esp4/esp6）模块和 RxRPC（rxrpc）模块各自存在类似 “Copy Fail” 的漏洞，攻击者可通过构造特定的网络数据包触发内核向任意可读文件（如 setuid 二进制文件）的页缓存写入受控的 4 字节数据。其中 xfrm-ESP 漏洞覆盖范围广（自 2017 年起），但在部分发行版（如 Ubuntu）因 AppArmor 策略限制非特权用户命名空间创建而无法触发；RxRPC 漏洞无需命名空间权限，但其内核模块并非所有发行版默认加载（Ubuntu 默认加载）。通过将两个漏洞组合使用，攻击者可在任何主流发行版（包括已应用 Copy Fail 缓解措施 algif_aead 黑名单的系统）上实现本地权限提升。目前该漏洞的漏洞细节、POC已公开。风险等级高风险漏洞风险本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下，通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，直接获得 root 权限等危害。影响版本 Linux Kernel (xfrm-ESP) >= commit cac2661c53f3 Linux Kernel (RxRPC) >= commit 2dc334f1a63a 目前已知受影响操作系统及版本： Ubuntu 24.04.4 Red Hat Enterprise Linux 10 CentOS 10 AlmaLinux 10 Fedora 44 openSUSE Tumbleweed 安全版本官方暂未发布安全补丁排查方法 1. 检查模块是否已加载 lsmod | grep -E 'esp4|esp6|rxrpc' 2. 检查模块是否为内置（决定缓解措施中的 modprobe 黑名单是否有效） grep -E 'CONFIG_INET_ESP|CONFIG_RXRPC' /boot/config-$(uname -r) # =y 为内置，黑名单无效；=m 为模块，黑名单有效 3. 检查 User Namespace 是否允许（影响 ESP 变体） cat /proc/sys/kernel/unprivileged_userns_clone # 1 = 允许（ESP 变体可能可利用）；0 = 阻止修复建议 1. 官方暂未发布漏洞补丁及修复版本，请评估业务是否受影响后，及时关注官方针对该漏洞的修复。 2. 缓解措施： (1) 将 esp4、esp6、rxrpc 三个模块加入 modprobe 黑名单，阻止自动加载，并立即卸载已加载的模块（如果当前未被使用） sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf" sudo rmmod esp4 esp6 rxrpc 2>/dev/null ||true 注：该缓解措施可能会中断 IPsec（VPN）和 RxRPC（AFS 文件系统）。 (2) 通过 sysctl 限制非特权用户创建 User Namespace 来阻断 ESP 变体 sysctl -w user.max_user_namespaces=0 注：该缓解措施会影响容器运行时（Docker、Podman 等依赖 User Namespace 的容器运行时），建议仅在非容器环境中使用。【备注】：建议您在升级前做好数据备份工作，避免出现意外漏洞参考 https://github.com/V4bel/dirtyfrag 2026-05-08

