2026年1月威胁情报：两大高危漏洞遭利用

原创

qife122

发布于 2026-01-11 12:20:56

3540

威胁情报新闻 2026年1月

2026年1月

威胁情报部门由全球威胁研究人员和数据科学家团队组成，结合专有的数据分析和机器学习技术，分析全球规模最大、最多样化的威胁数据集合之一。研究团队提供战术性威胁情报，为弹性的威胁检测与响应提供动力——即使组织的攻击面在扩大、技术在演进、对手在不断改变其战术、技术与程序。

威胁情报更新提供最新的威胁新闻，包括最近对某中心检测功能的更新以及在开放威胁交换平台发布的新威胁情报。

威胁情报新闻

MongoBleed：正被积极利用的MongoDB高危漏洞

2025年12月19日，披露了MongoDB中一个名为MongoBleed（CVE-2025-14847） 的严重漏洞，影响了大多数MongoDB部署。该漏洞被评为CVSSv4 8.7分，允许未经身份验证的攻击者泄露未初始化的堆内存，从而暴露密码和API密钥等敏感数据。公开漏洞利用于12月25日出现，到12月28日，已确认存在广泛利用。尽管紧急打补丁，但12月30日的扫描显示，仍有近70% 的公开可访问实例处于易受攻击状态，使数千个组织面临风险。目前有超过30万台面向互联网的MongoDB服务器，且利用活动正在进行中，风险迫在眉睫且影响重大。

MongoBleed影响从4.4到8.2的版本，修补程序已在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中提供。敦促组织立即升级或应用临时缓解措施，例如禁用zlib压缩请求并实施严格的网络分段（从互联网屏蔽TCP/27017端口）。除了修补，检测和响应也至关重要：取证指标包括通过db.serverStatus().asserts和FTDC遥测数据出现的用户断言激增。

React2Shell（CVE-2025-55182）：React.js中正被积极利用的严重RCE漏洞

2025年12月3日，在React Server Components中披露了一个严重且未经身份验证的远程代码执行漏洞 CVE-2025-55182（React2Shell），其CVSS v3评分为10.0，CVSS v4评分为9.3。该漏洞由研究人员报告，允许攻击者通过单个HTTP请求执行任意代码，影响Next.js等流行框架。在几天之内，就观察到了广泛的利用活动，包括网络犯罪行为者和疑似间谍组织。已知的活动会部署MINOCAT、SNOWLIGHT、HISONIC和COMPOOD等恶意软件家族，以及XMRIG加密货币挖矿程序。地下论坛迅速传播了PoC代码和扫描工具，加速了武器化进程，包括内存中的Next.js Web Shell和使用Unicode混淆的载荷。

React2Shell影响react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack这些React Server Component包，版本为19.0、19.1.0、19.1.1和19.2.0。组织必须立即修补至19.0.1、19.1.2或19.2.1（或更高）版本以防止RCE，并应用后续补丁（19.2.2–19.2.3）以解决相关漏洞（CVE-2025-55183、CVE-2025-55184、CVE-2025-67779）。其他缓解措施包括部署WAF规则、审计依赖项中是否存在易受攻击的组件，以及监控入侵指标，例如隐藏目录（$HOME/.systemd-utils）、恶意的Shell注入和未经授权的持久化机制。