在日本流行的學習管理系統 (LMS) Digital Knowledge KnowledgeDeliver存在一個現已修復的高危險安全漏洞，該漏洞被用作零日攻擊，以傳播 Godzilla web shell，並最終促成 Cobalt Strike Beacon 的部署。

此漏洞編號為CVE-2026-5426（CVSS 評分：7.5），源自於使用了硬編碼的 ASP.NET 機器金鑰，導致攻擊者透過 ViewState 反序列化攻擊實現未經驗證的遠端程式碼執行。微軟在 2025 年 2 月首次記錄了攻擊者濫用公開揭露的 ASP.NET 機器金鑰的情況。

此安全漏洞影響了 2026 年 2 月 24 日之前部署的 Digital Knowledge KnowledgeDeliver。值得注意的是，Sitecore Experience Manager (XM)、Gladinet CentreStack 和 TrioFox中的類似漏洞也已被攻擊者利用。

問題的根源在於 KnowledgeDeliver 安裝依賴供應商提供的標準化 web.config 文件，該文件包含 ASP.NET 框架用於加密和簽署資料（包括 ViewState 有效負載）的硬編碼 machineKey 值。因此，如果威脅行為者設法從一個部署中取得金鑰，就可以利用這些金鑰來入侵其他面向網際網路的 KnowledgeDeliver 實例。

谷歌表示：有效載荷使用包含被入侵組織名稱的密鑰進行加密，這表明威脅行為者專門針對目標組織準備了此有效載荷。KnowledgeDeliver漏洞的利用凸顯了在部署範本中使用共用金鑰的嚴重風險。單一金鑰洩漏就可能危及整個部署生態系統。透過實施唯一金鑰和強大的端點監控，企業可以抵禦這些反序列化攻擊。

資料來源：https://thehackernews.com/2026/05/knowledgedeliver-lms-flaw-exploited-to.html