KnowledgeDeliver零時差漏洞CVE-2026-5426部署Godzilla Webshell
日本學習管理系統 KnowledgeDeliver 存在 CVE-2026-5426(CVSS 9.1),由於所有客戶部署使用完全相同的 ASP.NET 機器金鑰,攻擊者可從任一伺服器取得金鑰後入侵所有暴露於網際網路的主機,並部署 Godzilla Webshell(BlueBeam)。
漏洞詳情
| 項目 | 內容 |
|---|---|
| CVE | CVE-2026-5426 |
| CVSS | 9.1(重大) |
| 漏洞類型 | ASP.NET ViewState反序列化 → RCE |
| 根本原因 | 所有客戶部署共用相同機器金鑰 |
| 影響範圍 | 2026年2月24日前部署的 KnowledgeDeliver |
| 修補日期 | 2026年2月24日(新版部署工具) |
| 通報機構 | Mandiant(2026年1月19日) |
攻擊鏈
- 未身分驗證 → ASP.NET ViewState 反序列化 → RCE
- 植入 Godzilla(BlueBeam)Webshell(.NET,純記憶體執行)
icacls對 IIS 伺服器所有使用者授予完整存取- 竄改平台 JavaScript 顯示偽造資安警示
- 誘騙用戶下載 Cobalt Strike Beacon
共用金鑰高風險
由於不同客戶部署採用完全相同的金鑰,若攻擊者從任一伺服器取得金鑰,就能入侵所有暴露在網際網路的 KnowledgeDeliver 主機。
來源文章
相關頁面
- digital-knowledge — 系統開發商