QwenPaw控制台恶意插件上传导致远程代码执行
攻击者可利用未实施严格校验的插件上传接口,构造携带恶意代码的归档文件进行提交。服务端因缺乏文件类型白名单管控与加载沙箱隔离,将直接反序列化或动态执行上传内容,进而触发底层命令注入。该缺陷具备网络可达特征且无需前置认证,成功利用后将完全控制宿主机环境,致使核心资产失陷与业务连续性中断。
- 建议对上传接口实施严格后缀白名单校验,禁用危险类型解析。结合存储隔离策略将文件存于非Web目录,并引入沙箱机制阻断恶意代码加载。
攻击者可利用未实施严格校验的插件上传接口,构造携带恶意代码的归档文件进行提交。服务端因缺乏文件类型白名单管控与加载沙箱隔离,将直接反序列化或动态执行上传内容,进而触发底层命令注入。该缺陷具备网络可达特征且无需前置认证,成功利用后将完全控制宿主机环境,致使核心资产失陷与业务连续性中断。
CVE-2026-61740CVSS 9.8 超危2026年07月15日在 LightRAG 1.5.4 版本之前,当部署时设置了 LIGHTRAG_API_KEY 但未设置 AUTH_ACCOUNTS 时,X-API-Key 保护机制可被绕过。由于 lightrag/api/auth.py 会回退到硬编码的 DEFAULT_TOKEN_SECRET,/auth-status 和 /login 端点可生成访客 JWT,且 lightrag/api/utils_api.py 中的 combined_dependency 在检查 API Key 之前会接受有效的访客令牌。远程未认证攻击者可调用受 combined_auth 保护的端点,包括文档读取、上传、删除、图结构修改及查询端点。该漏洞已在 1.5.4 版本中修复。
CVE-2026-62378CVSS 9.0 超危2026年07月16日在 RustFS Console 0.1.7 至 0.1.10 版本中,其 Web 管理控制台的 components/object/preview-modal.tsx 和 components/object/pdf-viewer.tsx 组件因基于扩展名的 PDF 预览路径校验不足,存在存储型跨站脚本攻击(Stored XSS, CWE-79)安全缺陷。攻击者可以上传包含恶意 HTML 内容的文件并伪装为 .pdf 格式,当管理员在控制台中预览该文件时,恶意脚本将被执行。此漏洞是 CVE-2026-27822 的回归问题,直接导致管理员的 AccessKeyId、SecretAccessKey 和 SessionToken 等敏感凭证暴露。该漏洞影响所有未更新至修复版本(0.1.10 已修复)的 RustFS Console 用户。攻击者需诱导管理员访问或预览恶意文件即可触发漏洞,从而窃取高权限凭证。
selparsecss-selector@1.1.0 被标记为恶意组件该版本被发现与恶意活动相关域名通信并执行恶意命令,请立即排查依赖并锁定版本。
7b26c27085e26ae23da8d6bf7429d00bpylogora@0.7.8 被标记为恶意组件该版本被发现与恶意活动相关域名通信并执行恶意命令,请立即排查依赖并锁定版本。
c00b8275ed32a1a3de7b753688d74e78qwen-asr-pvt@0.0.6 被标记为恶意组件该版本被发现与恶意活动相关域名通信并执行恶意命令,请立即排查依赖并锁定版本。
50ec8bbc99da8482a31b1bd86b739a23