扩展字段

{
  "add_time": "2026-05-08T01:17:55+00:00",
  "announce_type": "console",
  "begin_time": "2026-05-08T01:11:51+00:00",
  "content_html": "<span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\">尊敬的腾讯云用户，您好！</span><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">腾讯云安全中心监测到，<span style=\"color: rgb(255, 0, 0); font-weight: bold;\">Linux Kernel 被披露其存在本地权限提升漏洞，暂无漏洞编号，代号 “Dirty Frag”。可导致本地无特权攻击者通过链式利用 xfrm-ESP 和 RxRPC 两个页缓存写入漏洞，无需竞争条件即可在主流 Linux 发行版上获得 root 权限等危害。</span></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞详情</span></div><div>Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。</div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">据描述，在 Linux 内核中，由于 xfrm-ESP（esp4/esp6）模块和 RxRPC（rxrpc）模块各自存在类似 “Copy Fail” 的漏洞，攻击者可通过构造特定的网络数据包触发内核向任意可读文件（如 setuid 二进制文件）的页缓存写入受控的 4 字节数据。其中 xfrm-ESP 漏洞覆盖范围广（自 2017 年起），但在部分发行版（如 Ubuntu）因 AppArmor 策略限制非特权用户命名空间创建而无法触发；RxRPC 漏洞无需命名空间权限，但其内核模块并非所有发行版默认加载（Ubuntu 默认加载）。通过将两个漏洞组合使用，攻击者可在任何主流发行版（包括已应用 Copy Fail 缓解措施 algif_aead 黑名单的系统）上实现本地权限提升。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">目前该漏洞的漏洞细节、POC已公开。<br></span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">风险等级</span></div><div><span style=\"font-size: 14px; font-weight: bold; color: rgb(255, 0, 0);\">高风险</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞风险</span></div><div><span style=\"font-size: 14px;\">本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下，通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，直接获得 root 权限等危害。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">影响版本</span></div><div><span style=\"font-size: 14px;\">Linux Kernel (xfrm-ESP) >= commit cac2661c53f3</span></div><div><span style=\"font-size: 14px;\">Linux Kernel (RxRPC) >= commit 2dc334f1a63a<br></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">目前已知受影响操作系统及版本：</span></div><div><span style=\"font-size: 14px;\">Ubuntu 24.04.4</span></div><div><span style=\"font-size: 14px;\">Red Hat Enterprise Linux 10</span></div><div><span style=\"font-size: 14px;\">CentOS 10</span></div><div><span style=\"font-size: 14px;\">AlmaLinux 10</span></div><div><span style=\"font-size: 14px;\">Fedora 44</span></div><div><span style=\"font-size: 14px;\">openSUSE Tumbleweed</span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">安全版本</span></div><div><span style=\"font-size: 14px;\">官方暂未发布安全补丁<br></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><div><span style=\"font-size: 14px; font-weight: bold;\">排查方法</span></div><div><span style=\"font-size: 14px;\">1. 检查模块是否已加载</span></div><div><span style=\"font-size: 14px;\">lsmod | grep -E 'esp4|esp6|rxrpc'</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">2. 检查模块是否为内置（决定缓解措施中的 modprobe 黑名单是否有效）</span></div><div><span style=\"font-size: 14px;\">grep -E 'CONFIG_INET_ESP|CONFIG_RXRPC' /boot/config-$(uname -r)</span></div><div><span style=\"font-size: 14px;\"># =y 为内置，黑名单无效；=m 为模块，黑名单有效</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">3. 检查 User Namespace 是否允许（影响 ESP 变体）</span></div><div><span style=\"font-size: 14px;\">cat /proc/sys/kernel/unprivileged_userns_clone</span></div><div><span style=\"font-size: 14px;\"># 1 = 允许（ESP 变体可能可利用）；0 = 阻止</span></div></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">修复建议</span></div><div><span style=\"font-size: 14px;\">1. 官方暂未发布漏洞补丁及修复版本，请评估业务是否受影响后，及时关注官方针对该漏洞的修复。</span></div><div><span style=\"font-size: 14px;\">2. 缓解措施：</span></div><div><span style=\"font-size: 14px;\">(1) 将 esp4、esp6、rxrpc 三个模块加入 modprobe 黑名单，阻止自动加载，并立即卸载已加载的模块（如果当前未被使用）</span></div><div><span style=\"font-size: 14px;\">sudo sh -c \"printf 'install esp4 /bin/false\\ninstall esp6 /bin/false\\ninstall rxrpc /bin/false\\n' > /etc/modprobe.d/dirtyfrag.conf\"</span></div><div><span style=\"font-size: 14px;\">sudo rmmod esp4 esp6 rxrpc 2>/dev/null ||true</span></div><div><span style=\"font-size: 14px;\">注：该缓解措施可能会中断 IPsec（VPN）和 RxRPC（AFS 文件系统）。<br></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div>(2) 通过 sysctl 限制非特权用户创建 User Namespace 来阻断 ESP 变体</div><div>sysctl -w user.max_user_namespaces=0</div><div>注：该缓解措施会影响容器运行时（Docker、Podman 等依赖 User Namespace 的容器运行时），建议仅在非容器环境中使用。</div><div><br></div><div><span style=\"font-size: 14px;\">【备注】：建议您在升级前做好数据备份工作，避免出现意外</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞参考</span></div><div><a href=\"https://github.com/V4bel/dirtyfrag\" title=\"https://github.com/V4bel/dirtyfrag\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">https://github.com/V4bel/dirtyfrag</a></div></span><br><br><p align=\"right\" style=\"margin-bottom:0px;\"><a href=\"https://cloud.tencent.com\" title=\"点击进入腾讯云官网首页\"><span style=\"font-size: 14px;\"></span><img src=\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\" alt=\"img\" height=\"40\"></a></p><p align=\"right\" style=\"margin-top:0px;line-height:10px;\"><span id=\"date\" style=\"font-family: 微软雅黑; font-size: 14px;\">2026-05-08</span></p>",
  "end_time": "2026-06-08T01:11:51+00:00",
  "is_important": false
}

腾讯云安全公告 type:console cloud_security official_bulletin

【安全通告】Linux Kernel 本地权限提升漏洞风险通告（CVE-2026-31431）

发布时间 2026-04-30 07:27 (UTC+08:00) 抓取时间 2026-04-30 09:20 (UTC+08:00)

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在本地权限提升漏洞，漏洞编号CVE-2026-31431，代号 “Copy Fail”。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用，实现向任意可读文件的页缓存中写入受控的4字节数据，进而通过篡改 setuid 二进制文件获得 root 权限等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux 内核的 authencesn…

