发布时间:2026-06-25 | 作者:主机吧 | 阅读时长:15 分钟 | 类型:产品动态 / 安全预警
核心摘要:2026 年 6 月 25 日,百度云防护 WAF 安全规则库再次大规模升级,一次性新增 35 条安全规则(规则编号 4492 ~ 4554),覆盖远程代码执行、命令注入、SSRF、SQL 注入、路径绕过、权限绕过、信息泄露、XSS 八大类漏洞。涉及 Intel AMT、GitLab CI、Hadoop YARN、Zoho ManageEngine、MinIO、pgAdmin、Apache Solr、Keycloak 等数十个企业级系统。所有已接入用户自动生效,零操作。
一、本次更新总览
| 维度 | 数据 |
|---|---|
| 更新日期 | 2026-06-25 |
| 新增规则数 | 35 条 |
| 规则编号范围 | 4492 ~ 4554 |
| 风险等级 | 高风险 ≈ 40%, 中风险 ≈ 35%, 低风险 ≈ 25% |
| 覆盖漏洞类型 | 命令执行、代码执行、SQL 注入、SSRF、路径绕过、权限绕过、XSS、信息泄露 |
风险等级分布
高风险 ████████████████ 15 条 (42.9%)
中风险 █████████████ 12 条 (34.3%)
低风险 █████████ 8 条 (22.9%)
本次更新高风险漏洞占比高达 42.9%,是近期规则更新中含金量最高的一次。
二、新增规则完整清单
2.1 🔴 高风险规则(15 条)——必须重点关注
| 规则编号 | 漏洞名称 | CVE 编号 | 漏洞类型 | 影响系统 |
|---|---|---|---|---|
| 4535 | AudioCodes Device Manager Express SQL 注入 | CVE-2022-24627 | 注入/中 | AudioCodes 设备管理系统 |
| 4536 | Zzzcms 操作系统命令注入 | CVE-2021-32605 | 🔴 命令执行 | Zzzcms 内容管理系统 |
| 4537 | ZZZCMS zzzphp 远程代码执行 | CVE-2022-23881 | 🔴 代码执行 | ZZZCMS 建站系统 |
| 4538 | MovableType xmlrpc 远程命令执行 | CVE-2021-20837 | 🔴 命令执行 | MovableType 博客系统 |
| 4539 | SCIMono 远程代码执行 | CVE-2021-21479 | 🔴 代码执行 | SCIMono 身份管理 |
| 4540 | Intel AMT 配置绕过 | CVE-2017-5689 | 🔴 权限绕过 | Intel 主动管理技术 |
| 4541 | Zoho ManageEngine PasswordManager XML 反序列化 | CVE-2022-35405 | 🔴 代码执行 | Zoho 密码管理器 |
| 4549 | YouPHPTube Encoder 远程命令执行 | CVE-2019-5127 | 🔴 命令执行 | YouPHPTube 视频平台 |
| 4550 | PrestaShop Mega Menu Pro 代码执行 | CVE-2018-8823 | 🔴 代码执行 | PrestaShop 电商系统 |
| 4552 | PEPM 系统 Cookie 反序列化 RCE | — | 🔴 代码执行 | PEPM 企业绩效管理 |
| 4553 | SPD 精益化物资管理平台 Freemarker 模板注入 | — | 🔴 代码执行 | SPD 物资管理云平台 |
| 4554 | pgAdmin 未授权命令执行 | CVE-2022-4223 | 🔴 命令执行 | pgAdmin 数据库管理 |
| 4512 | Cacti 不安全反序列化 | CVE-2023-30534 | 🔴 代码执行 | Cacti 网络监控 |
| 4513 | DataGear FreeMarker 模板注入 | CVE-2023-7299 | 🔴 注入 | DataGear 数据可视化 |
| 4510 | Scrapyd 未授权访问 RCE | CVE-2018-9980 | 🔴 代码执行 | Scrapyd 爬虫管理 |
2.2 🟡 中风险规则(12 条)
| 规则编号 | CVE 编号 | 漏洞类型 | 影响系统 |
|---|---|---|---|
| 4546 | CVE-2017-3164 | SSRF | Apache Solr |
| 4547 | CVE-2021-22214 | SSRF | GitLab CI |
| 4548 | CVE-2021-28854 | 信息泄露 | VICIdial |
