/
Starlette框架身份验证绕过漏洞波及FastAPI及AI工具生态
Starlette开源Python框架存在严重安全漏洞(CVE-2026-48710),攻击者可通过在Host请求头中插入单个特殊字符(斜杠、问号或井号),绕过身份验证和访问控制,无需密码即可访问受保护资源。该漏洞影响基于FastAPI构建的模型服务、API网关、AI代理框架等众多项目,在特定条件下可进一步导致SSRF乃至远程代码执行。目前官方已发布Starlette 1.0.1修复版本。
思科警告SD-WAN漏洞遭实际利用 严重性达最高级
思科披露了影响Catalyst SD-WAN Controller与SD-WAN Manager平台的最高严重性身份验证绕过漏洞(CVE-2026-20182,CVSS 10.0),该漏洞已于2026年5月被发现遭到有限利用。攻击者可通过发送构造的控制连接请求,绕过身份验证并获取管理员权限,进而操控网络配置。目前已有软件更新修复该漏洞,CISA已将其列入已知利用漏洞目录,无可用临时缓解措施,建议立即升级至修复版本。
攻击者绕过SSO安全防护攻击FortiGate防火墙
安全公司Arctic Wolf警告称,攻击者已找到绕过SSO保护的方法,正在对FortiGate防火墙进行静默重新配置和数据窃取。自1月15日起发现的自动化恶意活动通过被入侵的SSO账户,修改防火墙设置、创建后门管理员用户并窃取配置文件。攻击利用两个关键身份验证绕过漏洞,尽管Fortinet已发布补丁,但管理员报告FortiOS 7.4.10未完全修复问题。
IBM API Connect关键漏洞可导致身份验证绕过
IBM紧急呼吁用户修补API Connect平台中的关键漏洞CVE-2025-13915,该漏洞可能允许远程攻击者绕过身份验证。漏洞影响10.0.8.0至10.0.8.5版本及10.0.11.0版本,无需用户交互即可获得未授权访问。专家指出这不仅是安全缺陷,更暴露了企业架构中的信任假设问题。IBM已提供临时修复程序,建议无法安装修复的用户禁用开发者门户的自助注册功能。
京公网安备 11010802021500号
