新發布SkillSec:把 Skills 安全從惡意檢測,升維到能力審計SkillSec瞭解更多 →
← 返回情報中心
SECURITY INTEL · DAILYRSS

2026-07-16 每日安全情報

共 6 條最高威脅 10.0(超危)CSSA 獨家 1 · CVE 2 · 投毒 3

CSSA 獨家預警1

CSSA 獨家預警10.0 超危

QwenPaw控制枱惡意插件上傳導致遠程代碼執行

攻擊者可利用未實施嚴格校驗的插件上傳接口,構造攜帶惡意代碼的歸檔文件進行提交。服務端因缺乏文件類型白名單管控與加載沙箱隔離,將直接反序列化或動態執行上傳內容,進而觸發底層命令注入。該缺陷具備網絡可達特徵且無需前置認證,成功利用後將完全控制宿主機環境,致使核心資產失陷與業務連續性中斷。

組件
QwenPaw是一款面向人工智能體開發與管理的開源框架,其核心架構採用前後端分離設計,前端控制枱提供可視化交互界面,後端依託Python運行時環境支撐插件化擴展機制。該組件旨在通過模塊化插件加載流程實現功能敏捷迭代,為開發者提供便捷的模型部署、任務編排與接口調試能力,並在容器化環境中保障服務的高效調…
類型
Unrestricted Upload of Dangerous File Types (CWE-434)
倉庫
處置建議
  • 建議對上傳接口實施嚴格後綴白名單校驗,禁用危險類型解析。結合存儲隔離策略將文件存於非Web目錄,並引入沙箱機制阻斷惡意代碼加載。

CVE 情報2

CVE-2026-61740CVSS 9.8 超危2026年07月15日

LightRAG API密鑰繞過漏洞導致未授權訪問

在 LightRAG 1.5.4 版本之前,當部署時設置了 LIGHTRAG_API_KEY 但未設置 AUTH_ACCOUNTS 時,X-API-Key 保護機制可被繞過。由於 lightrag/api/auth.py 會回退到硬編碼的 DEFAULT_TOKEN_SECRET,/auth-status 和 /login 端點可生成訪客 JWT,且 lightrag/api/utils_api.py 中的 combined_dependency 在檢查 API Key 之前會接受有效的訪客令牌。遠程未認證攻擊者可調用受 combined_auth 保護的端點,包括文檔讀取、上傳、刪除、圖結構修改及查詢端點。該漏洞已在 1.5.4 版本中修復。

組件
LightRAG 提供簡單快速的檢索增強生成(RAG)功能。
風險
  • 未授權數據訪問:攻擊者可讀取、上傳或刪除敏感文檔
  • 系統完整性破壞:攻擊者可修改圖結構及執行任意查詢
  • 遠程無認證攻擊:攻擊者無需任何憑證即可遠程觸發漏洞,完全繞過身份驗證機制
來源
處置建議
  • 立即升級 LightRAG 至 1.5.4 或更高版本
  • 確保部署時正確配置 AUTH_ACCOUNTS 環境變量
  • 監控 API 訪問日誌,檢測異常的未認證請求行為
CVE-2026-62378CVSS 9.0 超危2026年07月16日

RustFS Console PDF預覽存儲型XSS漏洞導致管理員憑證泄露

在 RustFS Console 0.1.7 至 0.1.10 版本中,其 Web 管理控制枱的 components/object/preview-modal.tsx 和 components/object/pdf-viewer.tsx 組件因基於擴展名的 PDF 預覽路徑校驗不足,存在存儲型跨站腳本攻擊(Stored XSS, CWE-79)安全缺陷。攻擊者可以上傳包含惡意 HTML 內容的文件並偽裝為 .pdf 格式,當管理員在控制枱中預覽該文件時,惡意腳本將被執行。此漏洞是 CVE-2026-27822 的迴歸問題,直接導致管理員的 AccessKeyId、SecretAccessKey 和 SessionToken 等敏感憑證暴露。該漏洞影響所有未更新至修復版本(0.1.10 已修復)的 RustFS Console 用户。攻擊者需誘導管理員訪問或預覽惡意文件即可觸發漏洞,從而竊取高權限憑證。

組件
RustFS Console 是 RustFS 分佈式文件系統的 Web 管理控制枱,用於提供文件管理、預覽及系統配置等可視化操作功能。
風險
  • 管理員憑證完全泄露:攻擊者可竊取管理員的 AccessKeyId、SecretAccessKey 和 SessionToken,從而完全接管文件系統管理權限
  • 存儲型持久化攻擊:惡意腳本存儲在服務器端,任何訪問該預覽頁面的用户(尤其是管理員)都會受到攻擊,無需每次重新注入
  • 橫向移動與數據篡改:利用竊取的憑證,攻擊者可進一步訪問後端存儲,讀取、修改或刪除敏感數據,甚至植入後門
來源
處置建議
  • 立即升級 RustFS Console 至 0.1.10 或更高版本以應用官方修復補丁
  • 對上傳文件進行嚴格的內容類型校驗,不僅依賴擴展名,還需檢查文件魔數(Magic Number)
  • 在預覽功能中啓用沙箱隔離機制,禁止執行任何腳本代碼

投毒情報3

投毒情報npm2026年07月16日

selparsecss-selector@1.1.0 被標記為惡意組件

該版本被發現與惡意活動相關域名通信並執行惡意命令,請立即排查依賴並鎖定版本。

MD5
7b26c27085e26ae23da8d6bf7429d00b
投毒情報pypi2026年07月16日

pylogora@0.7.8 被標記為惡意組件

該版本被發現與惡意活動相關域名通信並執行惡意命令,請立即排查依賴並鎖定版本。

MD5
c00b8275ed32a1a3de7b753688d74e78
投毒情報PyPI2026年07月16日

qwen-asr-pvt@0.0.6 被標記為惡意組件

該版本被發現與惡意活動相關域名通信並執行惡意命令,請立即排查依賴並鎖定版本。

MD5
50ec8bbc99da8482a31b1bd86b739a23