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Linux Kernel 被披露其存在本地权限提升漏洞，漏洞编号CVE-2026-31431，代号 “Copy Fail”。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用，实现向任意可读文件的页缓存中写入受控的4字节数据，进而通过篡改 setuid 二进制文件获得 root 权限等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情 Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述，在 Linux 内核的 authencesn 加密模板与 algif_aead 模块的组合实现中，由于 AF_ALG 套接字的 AEAD 解密路径在 2017 年引入了一个就地（in-place）操作优化（提交 72548b093ee3），将 splice() 传递过来的目标文件页缓存页面直接链入可写的输出散列表（scatterlist）。而 authencesn 算法在实现 IPsec 扩展序列号（ESN）支持时，为了重排认证数据中的序列号字节，会在解密过程中将接收缓冲区偏移 assoclen + cryptlen 位置作为临时存储空间写入 4 字节数据。当 AF_ALG 通过 recvmsg() 触发解密操作时，该写入会跨越接收缓冲区边界，直接覆盖链在后面的页缓存页面，从而实现对任意已打开的可读文件的页缓存进行受控的 4 字节篡改，最终导致本地低权限攻击者可通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，无需竞争条件或重试即可直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。目前该漏洞的漏洞细节、POC已公开。风险等级高风险漏洞风险本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下，通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。影响版本 72548b093ee3 < = commit < a664bf3d603d 目前已知受影响操作系统及版本： Ubuntu 24.04 LTS Amazon Linux 2023 Red Hat Enterprise Linux 10 Red Hat Enterprise Linux 9 Red Hat Enterprise Linux 8 SUSE 16 安全版本 commit >= a664bf3d603d 修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本 https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5 2. 针对 Ubuntu、Red Hat Enterprise Linux 等用户，官方暂未发布安全更新，请及时关注官方安全公告 https://ubuntu.com/security/CVE-2026-31431 https://access.redhat.com/security/cve/cve-2026-31431 3. 缓解措施：禁用 algif_aead 内核模块： echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf。【备注】：建议您在升级前做好数据备份工作，避免出现意外漏洞参考 https://copy.fail/ https://xint.io/blog/copy-fail-linux-distributions https://github.com/theori-io/copy-fail-CVE-2026-31431/ https://nvd.nist.gov/vuln/detail/CVE-2026-31431 2026-04-30

扩展字段

{
  "add_time": "2026-04-29T23:36:45+00:00",
  "announce_type": "console",
  "begin_time": "2026-04-29T23:27:10+00:00",
  "content_html": "<span style=\"font-size: 14px;\">尊敬的腾讯云用户，您好！</span><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">腾讯云安全中心监测到，<span style=\"color: rgb(255, 0, 0); font-weight: bold;\">Linux Kernel 被披露其存在本地权限提升漏洞，漏洞编号CVE-2026-31431，代号 “Copy Fail”。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用，实现向任意可读文件的页缓存中写入受控的4字节数据，进而通过篡改 setuid 二进制文件获得 root 权限等危害。</span></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞详情</span></div><div><span style=\"font-size: 14px;\">Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">据描述，在 Linux 内核的 authencesn 加密模板与 algif_aead 模块的组合实现中，由于 AF_ALG 套接字的 AEAD 解密路径在 2017 年引入了一个就地（in-place）操作优化（提交 72548b093ee3），将 splice() 传递过来的目标文件页缓存页面直接链入可写的输出散列表（scatterlist）。而 authencesn 算法在实现 IPsec 扩展序列号（ESN）支持时，为了重排认证数据中的序列号字节，会在解密过程中将接收缓冲区偏移 assoclen + cryptlen 位置作为临时存储空间写入 4 字节数据。当 AF_ALG 通过 recvmsg() 触发解密操作时，该写入会跨越接收缓冲区边界，直接覆盖链在后面的页缓存页面，从而实现对任意已打开的可读文件的页缓存进行受控的 4 字节篡改，最终导致本地低权限攻击者可通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，无需竞争条件或重试即可直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">目前该漏洞的漏洞细节、POC已公开。