截至 2026 年 5 月,国外研究机构基于全球 500 多个数据源的漏洞生命周期数据,结合网络对真实部署环境的攻击检测结果,识别出 25 个在今年被攻击者和研究人员常规利用的 CVE 漏洞。
这些漏洞覆盖了企业网络边缘设备、办公软件、开源工具以及 AI 平台等多个领域,反映出当前网络威胁的最新演变趋势。
企业网络边缘技术持续成为国家支持型和高级攻击者的重点目标,而安全研究人员则更多将精力投入到 AI 平台和开源代码库的漏洞挖掘中。与 2025 年同期相比,Known Exploited Vulnerabilities(已知被利用漏洞,简称 KEV)列表新增条目数量增长了 59%。
需要说明的是,本次统计的漏洞均在 2026 年披露并在野外被利用,唯一例外是 SmarterTools SmarterMail 的 CVE-2025-52691,该漏洞于 2025 年 12 月底披露但在 2026 年仍被广泛利用。威胁行为者统计包含未归因活动,所有未归因活动统一计为 1 个威胁行为者实例,同一国家层面的归因也统一计为 1 个实例。
2026 年常规被利用漏洞完整清单
以下表格列出了所有符合 "常规被利用" 标准的漏洞,包含漏洞类型、公开利用数量、涉及威胁行为者数量、是否被勒索软件利用以及关键说明。
CVE 编号 | 漏洞类型 | 公开利用数量 | 威胁行为者数量 | 勒索软件利用 | 关键说明 |
|---|---|---|---|---|---|
CVE-2026-21509 | Microsoft Office 安全功能绕过 | 2 | 6 | 否 | 涉及 Fancy Bear(俄罗斯)、Razor Tiger(印度)以及朝鲜相关威胁行为者 |
CVE-2025-52691 | SmarterTools SmarterMail 无限制文件上传 | 12 | 4 | 是 | 涉及 Storm-1175、Static Kitten(伊朗),持续检测到利用活动 |
CVE-2026-1281 | Ivanti Endpoint Manager Mobile(EPMM)命令注入 | 5 | 4 | 否 | 涉及 Static Kitten(伊朗)以及其他威胁行为者 |
CVE-2026-1731 | BeyondTrust RS 和 PRA 命令注入 | 7 | 4 | 是 | 涉及 Storm-1175、Static Kitten(伊朗) |
CVE-2026-22769 | Dell RecoverPoint for VMs 硬编码凭证 | 0 | 4 | 否 | 涉及 UNC6201、SectorB、UAT-8616 |
CVE-2025-15556 | Notepad++ 供应链事件 | 1 | 4 | 否 | 供应链攻击事件,归因于国家支持型威胁行为者 Lotus Blossom |
CVE-2026-20700 | Apple 多产品缓冲区溢出 | 0 | 3 | 否 | 涉及 UNC6353(疑似俄罗斯)、UNC6748 |
CVE-2026-1340 | Ivanti Endpoint Manager Mobile(EPMM)代码注入 | 5 | 3 | 否 | 涉及伊朗、其他相关威胁行为者 |
CVE-2026-20127 | Cisco Catalyst SD-WAN Manager 身份验证绕过 | 6 | 3 | 否 | 涉及 UAT-8616 以及伊朗相关威胁行为者 |
CVE-2026-21513 | Microsoft Windows MSHTML 安全功能绕过 | 2 | 3 | 否 | 涉及 Fancy Bear(俄罗斯)、SectorC(疑似俄罗斯) |
CVE-2026-23760 | SmarterTools SmarterMail 身份验证绕过 | 5 | 3 | 是 | 涉及 Warlock 勒索软件、Storm-1175、Storm-2603 |
CVE-2026-20131 | Cisco Secure Firewall Management Center(FMC)反序列化 | 1 | 2 | 是 | 涉及伊朗相关威胁行为者、Interlock 勒索软件 |
CVE-2026-33634 | Aquasecurity Trivy 嵌入恶意代码 | 3 | 2 | 否 | 供应链攻击事件,归因于 TeamPCP |
CVE-2026-21858 | n8n"Ni8mare" 未授权信息泄露 | 12 | 1 | 否 | 涉及 Zerobot 僵尸网络,未列入 CISA KEV |
CVE-2026-24061 | GNU Inetutils telnetd 身份验证绕过 | 49 | 1 | 是 | 涉及 Qilin 勒索软件,拥有大量公开利用代码 |
CVE-2026-24423 | SmarterTools SmarterMail 远程代码执行 | 5 | 1 | 是 | 涉及 Qilin 勒索软件 |
CVE-2026-31431 | Linux 内核 "Copy Fail" 权限提升 | 132 | 1 | 否 | 2026 年迄今为止研究最多的漏洞 |
