#python

5 articles

2026年4月至5月期间，技术、研究、人工智能开发及金融服务行业成为一系列严重Python相关漏洞的主要攻击目标。共记录了三项高严重性漏洞和四项关键漏洞，其中最严重的是CVE-2026-39987（CVSS 9.3），其次是CVE-2026-44339（CVSS 8.6）和CVE-2026-31248。这七份报告发布于2026年4月12日至5月12日之间，影响了全球范围内的组织。

Docling XXE 漏洞 CVE-2026-31248 允许攻击者触发 XML 炸弹 DoS

漏洞May 12, 2026

Docling XXE 漏洞 CVE-2026-31248 允许攻击者触发 XML 炸弹 DoS

CVE-2026-31248: Docling METS GBS 后端通过 2.61.0 未能禁用 etree.fromstring() 中的实体解析，通过精心制作的 .tar.gz 归档文件启用 XML 炸弹攻击。

PraisonAI 漏洞允许代理执行任意 Python 工具

漏洞May 9, 2026

PraisonAI 漏洞允许代理执行任意 Python 工具

CVE-2026-44339 (CVSS 8.6) 在 PraisonAI 多代理框架中允许代理解析未声明的工具名称与模块全局变量，从而实现任意 Python 执行。

PyTorch Lightning 在 PyPI 供应链攻击中被入侵

恶意软件Apr 30, 2026

PyTorch Lightning 在 PyPI 供应链攻击中被入侵

威胁行为者在 2026 年 4 月 30 日将恶意版本的 PyTorch Lightning 2.6.2 和 2.6.3 推送到 PyPI，通过一个拼写错误的依赖项 —— Aikido Security, Socket… 窃取凭证。

关键Marimo RCE漏洞在披露后几小时内被利用

漏洞Apr 13, 2026

关键Marimo RCE漏洞在披露后几小时内被利用

Marimo Python笔记本中的关键预认证远程代码执行漏洞（CVE-2026-39987）在公开披露后10小时内被野外利用，对数据科学环境构成严重风险。

VIPERTUNNEL Python 后门通过假DLL和混淆加载器绕过检测

恶意软件Apr 13, 2026

VIPERTUNNEL Python 后门通过假DLL和混淆加载器绕过检测

威胁行为者部署 VIPERTUNNEL，一个 Python 后门，使用假 DLL 和多阶段混淆加载器来建立隐蔽的 SOCKS5 代理隧道，以实现持久的网络访问。

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。