<br></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">风险等级</span></div><div><span style=\"font-size: 14px; font-weight: bold; color: rgb(255, 0, 0);\">高风险</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞风险</span></div><div><span style=\"font-size: 14px;\">本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下，通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">影响版本</span></div><div><span style=\"font-size: 14px;\">72548b093ee3 <= commit < a664bf3d603d</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">目前已知受影响操作系统及版本：</span></div><div><span style=\"font-size: 14px;\">Ubuntu 24.04 LTS</span></div><div><span style=\"font-size: 14px;\">Amazon Linux 2023</span></div><div><span style=\"font-size: 14px;\">Red Hat Enterprise Linux 10</span></div><div><span style=\"font-size: 14px;\">Red Hat Enterprise Linux 9</span></div><div><span style=\"font-size: 14px;\">Red Hat Enterprise Linux 8</span></div><div><span style=\"font-size: 14px;\">SUSE 16</span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">安全版本</span></div><div><span style=\"font-size: 14px;\">commit >= a664bf3d603d</span></div><div><br></div><div><span style=\"font-size: 14px; font-weight: bold;\">修复建议</span></div><div><span style=\"font-size: 14px;\">1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本</span></div><div><span style=\"font-size: 14px;\">https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5</span></div><div><span style=\"font-size: 14px;\">2. 针对 Ubuntu、Red Hat Enterprise Linux 等用户，官方暂未发布安全更新，请及时关注官方安全公告</span></div><div><span style=\"font-size: 14px;\">https://ubuntu.com/security/CVE-2026-31431<br></span></div><div><span style=\"font-size: 14px;\">https://access.redhat.com/security/cve/cve-2026-31431<br></span></div><div><span style=\"font-size: 14px;\">3. 缓解措施：</span></div><div><span style=\"font-size: 14px;\">禁用 algif_aead 内核模块：</span></div><div><span style=\"font-size: 14px;\">echo \"install algif_aead /bin/false\" > /etc/modprobe.d/disable-algif-aead.conf。<br></span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px;\">【备注】：建议您在升级前做好数据备份工作，避免出现意外</span></div><div><span style=\"font-size: 14px;\"><br></span></div><div><span style=\"font-size: 14px; font-weight: bold;\">漏洞参考</span></div><div><div><a href=\"https://copy.fail/\" title=\"https://copy.fail/\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\"><span style=\"\">https://copy.fail/</span></a></div></div><div><div><a href=\"https://xint.io/blog/copy-fail-linux-distributions\" title=\"https://xint.io/blog/copy-fail-linux-distributions\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\"><span style=\"\">https://xint.io/blog/copy-fail-linux-distributions</span></a></div></div><div><a href=\"https://github.com/theori-io/copy-fail-CVE-2026-31431/\" title=\"https://github.com/theori-io/copy-fail-CVE-2026-31431/\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\"><span style=\"\">https://github.com/theori-io/copy-fail-CVE-2026-31431/</span></a></div><div><a href=\"https://nvd.nist.gov/vuln/detail/CVE-2026-31431\" title=\"https://nvd.nist.gov/vuln/detail/CVE-2026-31431\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\"><span style=\"\">https://nvd.nist.gov/vuln/detail/CVE-2026-31431</span></a><br><br><p align=\"right\" style=\"margin-bottom:0px;\"><a href=\"https://cloud.tencent.com\" title=\"点击进入腾讯云官网首页\"><span style=\"font-size: 14px;\"></span><img src=\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\" alt=\"img\" height=\"40\"></a></p><p align=\"right\" style=\"margin-top:0px;line-height:10px;\"><span id=\"date\" style=\"font-family: 微软雅黑; font-size: 14px;\">2026-04-30</span></p></div>",
  "end_time": "2026-05-29T23:27:10+00:00",
  "is_important": false
}