CVE-2026-39987 | marimo 终端 WebSocket 预认证远程代码执行 | 9 | 1 | 否 | Sysdig 观察到广泛的利用和僵尸网络武器化活动 |
CVE-2026-41940 | cPanel & WHM 身份验证绕过 | 26 | 1 | 是 | 涉及 Sorry 勒索软件、Mirai 僵尸网络 |
CVE-2026-20128 | Cisco Catalyst SD-WAN Manager DCA 用户接管 | 1 | 1* | 否 | Cisco Talos 观察到至少 10 个不同威胁集群利用此漏洞作为 "XenShell" 利用链的一部分 |
CVE-2026-20133 | Cisco Catalyst SD-WAN Manager 信息泄露 | 1 | 1* | 否 | Cisco Talos 观察到至少 10 个不同威胁集群利用此漏洞作为 "XenShell" 利用链的一部分 |
CVE-2026-20122 | Cisco Catalyst SD-WAN Manager UploadAck 文件覆盖 | 1 | 1* | 否 | Cisco Talos 观察到至少 10 个不同威胁集群利用此漏洞作为 "XenShell" 利用链的一部分 |
CVE-2026-29014 | MetInfo CMS 未授权 PHP 代码注入 | 1 | 1* | 否 | 持续的利用活动,未列入 CISA KEV |
CVE-2026-23744 | MCPJam inspector 缺少身份验证 | 19 | 1 | 否 | 研究热度高,拥有大量公开利用代码,未列入 CISA KEV |
CVE-2026-33017 | Langflow 未授权代码注入 | 13 | 1 | 否 | 漏洞披露后互联网上暴露的主机数量激增,表明存在大量蜜罐部署 |
顶级威胁行为者与勒索软件重点利用漏洞
虽然 2026 年才过去不到半年,但已经有几个漏洞脱颖而出成为攻击者的首选武器。
CVE-2026-21509 是一个 Microsoft Office 安全功能绕过漏洞,在 2026 年 1 月被作为零日漏洞用于基于文档的攻击,Fancy Bear(APT28)利用该漏洞针对中东欧地区包括乌克兰在内的多个国家发起了一系列广为人知的攻击活动。
SmarterTools SmarterMail 的三个漏洞 CVE-2025-52691、CVE-2026-23760 和 CVE-2026-24423 在 2025 年 12 月底至 2026 年 1 月底期间陆续披露,随后被伊朗和其他威胁行为者以及 Qilin 和 Warlock 勒索软件家族广泛利用。
CVE-2026-41940 是一个 cPanel 和 WHM 的零日身份验证绕过漏洞,于 2026 年 4 月底公开披露。该漏洞在短时间内就被 Sorry 勒索软件家族和 Mirai 僵尸网络武器化,同时积累了超过 20 个公开利用代码。
不出所料,企业网络边缘设备在今年上半年同样遭受了严重打击。Ivanti Endpoint Manager Mobile、BeyondTrust Remote Support、Cisco Secure Firewall Management Center 以及 Cisco SD-WAN 都出现了值得关注的威胁活动。Ivanti 的 CVE-2026-1281 和 CVE-2026-1340 被用于伊朗和其他相关的侦察和利用活动。
BeyondTrust 的 CVE-2026-1731 被伊朗支持的 MuddyWater 和威胁行为者 Storm-1175 利用。Cisco Secure Firewall Management Center 的 CVE-2026-20131 甚至在公开披露前一个多月就已经被 Interlock 勒索软件组织利用。
值得注意的是,Citrix NetScaler、Palo Alto Networks PAN-OS 和 Fortinet FortiOS 在今年前几个月也都有各自备受关注的零日漏洞披露,但目前公开报告的威胁活动数量还不足以让它们进入 "常规被利用" 名单。
关于思科 SD-WAN 漏洞的特别说明
2026 年 2 月,Cisco Talos 团队发布了一篇关于 UAT-8616 利用 Catalyst SD-WAN 两个漏洞的博客文章。这两个漏洞分别是较旧的 CVE-2022-20775 和新的初始访问零日漏洞 CVE-2026-20127。同一天,思科发布了针对 Catalyst SD-WAN 另外五个漏洞的综合公告。这些漏洞在披露时均未被利用,但截至 5 月 18 日,除一个外其余全部出现了野外利用活动。
安全团队在 3 月初的分析中发现,一个表面上针对 CVE-2026-20127 的公开概念验证代码实际上并没有利用该漏洞,而是利用了思科综合公告中的另外三个漏洞 CVE-2026-20122、CVE-2026-20128 和 CVE-2026-20133。5 月 14 日,Cisco Talos 发布了关于 SD-WAN 漏洞持续利用的新博客文章,指出这个名为 "XenShell" 的公开概念验证代码正在驱动广泛的利用活动以部署 webshell。由于 Cisco Talos 的文章提到有 10 个不同的威胁集群在利用这些 SD-WAN 漏洞,因此我们将 CVE-2026-20127 和这三个 "XenShell" 漏洞都归类为常规被利用漏洞。
