#command-injection
10 articles
本档案收录了2026年4月14日至2026年6月9日期间发布的11篇标记为command-injection的文章,为安全团队提供了该主题在ZCyberNews报道中的聚焦视角。近期报道涉及CVE-2026-31246、CVE-2021-47949及CVE-2026-3854,每篇报告均关联源文章中的具体漏洞背景。受影响范围信号强调全球范围内的软件开发、技术与电信领域,帮助读者在不超出档案数据范围的前提下对比暴露模式。严重程度覆盖包括4篇严重、6篇高危及1篇中等报告。
HIGHCVE-2026-42271: 野外利用LiteLLM漏洞,CISA加入KEV
CISA将其加入已知被利用漏洞目录CVE-2026-42271(CVSS 8.7),在针对BerriAI LiteLLM部署的积极利用证据之后。
CRITICALGPT-Pilot 命令注入漏洞 CVE-2026-31246 允许用户执行
CVE-2026-31246(CVSS 9.8)在 GPT-Pilot 的 Executor.run() 中将未经验证的用户输入传递给 asyncio.createsubprocessshell(),使得在项目...期间可以进行任意命令注入
HIGHTenda AC6 命令注入漏洞 CVE-2026-8263 允许攻击者执行
CVE-2026-8263 (CVSS 5.8) 在 Tenda AC6 固件 15.03.06.49multiTDE01 中允许未经认证的远程操作系统命令注入,通过 /goform/WifiExtraSet 端点。
HIGHTenda AC6 路由器漏洞使远程命令注入成为可能
Tenda AC6固件15.03.06.23中存在两个命令注入漏洞,允许远程攻击者通过getLogFile和formWifiApScan函数执行任意操作系统命令。
HIGHCyberPanel 2.1 漏洞允许已认证攻击者执行远程代码
CVE-2021-47949 (CVSS 8.8) 在 CyberPanel 2.1 中允许已认证攻击者通过文件管理器控制器端点的符号链接攻击读取任意文件并执行代码。
MEDIUMCVE-2024-30167: Atlona Matrix Switcher 缺陷允许认证用户
CVE-2024-30167 (CVSS 6.3): 认证用户可以通过发送特制的POST请求到/cgi-bin/time.cgi,在Atlona AT-OME-MS42 Matrix Switcher 1.1.2上以root权限执行任意命令。
HIGHGitHub CVE-2026-3854 RCE漏洞可通过单个Git推送利用
CVE-2026-3854(CVSS 8.7)允许具有推送权限的认证用户通过精心制作的git推送命令在GitHub.com和GitHub Enterprise Server上实现远程代码执行。
CRITICAL针对FortiSandbox关键命令注入漏洞的PoC漏洞利用代码发布
针对CVE-2026-39808的PoC漏洞利用代码已经发布,这是一个Fortinet FortiSandbox中的关键命令注入漏洞。该漏洞允许未经身份验证的攻击者以root身份执行任意操作系统命令。
CRITICALTP-Link 路由器漏洞被 Mirai 僵尸网络变种利用
攻击者正在利用 CVE-2023-33538,这是 TP-Link Archer AX21 路由器中的一个命令注入漏洞,来部署 Mirai 僵尸网络的一个变种。这场活动劫持设备进行 DDoS 攻击和凭证盗窃。
HIGHPHP Composer 严重漏洞允许通过 Perforce 驱动远程命令执行
PHP Composer 的 Perforce 驱动中存在两个高严重性的命令注入漏洞(CVE-2026-40176,CVE-2026-40177),在包操作期间允许在开发者系统上执行任意命令。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。