| 4551 | CVE-2020-6637 | SQL 注入 | openSIS 学校管理 |
| 4542 | CVE-2020-10770 | SSRF | Keycloak |
| 4543 | CVE-2021-21287 | SSRF | MinIO |
| 4544 | CVE-2021-41266 | 权限绕过 | MinIO Console |
| 4545 | CVE-2021-33036 | 权限绕过 | Hadoop YARN |
| 4511 | CVE-2023-29922 | 权限绕过 | Powerjob |
| 4505 | CVE-2023-30625 | SQL 注入 | Rudder Server |
| 4492 | — | 信息泄露 | 备份文件扫描 |
| 4535 | CVE-2022-24627 | SQL 注入 | AudioCodes |
2.3 🟢 低风险规则(8 条)——XSS 基础规则
| 规则编号 | 规则名称 | 说明 |
|---|---|---|
| 4500 | globalThis_xss | 检测利用 globalThis 对象字符拼接的 XSS |
| 4501 | parent_xss | 检测使用 parent 对象的 XSS |
| 4502 | top_function_xss | 检测利用 top 函数的 XSS |
| 4503 | self_function_xss | 检测利用 self 函数的 XSS |
| 4504 | this_function_xss | 检测利用 this 函数的 XSS |
| 4506 | window_xss | 检测利用 window 对象属性访问的 XSS |
| 4507 | frames_xss | 检测利用 frames 构造的 XSS |
| 4508 | button_xss | 检测 button 相关的 XSS |
| 4509 | basic_xss | 检测 XSS 基础 payload |
这批 XSS 基础规则是 JavaScript 原型链级别检测,覆盖了各种主流浏览器 XSS bypass 手法,对所有网站都有效。
三、重点漏洞深度解析
3.1 规则 4540:Intel AMT 配置绕过(CVE-2017-5689)
这是本次更新中最值得关注的漏洞之一。
| 项目 | 内容 |
|---|---|
| CVE 编号 | CVE-2017-5689 |
| 风险等级 | 🔴 高风险 |
| 漏洞类型 | 权限绕过 |
| 影响设备 | Intel 主动管理技术(AMT)v6 ~ v11.6 |
| CVSS 评分 | 9.8(接近满分) |
| 漏洞出现时间 | 2017 年(距今已 9 年仍未绝迹) |
| 攻击姿势 | 构造特定 Digest 认证 realm 值 + 置空 response 字段 |
为什么这个 9 年前的漏洞还在打?
企业服务器带 Intel AMT 芯片 → 出厂默认开启
管理员忘记关闭 → 暴露在公网
攻击者扫描 → 发现 AMT 端口(16992/16993/623)
CVE-2017-5689 直接绕过登录 → 完全控制服务器
Intel AMT 是芯片级管理功能,可以通过网络远程开关机、重装系统。一旦被攻破,等同于物理接触服务器。 这也是为什么 2026 年还有人在扫这个漏洞的原因。
防御措施:
bash
# 1. BIOS 中禁用 Intel AMT
重启 → 按 F2/Del 进入 BIOS → 安全 → Intel AMT → 禁用
# 2. 防火墙封禁 AMT 端口
firewall-cmd --permanent --remove-port=16992/tcp
firewall-cmd --permanent --remove-port=16993/tcp
firewall-cmd --permanent --remove-port=623/tcp
firewall-cmd --reload
# 3. 如果必须使用 AMT,升级固件到最新版
3.2 规则 4541:Zoho ManageEngine PasswordManager 反序列化 RCE(CVE-2022-35405)
| 项目 | 内容 |
|---|---|
| CVE 编号 | CVE-2022-35405 |
| 风险等级 | 🔴 高风险 |
| 漏洞类型 | XML 反序列化 → 远程代码执行 |
| 影响范围 | Zoho ManageEngine Password Manager Pro / PAM360 / Access Manager Plus |
| 攻击方式 | 发送恶意 XML payload 到目标接口触发反序列化 |
为什么企业级密码管理器漏洞这么危险?
