系统:运行中
← 返回类别

INFRASTRUCTURE

(33)

33 个攻击.

INFRASTRUCTURE MEDIUM NEW

一个请求,一次崩溃:可触发的断言击垮 vLLM 服务器

一个针对 vLLM 中多模态模型的嵌入向量请求会触发内部断言,致命地使整个推理服务器崩溃——一个已于 2026 年 7 月修复的经认证拒绝服务漏洞。

2026-07-17//5 min
INFRASTRUCTURE MEDIUM NEW

不完整的修复:内存地址泄露在 vLLM 的新路由中卷土重来

vLLM 关键图像解析漏洞的修复对 OpenAI 路由做了净化处理,但数周后新增的路由仍会直接回显异常原文,泄露堆地址并重新打开一条绕过 ASLR 的原语。

2026-07-17//6 min
INFRASTRUCTURE CRITICAL NEW

Langflow 批量删除路径遍历:可清除服务器任意目录

Langflow 知识库删除 API 中的路径遍历漏洞,使已认证用户能删除进程可写的任意目录。已在 1.9.0 修复;1.8.4 及更早版本受影响。

2026-07-17//6 min
INFRASTRUCTURE CRITICAL NEW

Azure OpenAI 中的 SSRF:当托管 AI 服务沦为权限提升的中继

2026 年 7 月 2 日,微软披露了 Azure OpenAI 中一个严重的服务端请求伪造(SSRF)漏洞。经过身份验证的用户可迫使该托管服务访问内部端点,并通过网络提升权限。

2026-07-16//5 min
INFRASTRUCTURE CRITICAL NEW

Crawl4AI 的 Docker API:当浏览器配置字段变成未认证远程代码执行

2026 年 7 月的一个漏洞,可通过一款流行 LLM 爬虫的请求字段夹带 Chromium 启动参数,从而在主机上执行命令——无需认证,仅一次 HTTP 请求,CVSS 10.0。

2026-07-16//5 min
INFRASTRUCTURE CRITICAL NEW

ServiceNow AI 平台:沙箱逃逸导致无需认证的代码执行

2026 年 7 月 13 日,ServiceNow 修补了其 AI 平台中的一个严重沙箱逃逸漏洞,未经认证的攻击者可借此在受影响实例上执行代码。这提醒我们:包裹 AI 功能的沙箱是一条安全边界,应当以边界对待。

2026-07-16//5 min
INFRASTRUCTURE CRITICAL NEW

Spring AI 中向量库元数据过滤器是一个注入汇聚点

Spring AI 将用户可控的过滤字符串和文档 ID 直接拼入各后端的原生查询语言,使 RAG 元数据过滤在五种向量库上退化为经典的 SQL 与查询注入。

2026-07-16//5 min
INFRASTRUCTURE CRITICAL NEW

gRPC 上的 pickle:机器人策略服务器的未认证 RCE

Hugging Face 的 LeRobot 通过未认证的 gRPC 以 pickle 传输机器人到策略的推理数据——任何能够到达该端口的主机都可获得远程代码执行。2026 年 6 月的修复彻底移除了 pickle。

2026-07-15//5 min
INFRASTRUCTURE CRITICAL NEW

当图像加载器变成 SSRF:视觉大模型节点上的云元数据窃取

一款流行的开源大模型服务工具中的 SSRF 漏洞,可将视觉模型的图像加载器变成扫描云元数据与内部服务的工具,漏洞披露后数小时内即遭利用。

2026-07-15//6 min
INFRASTRUCTURE MEDIUM NEW

vLLM 结构化输出:一条正则即可冻结推理 worker

2026 年 7 月的一则公告显示,vLLM 结构化输出的正则参数在编译用户模式时没有任何超时限制,一次精心构造的请求即可挂起 worker 并中断服务。已在 0.24.0 修复。

2026-07-15//5 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM 的 MCP 测试端点:一个正被在野利用的命令注入漏洞

LiteLLM 的 MCP 测试端点存在命令注入缺陷,任何代理 API 密钥都可在主机上执行命令。该漏洞已于 2026 年 5 月 8 日修复,并在确认在野利用后于 6 月 8 日被 CISA 列入 KEV 目录。

