2026年5月21日,百度云防护WAF规则库迎来一次重磅升级,新增及优化超过50条安全规则,累计内置规则总数达到1163条。本次更新重点覆盖防火墙、堡垒机、中间件、OA系统、ERP、安防平台等企业级应用的高危漏洞,包括远程代码执行(RCE)、SQL注入、命令注入、反序列化、未授权访问等多种攻击类型。在厂商官方补丁发布之前,百度云防护即可提供“虚拟补丁”级的即时拦截,为企业应用争取宝贵的修复窗口期。
一、 更新概览:5月21日新增核心规则一览
| 规则ID | 规则名称 | 风险等级 | 防护类型 | 针对的漏洞/系统 |
|---|---|---|---|---|
| 4351 | Code_exec.sysToolsDetect_RCE.A | 高风险 | 代码执行 | 网神SecGate 3600防火墙远程代码执行 |
| 4354 | Cmd_exec.anysec_arping_rce.A | 高风险 | 命令执行 | 中科网威anysec安全网关命令注入 |
| 4355 | Cmd_exec.youyou_firewall_exec.A | 高风险 | 命令执行 | 佑友防火墙后台命令执行 |
| 4348 | Cmd_exec.topsec_login_cmdexec.A | 高风险 | 命令执行 | 天融信运维安全审计系统命令执行 |
| 4349 | Cmd_exec.sangfor_ngaf_cgi_rce.A | 高风险 | 命令执行 | 深信服下一代防火墙NGAF命令注入 |
| 4350 | Code_exec.sangfor_edr_codeexec.A | 高风险 | 代码执行 | 深信服EDR任意代码执行 |
| 4358 | Injection.FineReport_export.A | 高风险 | 注入 | 帆软FineReport export-excel SQL注入 |
| 4360 | Cmd_exec.CVE-2020-21224.A | 高风险 | 命令执行 | 浪潮ClusterEngineV4.0远程命令执行 |
| 4361 | Code_exec.CVE-2021-33036.A | 高风险 | 代码执行 | 大华EIMS反序列化RCE |
| 4362 | Cmd_exec.hikvision_productfile.A | 高风险 | 命令执行 | 海康威视综合安防管理平台命令执行 |
| 4363 | Code_exec.MetaCRM_fastjson.A | 高风险 | 代码执行 | MetaCRM FastJson反序列化RCE |
| 4364 | Injection.CVE-2023-29924.A | 高风险 | 注入 | 阿里云SchedulerX代码注入 |
| 4372 | Injection.LzMIS_SQL_Exec.A | 高风险 | 注入 | 理正企业综合管理系统任意SQL执行 |
| 4377 | Cmd_exec.CVE-2025-34160.A | 高风险 | 命令执行 | 爱数AnyShare智能内容管理平台RCE |
| 4378 | Code_exec.Dataroom_rce.A | 高风险 | 代码执行 | 大屏设计器Dataroom代码执行 |
此外还新增了针对宏景、昂捷ERP、天智云、孚盟、东胜物流、红帆OA、方正畅享、金慧、致翔OA等系统的SQL注入和文件读取规则,覆盖范围极广。
二、 重点规则深度解析
2.1 防火墙/安全网关类产品(网神、中科网威、佑友、天融信、深信服)
本次更新针对多款主流防火墙和运维审计系统,修复了多个可导致设备被完全控制的漏洞。
典型漏洞示例:
- 网神SecGate 3600防火墙(规则4351):
sysToolsDetectNet.cgi接口存在远程代码执行漏洞,攻击者可构造恶意请求直接获取防火墙系统权限。 - 深信服NGAF(规则4349):通过Cookie中的
PHPSESSID字段注入恶意命令,实现远程命令执行。 - 天融信运维安全审计系统(规则4348):
login.jsp接口命令执行漏洞,攻击者可绕过认证执行系统命令。
防护价值:防火墙本身是企业网络的第一道防线,一旦被攻破,内网将完全暴露。百度云防护WAF可在网络层面拦截针对这些漏洞的攻击流量,即使设备未及时打补丁,也能有效阻断入侵。
2.2 企业级应用与中间件(帆软、浪潮、大华、海康威视)