Zoho ManageEngine PasswordManager ≈ 企业密码保险柜
里面存着:服务器 root 密码、数据库密码、API Key、SSH 密钥
成功利用该漏洞 → 攻击者获得密码管理器控制权
→ 批量导出所有企业密码 → 横向渗透全部系统
3.3 规则 4547:GitLab CI SSRF(CVE-2021-22214)
| 项目 | 内容 |
|---|---|
| CVE 编号 | CVE-2021-22214 |
| 风险等级 | 🟡 中风险 |
| 漏洞类型 | SSRF(服务器端请求伪造) |
| 影响范围 | GitLab CE/EE(使用 CI lint API 的版本) |
| 攻击方式 | 通过 CI lint API 中的 YAML 远程包含指令发起内网请求 |
攻击链路:
攻击者传入恶意 YAML → 触发 CI lint API
→ API 发起内网请求 → 扫描/攻击内网服务
→ 数据库/Redis/内部 API → 扩大攻击面
GitLab 的 SSRF 漏洞可以让公网攻击转向内网,是典型的”跳板”攻击。
3.4 规则 4545:Hadoop YARN ResourceManager 未授权访问(CVE-2021-33036)
| 项目 | 内容 |
|---|---|
| CVE 编号 | CVE-2021-33036 |
| 风险等级 | 🟡 中风险 |
| 漏洞类型 | 未授权访问 |
| 影响范围 | Hadoop YARN ResourceManager |
| 攻击方式 | 直接提交恶意应用到 YARN 执行 |
攻击后果:
Hadoop YARN ≈ 分布式计算平台
未授权访问 → 任意提交计算任务
→ 攻击者可以在 Hadoop 集群上挖矿/执行任意程序
→ 占用集群资源,产生巨额算力账单
⚠️ 现实中已经发生过多次 Hadoop 集群被植入挖矿木马的案例。
3.5 规则 4543/4544:MinIO 双漏洞(SSRF + OAuth 认证绕过)
本期更新一次性覆盖了 MinIO 的两个漏洞:
| 规则 | CVE 编号 | 类型 | 说明 |
|---|---|---|---|
| 4543 | CVE-2021-21287 | SSRF | MinIO LoginSTS 接口 host 头注入 SSRF,可攻击内网 |
| 4544 | CVE-2021-41266 | 权限绕过 | MinIO Console OAuth2 端点鉴权绕过 |
两个漏洞组合利用:
攻击者先用 SSRF(4543)扫描内网
再配合权限绕过(4544)进入管理面板
最终窃取对象存储中的数据
MinIO 广泛应用于企业私有对象存储,数据泄露风险极高。
3.6 规则 4554:pgAdmin 未授权命令执行(CVE-2022-4223)
| 项目 | 内容 |
|---|---|
| CVE 编号 | CVE-2022-4223 |
| 风险等级 | 🔴 高风险 |
| 漏洞类型 | 未授权远程命令执行 |
| 影响范围 | pgAdmin(PostgreSQL 管理工具) |
| 攻击方式 | 通过 utility_path 参数注入系统命令 |
pgAdmin 部署在公网 → 攻击者无需登录
→ 直接发请求到 utility_path
→ 注入恶意命令(如反弹 shell、写入后门)
→ 服务器被完全控制
四、33 条规则按系统分类速查
如果你的业务使用以下系统,请立即检查:
| 领域 | 系统 | 对应规则 | 风险 |
|---|---|---|---|
| 芯片/固件 | Intel AMT | 4540 | 🔴 |
| 企业密码管理 | Zoho ManageEngine | 4541 | 🔴 |
| 数据库管理 | pgAdmin | 4554 | 🔴 |
| 视频平台 | YouPHPTube | 4549 | 🔴 |
| 电商系统 | PrestaShop | 4550 | 🔴 |
| CMS 内容管理 | ZZZCMS / Zzzcms | 4536, 4537 | 🔴 |
| 博客系统 | MovableType | 4538 | 🔴 |
| 身份管理 | SCIMono | 4539 | 🔴 |
| 网络监控 | Cacti | 4512 | 🔴 |
| 数据可视化 | DataGear | 4513 | 🔴 |
| 爬虫管理 | Scrapyd | 4510 | 🔴 |
| 代码管理 | GitLab | 4547 | 🟡 |
| 大数据 | Hadoop YARN | 4545 | 🟡 |