腾讯云安全公告 type:console cloud_security official_bulletin

【安全通告】Xinference 供应链投毒风险通告

发布时间 2026-04-23 08:04 (UTC+08:00) 抓取时间 2026-04-23 09:20 (UTC+08:00)

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Xinference 被披露其存在供应链投毒风险。可导致攻击者在用户安装或导入受影响版本的包时，窃取云凭证、API 密钥、SSH 密钥、加密钱包、数据库凭据及环境变量等高度敏感信息，并发送至远程命令与控制（C2）服务器。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。风险详情 Xorbits Inference（Xinference）是一个 AI 模型部署工具，让用户可以用最简单的方式运行和管理各种 AI 模型，适用于研究、开发和实际应用。据描述，在 PyPI 仓库的 Xinference 包 2.6.0、2.6.1 及 2.6.2 版本中，由于攻击者通过入侵合法贡献者的账户（或利用自动化…

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Xinference 被披露其存在供应链投毒风险。可导致攻击者在用户安装或导入受影响版本的包时，窃取云凭证、API 密钥、SSH 密钥、加密钱包、数据库凭据及环境变量等高度敏感信息，并发送至远程命令与控制（C2）服务器。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。风险详情 Xorbits Inference（Xinference）是一个 AI 模型部署工具，让用户可以用最简单的方式运行和管理各种 AI 模型，适用于研究、开发和实际应用。据描述，在 PyPI 仓库的 Xinference 包 2.6.0、2.6.1 及 2.6.2 版本中，由于攻击者通过入侵合法贡献者的账户（或利用自动化机器人），在项目的 __init__.py 初始化文件中植入了经过多层混淆（Base64编码）的恶意载荷。当开发者安装受影响的包或在代码中执行 import xinference 时，该恶意代码会自动解码并在内存中执行。该恶意软件会遍历系统以收集 AWS/GCP 云服务凭证、Kubernetes 令牌、SSH 密钥、多种加密货币钱包文件、SQL/Redis/MongoDB 等数据库连接字符串、Shell 历史记录及系统环境变量，随后将这些窃取的数据打包并回传至预先设定的 C2 服务器域名 whereisitat[.]lucyatemysuperbox[.]space。风险等级高风险影响版本 Xinference = 2.6.0 Xinference = 2.6.1 Xinference = 2.6.2 安全版本 Xinference < = 2.5.0 排查方法 1. 检查受影响的软件版本 pip show xinference | grep Version 判断标准：如果输出的版本号是 2.6.0 或 2.6.1 或 2.6.2，则表示您已安装了恶意软件包，系统应被视为已被入侵。 2. 检查网络指示器命令与控制 (C2) 服务器：https://whereisitat[.]lucyatemysuperbox[.]space/ 3. 敏感信息泄露排查检查云凭证文件：查看云凭证文件的修改时间和内容是否异常。检查 SSH 密钥：查看 ~/.ssh/id_rsa 和 ~/.ssh/authorized_keys 是否有未授权的修改。检查 Shell 历史：执行 history 或查看 ~/.bash_history、~/.zsh_history，排查是否有异常的 curl、wget、base64 编码命令。检查环境变量：执行 env，确认敏感变量（AWS_SECRET_KEY、DB_PASSWORD）是否被打印或记录。 4. 云环境专项排查 K8s 审计：检查 kube-system 命名空间下的 Secret 是否被异常挂载或读取。 CI/CD 日志：审查 GitHub Actions、GitLab CI、Jenkins 的构建日志，确认是否在构建过程中意外泄露了凭证。修复建议 1. 立即隔离与清除卸载恶意版本：立即执行 pip uninstall xinference，确保删除 2.6.0-2.6.2 版本。降级至安全版本：若需继续使用，执行 pip install xinference==2.5.0 降级至已知安全版本。扫描残留后门：检查项目目录及 site-packages 下是否存在可疑的加密后门文件或异常缓存 (__pycache__)。 2. 核心凭证与密钥轮换云服务凭证：立即轮换 AWS、GCP、腾讯云、阿里云等所有环境的访问密钥和 Secret Key。仓库与API密钥：轮换 GitHub、GitLab、Slack、Discord、Docker Hub 等平台的 Token 或 Webhook。数据库密码：修改所有被读取的 SQL、Redis、MongoDB、LDAP 服务密码。加密货币钱包：立即转移受影响服务器上的所有热钱包资产。 SSH密钥：删除受信列表中的旧公钥，重新生成新的 SSH 密钥对并替换。 3. 全面安全审计审计 IAM 角色：检查云环境（AWS IAM、GCP Service Account）是否新增了可疑角色或权限变更。审计操作日志：排查 CloudTrail、Cloud Audit Logs 是否存在异常 API 调用（特别是 GetSecretValue、iam:CreateAccessKey 等）。检查计划任务/Cron：查看系统是否存在攻击者添加的持久化定时任务。 4. 内部排查与响应阻断 C2 通信：在防火墙或 EDR 层面封禁域名 whereisitat[.]lucyatemysuperbox[.]space 及其解析 IP。排查横向移动：检查受感染主机是否有异常的内网扫描或 SSH 连接记录。【备注】：建议您在升级前做好数据备份工作，避免出现意外参考链接 https://www.ox.security/blog/xinference-allegedly-hacked-by-teampcp-malicious-package-in-pypi/ 2026-04-23