帆软FineReport(规则4358):export-excel接口存在SQL注入漏洞,攻击者可利用Params参数注入恶意SQL及命令执行代码,窃取数据库敏感信息。
浪潮ClusterEngineV4.0(规则4360):远程命令执行漏洞,攻击者可利用该漏洞完全控制浪潮集群管理平台。
大华EIMS(规则4361):cascade_deleteLinkedDev接口反序列化漏洞,可导致远程代码执行。
海康威视综合安防管理平台(规则4362):productFile接口远程命令执行漏洞,攻击者可执行任意系统命令。
防护价值:这些系统广泛应用于政府、企业、安防、智能制造等关键领域,一旦被攻击,可能导致生产停顿、数据泄露、监控失效等严重后果。WAF规则可在漏洞被修复前提供即时保护。
2.3 企业管理与CRM系统(MetaCRM、理正、爱数AnyShare)
MetaCRM(规则4363):FastJson反序列化RCE漏洞,攻击者利用Unicode转义的JdbcRowSetImpl类名和LDAP协议payload,实现远程代码执行。
理正企业综合管理系统LzMIS(规则4372):任意SQL语句执行漏洞,攻击者可读取、修改、删除数据库任意数据。
爱数AnyShare(规则4377):start_service接口远程命令执行漏洞(CVE-2025-34160),利用命令拼接和路径通配符注入恶意命令。
防护价值:CRM、企业管理系统存储着客户资料、合同、项目等核心商业数据。WAF可实时拦截SQL注入和反序列化攻击,防止数据泄露。
2.4 开发框架与通用组件(Struts2、Apache Commons Text、WebLogic等)
本次更新还包括多个已知高危通用组件漏洞:
- Struts2 S2-029(规则4321):OGNL表达式注入,绕过安全限制执行系统命令。
- Apache Commons Text(规则4333-4335):CVE-2022-42889任意代码执行漏洞(“Text4Shell”)。
- WebLogic UDDIExplorer SSRF(规则4332):CVE-2014-4210,利用
operator参数进行CRLF注入并执行Redis命令。 - Apache ActiveMQ文件上传(规则4331):CVE-2016-3088,任意文件上传导致RCE。
防护价值:这些组件被广泛应用于各类Java应用中,即便你的业务系统本身没有漏洞,依赖的第三方库也可能成为攻击入口。百度云防护WAF的虚拟补丁能力,可帮助企业快速封堵这些“隐形风险”。
三、 本次更新的意义:从“被动打补丁”到“主动虚拟补丁”
在企业安全运维中,厂商官方的安全补丁往往需要经过测试、审批、停机等流程,修复周期可能长达数周甚至数月。而百度云防护WAF通过实时更新的规则库,可以在漏洞公开的当天(甚至更早)就为用户提供拦截能力。
本次更新的几个亮点:
- 覆盖范围广:从防火墙、堡垒机到ERP、OA、安防平台,几乎覆盖了所有主流企业级应用。
- 攻击类型全:包括RCE、命令注入、SQL注入、反序列化、未授权访问等OWASP TOP 10攻击手法。
- 响应速度极快:5月21日当天即上线了超过50条新规则,体现了百度安全团队的快速跟进能力。
四、 如何启用这些防护规则?
如果你已经接入百度云防护WAF,基础防护引擎默认开启,以上所有新增规则将自动生效,无需手动配置。你可以按以下步骤确认:
- 登录百度云防护控制台 → 防护配置 → Web防护 → 内置规则。
- 搜索规则ID(如4351、4354、4358等),确认状态为“开启”,处置动作为“拦截”。
- 若部分规则初始为“观察”模式,请手动修改为“拦截”,以确保攻击被实时阻断。
如果尚未接入百度云防护,欢迎联系主机吧。我们将提供免费安全评估和WAF接入指导,5分钟即可为你的网站、OA、ERP等系统套上“虚拟补丁”。
五、 总结:安全是一场与时间的赛跑
2026年5月21日的这次规则更新,再次证明了百度云防护WAF在企业安全体系中的核心价值——你不需要等待厂商发布补丁,百度云防护已经为你挡在攻击前面。无论是防火墙、中间件还是OA系统,只要暴露在公网,就可能成为攻击者的靶子。而百度云防护WAF,就是你24小时在线的安全哨兵。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让每一次漏洞利用都无从下手,让每一个企业应用都固若金汤。