| 对象存储 | MinIO | 4543, 4544 | 🟡 |
| 搜索引擎 | Apache Solr | 4546 | 🟡 |
| 身份认证 | Keycloak | 4542 | 🟡 |
| 学校系统 | openSIS | 4551 | 🟡 |
| 电话系统 | VICIdial | 4548 | 🟡 |
| 任务调度 | Powerjob | 4511 | 🟡 |
| 设备管理 | AudioCodes | 4535 | 🟡 |
| 物资管理 | SPD 云平台 | 4553 | 🔴 |
| 绩效管理 | PEPM 系统 | 4552 | 🔴 |
| 数据库 | Rudder Server | 4505 | 🟡 |
| 通用 Web 应用 | 所有网站 | 4500-4509 | 🟢 |
五、结合 6 月 23 日和 25 日两次更新看趋势
| 维度 | 6 月 23 日更新 | 6 月 25 日更新 |
|---|---|---|
| 规则数 | 21 条 | 35 条 |
| 高风险比例 | 0% | 42.9% |
| 主要类型 | XSS(100%) | 代码执行 + SSRF + SQL 注入 + 权限绕过 |
| 主要目标 | WordPress 插件、学校系统、IoT | Intel AMT、Zoho、Hadoop、GitLab、MinIO |
| 针对群体 | 个人站长为主 | 企业运维团队 |
趋势解读:百度云防护的规则覆盖范围正在从”个人站长”向”企业级”扩展——6 月 25 日的更新更偏向企业基础设施,如芯片级管理(Intel AMT)、大数据平台(Hadoop)、代码管理(GitLab)等。
六、用户操作指南
6.1 已接入用户
这批规则已自动生效,你可以在后台验证:
百度云防护控制台 → 安全防护 → Web 基础防护 → 规则列表
搜索规则编号:4492 ~ 4554
状态:✅ 已启用
查看拦截记录:
控制台 → 统计报表 → 安全事件
筛选:日期 2026-06-25 至今
筛选:Web 基础防护
建议本周内重点关注:
- 是否有针对 Intel AMT 的扫描(规则 4540)
- 是否有针对 Hadoop/GitLab 的 SSRF 探测(规则 4545/4547)
- 是否有针对 pgAdmin 的命令执行尝试(规则 4554)
6.2 未接入用户自查清单
如果你公司用了以下系统,建议立即自查:
bash
# 1. Intel AMT 检查(BIOS 层面)
# 重启服务器,进入 BIOS 查看 AMT 状态
# 2. Hadoop YARN 端口检查
netstat -an | grep 8088 # ResourceManager Web UI
# 3. MinIO 端口检查
netstat -an | grep 9000 # MinIO API
netstat -an | grep 9001 # MinIO Console
# 4. pgAdmin 端口检查
netstat -an | grep 5050 # pgAdmin
# 5. GitLab 版本检查
cat /opt/gitlab/embedded/service/gitlab-rails/VERSION
七、往期回顾
| 更新日期 | 规则数 | 重点覆盖 |
|---|---|---|
| 2026-06-25 | 35 条 | Intel AMT、Zoho、Hadoop、GitLab、MinIO、pgAdmin(本期) |
| 2026-06-23 | 21 条 | WordPress 插件、学校系统、IoT、KKFileView、WSO2 |
| 2026-06-11 | 40+ 条 | MLflow、Next.js、赛普 EAP、天问物业 ERP |
| 2026-06-09 | 60+ 条 | 路由器、IoT、CMS 高危漏洞 |
八、关于百度云防护 WAF
百度云防护 WAF 的规则库由百度安全团队 7×24 小时维护,平均每 2 周进行一次大规模更新。所有已接入用户自动获得虚拟补丁防护,无需手动配置,不影响业务运行。
主机吧专属福利
通过主机吧商店购买,享 7.5 折优惠 + 免费接入指导:
🔗 https://www.zhujib.com/shop/26864.html
| 福利 | 内容 |
|---|---|
| 💰 价格 | 7.5 折(¥299 → ¥224/月) |
| 🛠️ 接入 | 1 对 1 技术指导 |
| 📞 客服 | 7×24 小时响应 |
| 🔒 规则 | 自动更新,零操作 |
