#command-injection
9 articles
2026年4月14日至5月11日期间,ZCyberNews在命令注入标签下发布了10篇文章。报道涵盖4个严重、5个高危和1个中危问题,主要CVE包括CVE-2026-31246(CVSS 9.8)、CVE-2021-47949(CVSS 8.8)、CVE-2026-3854(CVSS 8.7)、CVE-2026-8264(CVSS 6.5)和CVE-2026-8265(CVSS 6.5)。受影响行业涉及软件开发、技术、电信、会议中心及消费领域,影响范围覆盖全球多个地区。
CRITICALGPT-Pilot 命令注入漏洞 CVE-2026-31246 允许用户执行
CVE-2026-31246(CVSS 9.8)在 GPT-Pilot 的 Executor.run() 中将未经验证的用户输入传递给 asyncio.createsubprocessshell(),使得在项目...期间可以进行任意命令注入
HIGHTenda AC6 命令注入漏洞 CVE-2026-8263 允许攻击者执行
CVE-2026-8263 (CVSS 5.8) 在 Tenda AC6 固件 15.03.06.49multiTDE01 中允许未经认证的远程操作系统命令注入,通过 /goform/WifiExtraSet 端点。
HIGHTenda AC6 路由器漏洞使远程命令注入成为可能
Tenda AC6固件15.03.06.23中存在两个命令注入漏洞,允许远程攻击者通过getLogFile和formWifiApScan函数执行任意操作系统命令。
HIGHCyberPanel 2.1 漏洞允许已认证攻击者执行远程代码
CVE-2021-47949 (CVSS 8.8) 在 CyberPanel 2.1 中允许已认证攻击者通过文件管理器控制器端点的符号链接攻击读取任意文件并执行代码。
MEDIUMCVE-2024-30167: Atlona Matrix Switcher 缺陷允许认证用户
CVE-2024-30167 (CVSS 6.3): 认证用户可以通过发送特制的POST请求到/cgi-bin/time.cgi,在Atlona AT-OME-MS42 Matrix Switcher 1.1.2上以root权限执行任意命令。
HIGHGitHub CVE-2026-3854 RCE漏洞可通过单个Git推送利用
CVE-2026-3854(CVSS 8.7)允许具有推送权限的认证用户通过精心制作的git推送命令在GitHub.com和GitHub Enterprise Server上实现远程代码执行。
CRITICAL针对FortiSandbox关键命令注入漏洞的PoC漏洞利用代码发布
针对CVE-2026-39808的PoC漏洞利用代码已经发布,这是一个Fortinet FortiSandbox中的关键命令注入漏洞。该漏洞允许未经身份验证的攻击者以root身份执行任意操作系统命令。
CRITICALTP-Link 路由器漏洞被 Mirai 僵尸网络变种利用
攻击者正在利用 CVE-2023-33538,这是 TP-Link Archer AX21 路由器中的一个命令注入漏洞,来部署 Mirai 僵尸网络的一个变种。这场活动劫持设备进行 DDoS 攻击和凭证盗窃。
HIGHPHP Composer 严重漏洞允许通过 Perforce 驱动远程命令执行
PHP Composer 的 Perforce 驱动中存在两个高严重性的命令注入漏洞(CVE-2026-40176,CVE-2026-40177),在包操作期间允许在开发者系统上执行任意命令。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。