2026-07-14//5 min
INFRASTRUCTURE CRITICAL NEW

llama.cpp 分布式推理 RPC 后端的未授权远程代码执行

llama.cpp RPC 后端缺失一处边界检查,任何能访问服务器端口的客户端都可读写进程内存并实现远程代码执行。已在 b8492 中修复。

2026-07-10//6 min
INFRASTRUCTURE MEDIUM NEW

亚马逊 MCP 网关注册表中的标识符位 SQL 注入

2026 年 7 月的一份公告修复了亚马逊开源 MCP 网关注册表中的一个已认证 SQL 注入:一个未经过滤的表名位于标识符位置,使调用者能够读取存储的代理 API 密钥。

2026-07-08//5 min
INFRASTRUCTURE MEDIUM NEW

vLLM 语音转写路由在检查大小之前就把整个上传读入内存

2026 年 7 月的公告显示,vLLM 的转写与翻译端点在应用大小限制之前,先把整个音频文件读入内存,可被用来耗尽内存。

2026-07-08//5 min
INFRASTRUCTURE CRITICAL NEW

Langflow 跨租户流程劫持:被攻击者忽视的 9.9 分漏洞

Sysdig 捕获到 Langflow 一处漏洞的首次实际利用:认证用户可执行他人租户的流程并获取其密钥。它的评分高于旁边的 RCE,却几乎无人问津。

2026-07-03//5 min
INFRASTRUCTURE CRITICAL NEW

RAGFlow CVE-2026-45312:一个会执行系统命令的提示词模板

RAGFlow 提示词生成器中的 Jinja2 模板注入,把用户可控字段变成服务器端 RCE。CVSS 9.9,于 2026 年 5 月 9 日披露。

2026-06-20//6 min
INFRASTRUCTURE MEDIUM NEW

vLLM SSRF:当白名单补丁带着同样的解析器缺陷

两份 vLLM 公告把同一个缺陷展示了两次:用一个 URL 解析器校验主机白名单,却用另一个解析器发请求。补丁换了解析器组合,又重新打开了绕过。

2026-06-20//5 min
INFRASTRUCTURE MEDIUM NEW

LangChain Core 路径遍历:遗留 load_prompt 读取任意文件

CVE-2026-34070 让伪造的 prompt 配置经由 load_prompt 遍历文件系统,泄露 .txt/.json/.yaml 中的机密。2026 年 3 月 27 日披露,已在 langchain-core 1.2.22 修复。

2026-06-19//5 min
INFRASTRUCTURE MEDIUM NEW

服务层就是攻击面:vLLM 与 SGLang 中的并发缺陷

2026 年 5 月的模糊测试器 GRIEF 把并发请求轨迹作为输入,在 vLLM 与 SGLang 中发现 15 个服务层缺陷(含 2 个 CVE):跨请求输出污染、「吵闹邻居」式拒绝服务,以及延迟崩溃——无需任何畸形输入。

2026-06-19//7 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-49468:网关自身路由中的 Host 头身份验证绕过

2026 年 6 月 17 日披露的 CVE-2026-49468 允许伪造的 Host 头使 LiteLLM 的鉴权路由与 FastAPI 实际执行的路由不一致——这是 BadHost 在应用层的重演,已在 LiteLLM 1.84.0 中修复。

2026-06-18//5 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-47101→40217:从低权限用户到管理员与 RCE

Obsidian Security 于 2026 年 6 月披露了一条由三个漏洞构成的 LiteLLM 利用链,可将默认低权限用户提升为 proxy_admin 并实现代码执行——对 AI 网关的 CVSS 9.9 级接管。

2026-06-18//6 min
INFRASTRUCTURE CRITICAL NEW

Langflow CVE-2026-5027:未授权写文件升级为 RCE,已遭在野利用

Langflow 的 /api/v2/files 端点存在路径遍历,一个未授权请求即可向磁盘任意位置写入文件。VulnCheck 于 2026 年 6 月 9 日确认在野利用;约 7000 个实例暴露在公网。

2026-06-16//5 min
INFRASTRUCTURE CRITICAL NEW

ChromaToast:ChromaDB 向量数据库中的预认证 RCE

HiddenLayer 于 2026 年 5 月 18 日披露(CVE-2026-45829,CVSS 10.0),表明 ChromaDB 的 Python 服务器会先加载攻击者的 HuggingFace 模型并执行其代码,然后才检查身份认证。