扩展字段

{
  "add_time": "2026-04-23T00:20:11+00:00",
  "announce_type": "console",
  "begin_time": "2026-04-23T00:04:18+00:00",
  "content_html": "<span style=\"font-size: 14px;\"><span style=\"font-family: 微软雅黑; font-size: 14px; caret-color: rgb(0, 0, 0);\">尊敬的腾讯云用户，您好！</span><span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"color: rgb(255, 0, 0); font-weight: bold;\"><br></span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"color: rgb(255, 0, 0); font-weight: bold;\"><span style=\"font-weight: normal; color: rgb(0, 0, 0);\">腾讯云安全中心监测到，</span>Xinference 被披露其存在供应链投毒风险。可导致攻击者在用户安装或导入受影响版本的包时，窃取云凭证、API 密钥、SSH 密钥、加密钱包、数据库凭据及环境变量等高度敏感信息，并发送至远程命令与控制（C2）服务器。<br></span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">风险详情</span></div><div>Xorbits Inference（Xinference）是一个 AI 模型部署工具，让用户可以用最简单的方式运行和管理各种 AI 模型，适用于研究、开发和实际应用。</div><div><br></div><div>据描述，在 PyPI 仓库的 Xinference 包 2.6.0、2.6.1 及 2.6.2 版本中，由于攻击者通过入侵合法贡献者的账户（或利用自动化机器人），在项目的 __init__.py 初始化文件中植入了经过多层混淆（Base64编码）的恶意载荷。当开发者安装受影响的包或在代码中执行 import xinference 时，该恶意代码会自动解码并在内存中执行。该恶意软件会遍历系统以收集 AWS/GCP 云服务凭证、Kubernetes 令牌、SSH 密钥、多种加密货币钱包文件、SQL/Redis/MongoDB 等数据库连接字符串、Shell 历史记录及系统环境变量，随后将这些窃取的数据打包并回传至预先设定的 C2 服务器域名 whereisitat[.]lucyatemysuperbox[.]space。</div><div><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">风险等级</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"caret-color: rgb(255, 0, 0); color: rgb(255, 0, 0); font-weight: bold;\">高风险</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">影响版本</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">Xinference = 2.6.0</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">Xinference = 2.6.1</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">Xinference = 2.6.2<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">安全版本</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">Xinference <= 2.5.0<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">排查方法</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">1. 检查受影响的软件版本</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">pip show xinference | grep Version</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">判断标准：如果输出的版本号是 2.6.0 或 2.6.1 或 2.6.2，则表示您已安装了恶意软件包，系统应被视为已被入侵。</div></div></div></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">2. 检查网络指示器</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">命令与控制 (C2) 服务器：https://whereisitat[.]lucyatemysuperbox[.]space/</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">3. 敏感信息泄露排查</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">检查云凭证文件：查看云凭证文件的修改时间和内容是否异常。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">检查 SSH 密钥：查看 ~/.ssh/id_rsa 和 ~/.ssh/authorized_keys 是否有未授权的修改。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">检查 Shell 历史：执行 history 或查看 ~/.bash_history、~/.zsh_history，排查是否有异常的 curl、wget、base64 编码命令。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">检查环境变量：执行 env，确认敏感变量（AWS_SECRET_KEY、DB_PASSWORD）是否被打印或记录。<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">4. 云环境专项排查</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">K8s 审计：检查 kube-system 命名空间下的 Secret 是否被异常挂载或读取。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">CI/CD 日志：审查 GitHub Actions、GitLab CI、Jenkins 的构建日志，确认是否在构建过程中意外泄露了凭证。<br></div></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">修复建议</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">1. 立即隔离与清除</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">卸载恶意版本：立即执行 pip uninstall xinference，确保删除 2.6.0-2.6.2 版本。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">降级至安全版本：若需继续使用，执行 pip install xinference==2.5.0 降级至已知安全版本。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">扫描残留后门：检查项目目录及 site-packages 下是否存在可疑的加密后门文件或异常缓存 (__pycache__)。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">2. 核心凭证与密钥轮换</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">云服务凭证：立即轮换 AWS、GCP、腾讯云、阿里云等所有环境的访问密钥和 Secret Key。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">仓库与API密钥：轮换 GitHub、GitLab、Slack、Discord、Docker Hub 等平台的 Token 或 Webhook。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">数据库密码：修改所有被读取的 SQL、Redis、MongoDB、LDAP 服务密码。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">加密货币钱包：立即转移受影响服务器上的所有热钱包资产。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">SSH密钥：删除受信列表中的旧公钥，重新生成新的 SSH 密钥对并替换。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">3. 全面安全审计</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">审计 IAM 角色：检查云环境（AWS IAM、GCP Service Account）是否新增了可疑角色或权限变更。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">审计操作日志：排查 CloudTrail、Cloud Audit Logs 是否存在异常 API 调用（特别是 GetSecretValue、iam:CreateAccessKey 等）。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">检查计划任务/Cron：查看系统是否存在攻击者添加的持久化定时任务。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">4. 内部排查与响应</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">阻断 C2 通信：在防火墙或 EDR 层面封禁域名 whereisitat[.]lucyatemysuperbox[.]space 及其解析 IP。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">排查横向移动：检查受感染主机是否有异常的内网扫描或 SSH 连接记录。<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">【备注】：建议您在升级前做好数据备份工作，避免出现意外<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px;\"><br></div></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">参考链接</span></div></span></span></span></span><div><a href=\"https://www.ox.security/blog/xinference-allegedly-hacked-by-teampcp-malicious-package-in-pypi/\" title=\"https://www.ox.security/blog/xinference-allegedly-hacked-by-teampcp-malicious-package-in-pypi/\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\"><span style=\"\">https://www.ox.security/blog/xinference-allegedly-hacked-by-teampcp-malicious-package-in-pypi/</span></a></div></span><br><br><p align=\"right\" style=\"margin-bottom:0px;\"><a href=\"https://cloud.tencent.com\" title=\"点击进入腾讯云官网首页\"><span style=\"font-size: 14px;\"></span><img src=\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\" alt=\"img\" height=\"40\"></a></p><p align=\"right\" style=\"margin-top:0px;line-height:10px;\"><span id=\"date\" style=\"font-family: 微软雅黑; font-size: 14px;\">2026-04-23</span></p>",
  "end_time": "2026-05-15T00:04:18+00:00",
  "is_important": false
}

腾讯云安全公告 type:console cloud_security official_bulletin

【安全通告】Axios 供应链投毒风险通告

发布时间 2026-03-31 14:09 (UTC+08:00) 抓取时间 2026-03-31 17:21 (UTC+08:00)

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Axios 被曝出存在供应链投毒风险，攻击者可利用该投毒包自动下载并执行远程后门脚本，实现远程控制、窃取敏感信息、植入持久化后门等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。风险详情 Axios 是一个基于 promise 的 HTTP 库，可以用在浏览器和 node.js 中。主要用于向后台发送请求。据描述，在 Axios 组件 0.30.4 和 1.14.1 版本中，由于攻击者通过入侵 axios 官方维护者账号（jasonsaayman），将恶意依赖组件 [email protected] 注入到 axios 的运行时依赖中。plain-crypto-js 是热门加…

