WeLinux

热门下载管理器 JDownloader 官方网站于 5 月 6 日遭攻击者入侵，被替换为含恶意代码的 Windows 与 Linux 安装包，持续时间超过一天方被发现。事件曝光源于 Reddit 一名用户发帖指出，新下载的 JDownloader 安装包被 Windows SmartScreen 标记为可疑，且数字签名发行商显示为陌生的"Zipline LLC"而非官方的"AppWork"。该帖迅速引发关注，项目开发者介入确认遭攻破。JDownloader 团队调查指出，攻击者利用网站一个未修复的安全漏洞，在未经认证的情况下修改了访问控制列表（ACL），随后将替代下载页面上的官方链接替换为恶意文件。已感染用户反映，恶意程序可彻底关闭 Windows Defender，后续危害严重。 此案并非孤立事件——今年以来官方软件网站供应链攻击持续高发：1 月 eScan、2 月 Notepad++（替换安装包）、4 月 CPUID（CPU-Z / HWMonitor 官网被植入含恶意 DLL 的安装包，感染后窃取浏览器凭据）、5 月初 DAEMON Tools（官方安装包被植入后门，4 月 8 日至 5 月 5 日间数千次恶意载荷部署被卡巴斯基检测到）。卡巴斯基研究员评论称："我们在 2026 年头四个月已相继调查 eScan、Notepad++、CPU-Z 和 DAEMON Tools——供应链攻击的频率令人担忧。"使用上述软件的用户应立即核查安装来源并重新下载官方最新版本。 Neowin | The Hacker News

北美时间 5 月 7 日下午，全球最大学习管理系统 Canvas 遭遇严重安全事件：黑客组织 ShinyHunters 将旗下逾 9000 所院校用户的登录页面替换为勒索声明，要求 Canvas 母公司 Instructure 于 5 月 12 日前与其联系并满足赎金要求，否则将公开泄露的用户数据。声明称"ShinyHunters 已再次入侵 Instructure"，并指责对方在收到威胁后仅进行了"安全补丁"修补而置之不理。Instructure 随即将 Canvas、Canvas Beta 及 Canvas Test 置于维护模式，确认此前已发生数据泄露，泄露内容涉及姓名、电子邮件、学生证号及用户站内消息，但未发现密码、出生日期、政府身份证号或财务信息被波及。Canvas 声称北美约 41% 的高校使用其平台，全球用户规模约 2.75 亿。 事件发生在北美大学期末考试周，受影响学生无法访问课程材料、作业、测验及成绩，教师亦无法录入成绩。宾夕法尼亚大学大三学生 Anish Garimidi 对 CNN 表示，在备考关键期被迫登出账户令他"极度恐慌"；乔治城大学一名大二学生特地返乡备考，却在当天下午发现 Canvas 已无法访问并呈现勒索页面。印第安纳大学校方表示正持续更新进展。此次入侵也被部分法律学者视为美国《家庭教育权利与隐私法》（FERPA）有记录以来规模最大的潜在违规事件，一场数亿美元级集体诉讼的风险正在成形。 CNN | Wikipedia

韩国安全研究员 Hyunwoo Kim（@v4bel）于北京时间 5 月 8 日凌晨在 oss-security 邮件列表正式披露 Linux 内核本地提权（LPE）漏洞 Dirty Frag，同步发布概念验证（PoC）利用代码。该漏洞通过链式组合两个独立缺陷实现普通用户一步提权至 root：其一为 xfrm-ESP Page-Cache Write，利用 IPsec ESP 快速解密路径在 splice()/sendfile() 注入的外部页面上直接操作，提供强力的任意 4 字节写原语；其二为 RxRPC Page-Cache Write，无需命名空间创建权限。两者互补盲区——前者可绕过 Ubuntu 的 AppArmor 限制，后者则针对默认加载 rxrpc.ko 的 Ubuntu 环境——组合后可在所有主流发行版上实现完整利用。该漏洞属于 Dirty Pipe（CVE-2022-0847）与 Copy Fail（CVE-2026-31431）同类缺陷的延伸，为确定性逻辑漏洞，无需竞争条件，失败时内核不崩溃，成功率极高。xfrm-ESP 漏洞影响范围可追溯至 2017 年 1 月（Linux 4.14 前后），存续近 9 年；受影响发行版涵盖 Ubuntu 18.04–24.04、RHEL/AlmaLinux 8–10、Fedora 44、openSUSE Tumbleweed、CentOS Stream 10、Debian 10–13 等全线主流版本。 本次披露属于禁令被破后的被动公开：Kim 原定于 5 月 12 日协调性披露，但不明第三方提前泄露，迫使其在 linux-distros 维护者建议下提前发布完整信息。目前尚无任何发行版的官方补丁，亦未分配 CVE 编号；上游内核已有针对 ESP 的修复提交进入 netdev 树，rxrpc 补丁亦在 netdev 邮件列表流转，AlmaLinux 已率先发布测试版修复内核。临时缓解措施为卸载并禁用 esp4、esp6、rxrpc 三个内核模块，但将导致 IPsec 与 kAFS 功能失效，不适用于依赖这些功能的生产环境。 GitHub | LWN.net | AlmaLinux https://github.com/V4bel/dirtyfrag https://lwn.net/Articles/1071719/ https://almalinux.org/blog/2026-05-07-dirty-frag/

cPanel 开发商 WebPros International 于 4 月 28 日发布安全公告，披露影响旗下主机控制面板软件 cPanel 及 WHM 的严重认证绕过漏洞，编号 CVE-2026-41940，CVSS 评分 9.8。漏洞根源在于 cPanel 服务守护进程（cpsrvd）的会话文件写入机制存在 CRLF 注入缺陷：攻击者通过构造含有换行字符的恶意 Basic Authorization 请求头，可在认证发生前向磁盘上的会话文件注入任意键值对（如 user=root、hasroot=1），从而绕过密码与双因素认证，以 root 权限接管 WHM 管理界面——整个利用链仅需数个 HTTP 请求，无需任何凭据。受影响范围为 v11.40（2013 年发布）之后的所有版本，以及基于 cPanel 构建的 WordPress 托管平台 WP Squared v136.1.7 之前版本；Shodan 数据显示互联网暴露的 cPanel 实例约达 150 万个。 此次漏洞属于真实零日：托管服务商 KnownHost 确认，攻击者最早于 2 月 23 日便已开始利用，早于 4 月 28 日公开披露约两个月。安全研究公司 watchTowr 于 4 月 29 日同步发布技术分析与概念验证代码，CISA 随即将其纳入"已知被利用漏洞"目录。Shadowserver Foundation 监测到 4 月 30 日单日参与扫描及暴力攻击的 IP 数量峰值达 44,000 个，澳大利亚网络安全中心（ACSC）亦确认在澳大利亚境内发现活跃利用。目前各主版本均已发布修复版本（最新稳定版为 11.136.0.5），管理员应立即升级并使用 cPanel 官方 IoC 检测脚本排查是否已遭入侵；临时缓解措施包括在防火墙层面封锁 2083、2087、2095、2096 端口的入站流量。 Help Net Security | The Hacker News | Rapid7 https://www.helpnetsecurity.com/2026/04/30/cpanel-zero-day-vulnerability-cve-2026-41940-exploited/ https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html