QwenPaw控制枱惡意插件上傳導致遠程代碼執行
攻擊者可利用未實施嚴格校驗的插件上傳接口,構造攜帶惡意代碼的歸檔文件進行提交。服務端因缺乏文件類型白名單管控與加載沙箱隔離,將直接反序列化或動態執行上傳內容,進而觸發底層命令注入。該缺陷具備網絡可達特徵且無需前置認證,成功利用後將完全控制宿主機環境,致使核心資產失陷與業務連續性中斷。
- 建議對上傳接口實施嚴格後綴白名單校驗,禁用危險類型解析。結合存儲隔離策略將文件存於非Web目錄,並引入沙箱機制阻斷惡意代碼加載。
攻擊者可利用未實施嚴格校驗的插件上傳接口,構造攜帶惡意代碼的歸檔文件進行提交。服務端因缺乏文件類型白名單管控與加載沙箱隔離,將直接反序列化或動態執行上傳內容,進而觸發底層命令注入。該缺陷具備網絡可達特徵且無需前置認證,成功利用後將完全控制宿主機環境,致使核心資產失陷與業務連續性中斷。
CVE-2026-61740CVSS 9.8 超危2026年07月15日在 LightRAG 1.5.4 版本之前,當部署時設置了 LIGHTRAG_API_KEY 但未設置 AUTH_ACCOUNTS 時,X-API-Key 保護機制可被繞過。由於 lightrag/api/auth.py 會回退到硬編碼的 DEFAULT_TOKEN_SECRET,/auth-status 和 /login 端點可生成訪客 JWT,且 lightrag/api/utils_api.py 中的 combined_dependency 在檢查 API Key 之前會接受有效的訪客令牌。遠程未認證攻擊者可調用受 combined_auth 保護的端點,包括文檔讀取、上傳、刪除、圖結構修改及查詢端點。該漏洞已在 1.5.4 版本中修復。
CVE-2026-62378CVSS 9.0 超危2026年07月16日在 RustFS Console 0.1.7 至 0.1.10 版本中,其 Web 管理控制枱的 components/object/preview-modal.tsx 和 components/object/pdf-viewer.tsx 組件因基於擴展名的 PDF 預覽路徑校驗不足,存在存儲型跨站腳本攻擊(Stored XSS, CWE-79)安全缺陷。攻擊者可以上傳包含惡意 HTML 內容的文件並偽裝為 .pdf 格式,當管理員在控制枱中預覽該文件時,惡意腳本將被執行。此漏洞是 CVE-2026-27822 的迴歸問題,直接導致管理員的 AccessKeyId、SecretAccessKey 和 SessionToken 等敏感憑證暴露。該漏洞影響所有未更新至修復版本(0.1.10 已修復)的 RustFS Console 用户。攻擊者需誘導管理員訪問或預覽惡意文件即可觸發漏洞,從而竊取高權限憑證。
selparsecss-selector@1.1.0 被標記為惡意組件該版本被發現與惡意活動相關域名通信並執行惡意命令,請立即排查依賴並鎖定版本。
7b26c27085e26ae23da8d6bf7429d00bpylogora@0.7.8 被標記為惡意組件該版本被發現與惡意活動相關域名通信並執行惡意命令,請立即排查依賴並鎖定版本。
c00b8275ed32a1a3de7b753688d74e78qwen-asr-pvt@0.0.6 被標記為惡意組件該版本被發現與惡意活動相關域名通信並執行惡意命令,請立即排查依賴並鎖定版本。
50ec8bbc99da8482a31b1bd86b739a23