尊敬的腾讯云用户，您好！腾讯云安全中心监测到， Axios 被曝出存在供应链投毒风险，攻击者可利用该投毒包自动下载并执行远程后门脚本，实现远程控制、窃取敏感信息、植入持久化后门等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。风险详情 Axios 是一个基于 promise 的 HTTP 库，可以用在浏览器和 node.js 中。主要用于向后台发送请求。据描述，在 Axios 组件 0.30.4 和 1.14.1 版本中，由于攻击者通过入侵 axios 官方维护者账号（jasonsaayman），将恶意依赖组件 [email protected] 注入到 axios 的运行时依赖中。plain-crypto-js 是热门加密库 crypto-js 的仿冒包，该恶意包包含一个 postinstall 钩子脚本（setup.js），该脚本经过高度混淆，运行时会解码 Base64 字符串，从攻击者控制的远程 C2 服务器（http://sfrclak[.]com:8000/6202033）下载对应操作系统（Windows、macOS、Linux）的恶意载荷，写入系统临时目录后通过 Shell 或 PowerShell 执行，最后自删除以隐藏攻击痕迹。注：腾讯云 skillhub 不受该投毒事件影响。风险等级高风险影响版本 axios (npm) == 0.30.4 axios (npm) == 1.14.1 plain-crypto-js (npm) == 4.2.1 安全版本 axios (npm) < = 0.30.3 axios (npm) < = 1.14.0 axios (npm) > 0.30.4 axios (npm) > 1.14.1 plain-crypto-js (npm) 恶意包已被 npm 官方下架排查方法 1. 恶意版本/依赖检测： npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" && echo "AFFECTED" npm list -g axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" && echo "AFFECTED" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" && echo "AFFECTED" ls node_modules/plain-crypto-js 2>/dev/null && echo "AFFECTED" 2. 恶意载荷落地检测： # macOS ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED" # Linux ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED" # Windows dir "%PROGRAMDATA%\wt.exe" 2>nul && echo "COMPROMISED" 3. 可直接使用 AI Agent 安全中心排查。修复建议 1. 降级 axios 到安全版本（立即执行） # 卸载恶意版本 npm uninstall axios # 安装安全版本（1.14.0 或 0.30.3） npm install [email protected] 全局修复： npm uninstall -g axios npm install -g [email protected] 2. 清理恶意依赖 # 删除 plain-crypto-js rm -rf node_modules/plain-crypto-js # 清理 npm 缓存 npm cache clean --force 重新安装其它依赖，确保使用安全版本 3. 清除已落地的恶意载荷 (1) Linux： # 删除恶意脚本 rm -f /tmp/ld.py # 检查是否有其他持久化痕迹 grep -r "sfrclak.com" /etc/cron* 2>/dev/null grep -r "sfrclak.com" ~/.bashrc ~/.zshrc 2>/dev/null (2) macOS： # 删除恶意文件 rm -f /Library/Caches/com.apple.act.mond # 检查启动项 launchctl list | grep -i com.apple.act (3) Windows（以管理员身份运行 PowerShell）： # 删除恶意文件 Remove-Item "$env:PROGRAMDATA\wt.exe" -Force -ErrorAction SilentlyContinue # 检查计划任务 Get-ScheduledTask | Where-Object {$_.TaskName -like "*wt*"} | Unregister-ScheduledTask -Confirm:$false 【备注】：建议您在升级前做好数据备份工作，避免出现意外参考链接 https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan 腾讯云安全解决方案 - 腾讯云安全中心已支持该风险检测 - 腾讯T-Sec 云防火墙已支持检测及防护 2026-03-31