2026-06-12//6 min
INFRASTRUCTURE CRITICAL NEW

暴露的 MCP 服务器成为云接管的跳板

云 MCP 服务器中的命令注入(CVE-2026-5058/5059)让攻击者抵达实例元数据服务、窃取 IAM 角色,并横向渗透整个云账户。

2026-06-12//5 min
INFRASTRUCTURE CRITICAL NEW

多模态输入即攻击面:vLLM 视频解码器远程代码执行(CVE-2026-22778)

CVE-2026-22778 让一个恶意视频 URL 在 vLLM 服务器上变成远程代码执行,它把 PIL 的信息泄露与 FFmpeg JPEG2000 解码器的堆溢出串联起来。已在 0.14.1 修复。

2026-06-12//6 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-42271:MCP 测试端点串联为未授权 RCE

四月披露时只是一个需认证的命令注入,LiteLLM 的 MCP 预览端点一旦与 Starlette 的 BadHost 绕过串联,便成为未授权 RCE——2026 年 6 月 8 日被 CISA 列入 KEV。

2026-06-10//5 min
INFRASTRUCTURE CRITICAL NEW

Langflow 的公开构建端点:20 小时内被武器化的未授权 RCE

CVE-2026-33017 将 Langflow 的公开流程构建端点变成未授权远程代码执行。该漏洞于 2026 年 3 月 17 日披露,20 小时内即被野外利用——早于任何公开 PoC 出现。

2026-06-07//5 min
INFRASTRUCTURE CRITICAL NEW

SGLang 的 ZMQ broker:pickle 反序列化导致未授权 RCE

2026 年 3 月 12 日披露的三个 CVE,将 SGLang 的 pickle.loads() 调用变成了未授权远程代码执行。修复随 v0.5.10 发布——但真正的教训是:在网络套接字上使用 pickle,本身就是设计层面的 RCE。

2026-06-04//6 min
INFRASTRUCTURE CRITICAL NEW

LightLLM CVE-2026-26220:服务端强制对外暴露的 WebSocket 上的 pickle 反序列化

CVE-2026-26220(2026 年 2 月 15 日披露)将 pickle.loads() 置于 LightLLM prefill-decode 模式的两个未认证 WebSocket 端点上——而服务端拒绝绑定 localhost,因此攻击面始终面向网络。

2026-06-02//5 min
INFRASTRUCTURE CRITICAL NEW

MCPwn (CVE-2026-33032):nginx-ui 的 MCP 接口拱手让出整个 Web 服务器

nginx-ui ≤ 2.3.3 的一个未鉴权 MCP 接口允许任意网络攻击者改写 nginx 配置并重启服务。CVSS 9.8,2026 年 4 月 15 日公开披露,补丁发布数小时内就在野利用。

2026-05-29//6 min
INFRASTRUCTURE CRITICAL

BadHost(CVE-2026-48710):Host 头中一个字符即可绕过 Starlette、vLLM 与 FastMCP 的鉴权

X41 D-Sec 于 2026 年 5 月 22 日披露 Starlette < 1.0.1 中的关键鉴权绕过。HTTP Host 头中仅插入一个 /、? 或 # 字符,即可使实际路由的路径与中间件看到的路径产生不一致,导致 vLLM、LiteLLM、FastMCP 及成千上万基于 FastAPI 的 AI 智能体的基于路径的授权失效。

2026-05-27//8 分钟
INFRASTRUCTURE CRITICAL

LiteLLM CVE-2026-42208:AI 网关中的未授权 SQL 注入

2026 年 4 月 20 日披露,全球公告索引后 36 小时即遭利用。CVE-2026-42208 将 LiteLLM 的 Authorization 头部变成对网关所代理的每一个上游模型凭据的直接读取入口。

2026-05-25//6 min
INFRASTRUCTURE CRITICAL

LMDeploy SSRF:当图像加载器劫持整个 AI 推理基础设施

CVE-2026-33626 将 LMDeploy 的 load_image() 变成了通用 SSRF 原语。安全公告公开 12 小时 31 分后,蜜罐就捕获到首次实战利用。

2026-05-22//6 min