研究热度最高的漏洞
安全研究人员开发利用代码的漏洞与野外实际被利用的漏洞通常存在一定重叠,但两者的优先级有所不同。研究人员更倾向于为他们能够轻松访问的开源或免费软件开发利用代码,而攻击者则更加机会主义。2026 年上半年的情况也遵循了这一模式,公开利用代码数量最多的漏洞主要集中在开源或可公开访问的代码库中。
2026 年迄今为止研究最多的漏洞是 CVE-2026-31431,也被称为 "Copy Fail"。这是一个 Linux 内核权限提升漏洞,借助人工智能技术被发现,并且在披露时伴随着极具争议的营销宣传。尽管如此,该漏洞本身是真实存在的。需要注意的是,随漏洞一同发布的原始概念验证代码具有破坏性,会覆盖系统的 su 二进制文件。截至目前,Copy Fail 已经催生了 130 多个可用的概念验证代码,其中绝大多数都是衍生实现而非全新开发。
其他研究热度较高的 2026 年漏洞还包括:
CVE-2026-24061,Gnu Inetutils telnetd 中的严重身份验证绕过漏洞,拥有近 50 个已知利用代码,同时也被 Qilin 勒索软件家族投入实战
CVE-2026-41940,被广泛利用的 cPanel 和 WHM 身份验证绕过漏洞,拥有 25 个以上公开利用代码
CVE-2026-23744,流行的 MCP 开发测试平台 MCPJam Inspector 中的缺少身份验证漏洞,拥有 19 个公开利用代码。
CVE-2026-33017,流行的智能体平台 Langflow 中的严重代码注入远程代码执行漏洞,拥有十几个利用代码,Sysdig 的威胁研究团队在 3 月对其利用情况进行了详细记录
CVE-2026-21858,也被称为 "Ni8mare",工作流自动化平台 n8n 中的信息泄露漏洞,观察到了大规模的扫描和利用尝试,同时也被 Zerobot 僵尸网络利用
还有几个拥有 10 个以上公开利用代码的漏洞未被列入此名单,因为它们尚未出现真实世界的利用活动。
供应链攻击成为年度焦点
2026 年的常规被利用漏洞名单中包含了两个标志着重大供应链事件的 CVE,反映出今年供应链安全领域的混乱局面。CVE-2025-15556 追踪了一起 Notepad++ 基础设施被入侵的事件,攻击者能够拦截并重定向发往notepad-plus-plus.org的更新流量。该事件在 2025 年的大部分时间里持续发生,直到 2026 年 2 月才被维护者发现并披露。安全公司 Rapid7 对自定义后门的分析将此次事件归因于国家支持型威胁行为者 Lotus Blossom,该组织通常针对东南亚地区的组织。
另一个被列入的供应链漏洞是 CVE-2026-33634,它追踪了一起影响深远的供应链攻击。该攻击从流行的漏洞扫描器 Trivy 上游开始,随后扩散到 LiteLLM 和 Checkmarx KICS。仅 LiteLLM 一个项目每天就有 340 万次下载。此次攻击被归因于 TeamPCP,一个以经济利益为动机的威胁组织,该组织在今年已经声称实施了多起供应链攻击。
关于 CVE 是否是追踪和报告供应链攻击的合适机制,CVE 社区内部存在很多争论。无论好坏,CVE 确实被普遍用于表示被植入后门或其他方式被篡改的软件版本,但使用方式并不一致。例如 2026 年 3 月的 axios npm 供应链事件,这个广受欢迎的包被植入了跨平台远程访问木马,使数千万用户面临风险。谷歌威胁情报和 Elastic 将此次攻击归因于朝鲜,但唯一被分配的 CVE 编号 CVE-2026-34381 是由下游包 @usebruno/cli 用来追踪 axios 事件的影响。5 月 11 日,另一个流行包的维护者 TanStack 披露了另一起 TeamPCP 归因的供应链攻击,该攻击通过自我传播的 "mini Shai-Hulud" 蠕虫入侵了 40 多个包。
KEV 数量激增背后的趋势
KEV 列表今年迄今为止已经新增了 394 个带有野外利用证据的 CVE,与去年同期相比增长了 59%。研究团队还观察到,往年漏洞首次出现利用证据的数量也出现了明显的同比增长。这意味着 2026 年新披露漏洞的被利用数量和往年漏洞首次被利用的报告数量都在显著增加。
但需要指出的是,2026 年的整体 CVE 披露数量也在上升,主要的 CVE 编号分配机构都显示出披露数量的明显上升趋势。到目前为止,新增 KEV 数量的增长似乎与整体 CVE 数量的增长大致成正比。这表明人工智能技术正在加速漏洞披露和利用领域的已知模式。
随着 2026 年的继续推进,这份常规被利用漏洞名单几乎肯定会发生变化。一些目前没有大量威胁行为者或勒索软件引用的漏洞到年底可能会从名单中消失,而另一些漏洞则会获得新的归因并上升到更重要的位置。
参考:Vulncheck《Quantifying 2026 Routinely Targeted Vulnerabilities (So Far)》
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