扩展字段

{
  "add_time": "2026-03-31T06:29:47+00:00",
  "announce_type": "console",
  "begin_time": "2026-03-31T06:09:47+00:00",
  "content_html": "<span style=\"font-size: 14px;\"><span style=\"font-family: 微软雅黑; font-size: 14px; caret-color: rgb(0, 0, 0);\">尊敬的腾讯云用户，您好！</span><span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\"><span style=\"font-size: 14px;\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"color: rgb(255, 0, 0); font-weight: bold;\"><br></span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"color: rgb(255, 0, 0); font-weight: bold;\"><span style=\"font-weight: normal; color: rgb(0, 0, 0);\">腾讯云安全中心监测到，</span>Axios 被曝出存在供应链投毒风险，攻击者可利用该投毒包自动下载并执行远程后门脚本，实现远程控制、窃取敏感信息、植入持久化后门等危害。<br></span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">风险详情</span></div><div>Axios 是一个基于 promise 的 HTTP 库，可以用在浏览器和 node.js 中。主要用于向后台发送请求。</div><div><br></div><div>据描述，在 Axios 组件 0.30.4 和 1.14.1 版本中，由于攻击者通过入侵 axios 官方维护者账号（jasonsaayman），将恶意依赖组件 [email protected] 注入到 axios 的运行时依赖中。plain-crypto-js 是热门加密库 crypto-js 的仿冒包，该恶意包包含一个 postinstall 钩子脚本（setup.js），该脚本经过高度混淆，运行时会解码 Base64 字符串，从攻击者控制的远程 C2 服务器（http://sfrclak[.]com:8000/6202033）下载对应操作系统（Windows、macOS、Linux）的恶意载荷，写入系统临时目录后通过 Shell 或 PowerShell 执行，最后自删除以隐藏攻击痕迹。</div><div><br></div><div>注：腾讯云 skillhub 不受该投毒事件影响。</div><div><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">风险等级</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"caret-color: rgb(255, 0, 0); color: rgb(255, 0, 0); font-weight: bold;\">高风险</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">影响版本</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">axios (npm) == 0.30.4</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">axios (npm) == 1.14.1</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">plain-crypto-js (npm) == 4.2.1<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">安全版本</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">axios (npm) <= 0.30.3</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">axios (npm) <= 1.14.0</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">axios (npm) > 0.30.4</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">axios (npm) > 1.14.1<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">plain-crypto-js (npm) 恶意包已被 npm 官方下架<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">排查方法</span></div></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">1. 恶意版本/依赖检测：</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">npm list axios 2>/dev/null | grep -E \"1\\.14\\.1|0\\.30\\.4\" && echo \"AFFECTED\"</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">npm list -g axios 2>/dev/null | grep -E \"1\\.14\\.1|0\\.30\\.4\" && echo \"AFFECTED\"</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">grep -A1 '\"axios\"' package-lock.json | grep -E \"1\\.14\\.1|0\\.30\\.4\" && echo \"AFFECTED\"</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">ls node_modules/plain-crypto-js 2>/dev/null && echo \"AFFECTED\"</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">2. 恶意载荷落地检测：</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># macOS</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo \"COMPROMISED\"</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># Linux</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">ls -la /tmp/ld.py 2>/dev/null && echo \"COMPROMISED\"</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># Windows</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">dir \"%PROGRAMDATA%\\wt.exe\" 2>nul && echo \"COMPROMISED\"<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">3. 可直接使用 AI Agent 安全中心排查。</div></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">修复建议</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">1. 降级 axios 到安全版本（立即执行）</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 卸载恶意版本</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">npm uninstall axios</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 安装安全版本（1.14.0 或 0.30.3）</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">npm install [email protected]</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">全局修复：</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">npm uninstall -g axios</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">npm install -g [email protected]</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">2. 清理恶意依赖</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 删除 plain-crypto-js</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">rm -rf node_modules/plain-crypto-js</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 清理 npm 缓存</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">npm cache clean --force</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">重新安装其它依赖，确保使用安全版本</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">3. 清除已落地的恶意载荷</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">(1) Linux：</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 删除恶意脚本</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">rm -f /tmp/ld.py</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 检查是否有其他持久化痕迹</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">grep -r \"sfrclak.com\" /etc/cron* 2>/dev/null</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">grep -r \"sfrclak.com\" ~/.bashrc ~/.zshrc 2>/dev/null</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">(2) macOS：</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 删除恶意文件</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">rm -f /Library/Caches/com.apple.act.mond</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 检查启动项</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">launchctl list | grep -i com.apple.act</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">(3) Windows（以管理员身份运行 PowerShell）：</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 删除恶意文件</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">Remove-Item \"$env:PROGRAMDATA\\wt.exe\" -Force -ErrorAction SilentlyContinue</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"># 检查计划任务</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">Get-ScheduledTask | Where-Object {$_.TaskName -like \"*wt*\"} | Unregister-ScheduledTask -Confirm:$false</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">【备注】：建议您在升级前做好数据备份工作，避免出现意外<br></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><div style=\"margin: 0px; padding: 0px;\"><br></div></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">参考链接</span></div></span></span></span></span><div><a href=\"https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan\" title=\"https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan\" style=\"color: rgb(0, 164, 255); text-decoration: none; word-break: break-all; overflow-wrap: normal; font-size: 14px;\">https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan</a></div><div><br></div><div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\"><span style=\"font-weight: bold;\">腾讯云安全解决方案</span></div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">- 腾讯云安全中心已支持该风险检测</div><div style=\"margin: 0px; padding: 0px; font-family: 微软雅黑; font-size: 14px; text-size-adjust: auto; caret-color: rgb(0, 0, 0);\">- 腾讯T-Sec 云防火墙已支持检测及防护</div></div></span><br><p align=\"right\" style=\"margin-bottom:0px;\"><a href=\"https://cloud.tencent.com\" title=\"点击进入腾讯云官网首页\"><span style=\"font-size: 14px;\"></span><img src=\"https://qcloudimg.tencent-cloud.cn/raw/3a9dd87ab5d626ea94b3313d147e32ec.png\" alt=\"img\" height=\"40\"></a></p><p align=\"right\" style=\"margin-top:0px;line-height:10px;\"><span id=\"date\" style=\"font-family: 微软雅黑; font-size: 14px;\">2026-03-31</span></p>",
  "end_time": "2026-04-17T06:09:47+00:00",
  "is_important": false
}

腾讯云安全公告 type:console cloud_security official_bulletin

厂商发布

订阅来源 RSS