← 返回博客
安全简报5 分钟阅读2026-05-01

安全简报,2026年5月1日:CISA Windows 紧急令、SAP/PyTorch 供应链攻击、cPanel 0-day、Copy Fail 与 Gemini CLI RCE

今天早上的教训既难看又熟悉:一旦大家默认可信的管理或开发路径被污染,攻击者就不再需要多么精巧的手法也能造成破坏。


Top line: 今早有五件事最值得关注:CISA 要求快速修补 Windows,供应链入侵已从 SAP npm 包扩散到 PyTorch Lightning 和 intercom-client,针对 cPanel 认证绕过的攻击仍在继续,Linux Copy Fail 让拿到 root 的成本更低,而 Google 被迫修复 Gemini CLI 的最高严重度漏洞。


1. CISA 的 Windows 补丁令说明这已经不是“可选 backlog”

据 BleepingComputer 报道,CISA 已将一个正在被积极利用的 Windows 漏洞加入已知被利用漏洞目录,并要求联邦机构在期限内完成修补。信号非常明确:如果 CISA 正在推动紧急动作,企业团队就应假设攻击者已经掌握了现实可用的利用链。


2. SAP npm 事件已经很糟;PyTorch Lightning 说明这场活动仍在扩张

The Hacker News 报道称,4 月 30 日发布的恶意 PyTorch Lightning 2.6.2 和 2.6.3 与攻击 SAP 相关官方 npm 包的 Mini Shai-Hulud 活动属于同一波供应链攻击。该恶意代码会窃取 GitHub、npm、SSH、云、Kubernetes 和 CI 凭据。任何受影响的开发机或 runner 都应按安全事件处理。


3. cPanel 和 WHM 仍然处在真刀真枪阶段

BleepingComputer 与 The Register 都将 cPanel/WHM 认证绕过描述为严重、已被利用且必须紧急修补的问题。原因很直接:控制面板漏洞往往能直通网站、邮箱、数据库,甚至整批托管基础设施。


4. Copy Fail 再次证明“仅本地”是一种偷懒的分级方式

The Register 与 The Hacker News 都指出,Copy Fail(CVE-2026-31431)是一种 Linux 本地提权漏洞,可在主流发行版上把一个普通 foothold 迅速变成 root。凡是低信任代码能本地运行的地方,这类漏洞都很关键:CI、共享服务器、跳板机、共享内核容器。


5. Google 的 Gemini CLI 修复堵上了 CVSS 10 漏洞,但也可能打断自动化

The Register 与 The Hacker News 报道称,Google 修复了 Gemini CLI 及相关 GitHub Actions 工作流中的最高严重度命令执行漏洞,同时 Cursor 也存在可导致代码执行的问题。它可能让 CI 出现兼容性麻烦,但这总比把主机级执行路径敞开给外部输入要好。

今天该做什么

先修补紧急 Windows 目标,轮换被恶意包安装接触过的密钥,堵上 cPanel 漏洞,为本地执行场景重要的 Linux 主机更新内核,并在 Gemini 更新后重新测试 AI 辅助 CI。模式很直白:大家默认安全的运维管道正在被攻击。

来源

  • BleepingComputer:CISA 要求紧急修补被利用的 Windows 漏洞。
  • BleepingComputer 与 The Hacker News:SAP npm 供应链事件及 PyTorch Lightning 后续。
  • BleepingComputer 与 The Register:cPanel/WHM 认证绕过与紧急修补。
  • The Register 与 The Hacker News:Copy Fail(CVE-2026-31431)。
  • The Register 与 The Hacker News:Google Gemini CLI 修复与相关代码执行问题。