新发布SkillSec:把 Skills 安全从恶意检测,升维到能力审计SkillSec了解更多 →
← 返回情报中心
SECURITY INTEL · DAILYRSS

2026-07-16 每日安全情报

共 6 条最高威胁 10.0(超危)CSSA 独家 1 · CVE 2 · 投毒 3

CSSA 独家预警1

CSSA 独家预警10.0 超危

QwenPaw控制台恶意插件上传导致远程代码执行

攻击者可利用未实施严格校验的插件上传接口,构造携带恶意代码的归档文件进行提交。服务端因缺乏文件类型白名单管控与加载沙箱隔离,将直接反序列化或动态执行上传内容,进而触发底层命令注入。该缺陷具备网络可达特征且无需前置认证,成功利用后将完全控制宿主机环境,致使核心资产失陷与业务连续性中断。

组件
QwenPaw是一款面向人工智能体开发与管理的开源框架,其核心架构采用前后端分离设计,前端控制台提供可视化交互界面,后端依托Python运行时环境支撑插件化扩展机制。该组件旨在通过模块化插件加载流程实现功能敏捷迭代,为开发者提供便捷的模型部署、任务编排与接口调试能力,并在容器化环境中保障服务的高效调…
类型
Unrestricted Upload of Dangerous File Types (CWE-434)
仓库
处置建议
  • 建议对上传接口实施严格后缀白名单校验,禁用危险类型解析。结合存储隔离策略将文件存于非Web目录,并引入沙箱机制阻断恶意代码加载。

CVE 情报2

CVE-2026-61740CVSS 9.8 超危2026年07月15日

LightRAG API密钥绕过漏洞导致未授权访问

在 LightRAG 1.5.4 版本之前,当部署时设置了 LIGHTRAG_API_KEY 但未设置 AUTH_ACCOUNTS 时,X-API-Key 保护机制可被绕过。由于 lightrag/api/auth.py 会回退到硬编码的 DEFAULT_TOKEN_SECRET,/auth-status 和 /login 端点可生成访客 JWT,且 lightrag/api/utils_api.py 中的 combined_dependency 在检查 API Key 之前会接受有效的访客令牌。远程未认证攻击者可调用受 combined_auth 保护的端点,包括文档读取、上传、删除、图结构修改及查询端点。该漏洞已在 1.5.4 版本中修复。

组件
LightRAG 提供简单快速的检索增强生成(RAG)功能。
风险
  • 未授权数据访问:攻击者可读取、上传或删除敏感文档
  • 系统完整性破坏:攻击者可修改图结构及执行任意查询
  • 远程无认证攻击:攻击者无需任何凭证即可远程触发漏洞,完全绕过身份验证机制
来源
处置建议
  • 立即升级 LightRAG 至 1.5.4 或更高版本
  • 确保部署时正确配置 AUTH_ACCOUNTS 环境变量
  • 监控 API 访问日志,检测异常的未认证请求行为
CVE-2026-62378CVSS 9.0 超危2026年07月16日

RustFS Console PDF预览存储型XSS漏洞导致管理员凭证泄露

在 RustFS Console 0.1.7 至 0.1.10 版本中,其 Web 管理控制台的 components/object/preview-modal.tsx 和 components/object/pdf-viewer.tsx 组件因基于扩展名的 PDF 预览路径校验不足,存在存储型跨站脚本攻击(Stored XSS, CWE-79)安全缺陷。攻击者可以上传包含恶意 HTML 内容的文件并伪装为 .pdf 格式,当管理员在控制台中预览该文件时,恶意脚本将被执行。此漏洞是 CVE-2026-27822 的回归问题,直接导致管理员的 AccessKeyId、SecretAccessKey 和 SessionToken 等敏感凭证暴露。该漏洞影响所有未更新至修复版本(0.1.10 已修复)的 RustFS Console 用户。攻击者需诱导管理员访问或预览恶意文件即可触发漏洞,从而窃取高权限凭证。

组件
RustFS Console 是 RustFS 分布式文件系统的 Web 管理控制台,用于提供文件管理、预览及系统配置等可视化操作功能。
风险
  • 管理员凭证完全泄露:攻击者可窃取管理员的 AccessKeyId、SecretAccessKey 和 SessionToken,从而完全接管文件系统管理权限
  • 存储型持久化攻击:恶意脚本存储在服务器端,任何访问该预览页面的用户(尤其是管理员)都会受到攻击,无需每次重新注入
  • 横向移动与数据篡改:利用窃取的凭证,攻击者可进一步访问后端存储,读取、修改或删除敏感数据,甚至植入后门
来源
处置建议
  • 立即升级 RustFS Console 至 0.1.10 或更高版本以应用官方修复补丁
  • 对上传文件进行严格的内容类型校验,不仅依赖扩展名,还需检查文件魔数(Magic Number)
  • 在预览功能中启用沙箱隔离机制,禁止执行任何脚本代码

投毒情报3

投毒情报npm2026年07月16日

selparsecss-selector@1.1.0 被标记为恶意组件

该版本被发现与恶意活动相关域名通信并执行恶意命令,请立即排查依赖并锁定版本。

MD5
7b26c27085e26ae23da8d6bf7429d00b
投毒情报pypi2026年07月16日

pylogora@0.7.8 被标记为恶意组件

该版本被发现与恶意活动相关域名通信并执行恶意命令,请立即排查依赖并锁定版本。

MD5
c00b8275ed32a1a3de7b753688d74e78
投毒情报PyPI2026年07月16日

qwen-asr-pvt@0.0.6 被标记为恶意组件

该版本被发现与恶意活动相关域名通信并执行恶意命令,请立即排查依赖并锁定版本。

MD5
50ec8bbc99da8482a31b1bd86b739a23