返回首页

2026 年 3 月顶级 CVE:Cisco 和 Langflow 中的 RCE

2026 年 3 月关键 CVE 概述:Cisco FMC 中的反序列化 (CVSS 10)、Langflow 和 Chrome 零日漏洞中的 RCE、Trivy 入侵。活跃利用、KEV CISA、中高级缓解步骤。

🚨 2026 年 3 月关键 CVE:从 Cisco RCE 到 Trivy 攻击
Advertisement 728x90

2026年3月顶级CVE:思科反序列化到Trivy供应链攻击

2026年3月,漏洞利用事件激增,攻击者往往在披露数小时内即发起攻击。目标直指AI平台和供应链。本文盘点CVSS 8.7+评分且确有实战利用的关键CVE。

思科安全防火墙管理中心反序列化漏洞

CVE-2026-20131 (CVSS 10.0 危急)

思科FMC Web界面存在漏洞,攻击者无需认证即可反序列化恶意Java对象。影响所有版本,包括思科安全云控制台。Interlock组织从2026年1月26日起利用此零日漏洞;CISA于3月22日将其纳入KEV目录,设定期限。

Google AdInline article slot

利用方式: 发送含序列化对象的POST请求,即可触发root权限RCE。

影响:

  • 篡改防火墙配置。
  • 拦截流量并窃取数据。
  • 勒索软件切入点。

修复措施:

Google AdInline article slot
  • 立即修补FMC。
  • 将管理界面置于零信任架构后隔离。
  • 审计日志中反序列化负载(参考AWS IoC)。

Langflow无需认证RCE漏洞

CVE-2026-33017 (CVSS 9.3 危急)

这款可视化AI代理平台(GitHub超14.5万星)在/api/v1/build_public_tmp/{flow_id}/flow端点存在漏洞。JSON负载中的Python代码通过exec()无沙箱执行。影响≤1.8.2版本。Sysdig在3月17日公告仅20小时后即发现利用。

利用方式: 单POST请求,在节点定义中植入恶意代码。

Google AdInline article slot

影响:

  • 进程权限RCE。
  • 窃取密钥(OpenAI API密钥、数据库密码、SSH)。
  • 攻击集成ML流水线。

修复措施:

  • 升级至1.9.0+(JFrog确认1.8.2仍易受攻击)。
  • 轮换所有环境密钥。
  • 为Langflow添加FW/代理认证。
  • 监控/api/v1/ POST请求及外发流量。

Chrome零日漏洞:Skia与V8缺陷

CVE-2026-3909 (CVSS 8.7 高) — Skia(2D渲染)越界写入。

CVE-2026-3910 (CVSS 8.7 高) — V8(JS/WebAssembly)类型混淆。

谷歌3月10日确认活跃利用;CISA KEV期限为3月27日。2026年Chrome第三零日。

利用方式: 恶意HTML/JS页面(水坑攻击或恶意广告)。

影响:

  • 渲染进程代码执行:窃取Cookie和会话。
  • CI/CD中无头Chrome风险。
  • 需沙箱逃逸提权。

修复措施:

  • 更新至Chrome 146.0.7680.75+。
  • 修补基于Chromium的浏览器(Edge、Brave)。
  • 清点无头实例。
  • 启用自动更新。

Aqua Trivy供应链入侵

CVE-2026-33634 (CVSS 9.4 危急)

3月19日,TeamPCP入侵开发者账户,向trivy-action GitHub Action强制推送恶意标签。窃取CI/CD密钥(令牌、SSH、云凭证)。影响Docker镜像及PyPI LiteLLM。

利用方式: Action运行时外泄环境密钥。

影响:

  • 获取AWS/GCP/Azure凭证。
  • Docker Hub上恶意Trivy镜像。
  • 波及LLM库。

修复措施:

  • 审计3月19日后CI/CD运行。
  • 轮换所有密钥。
  • 验证Trivy镜像。
  • 按SHA固定GitHub Action。

微软周二补丁:AI-XSS与Office RCE

修补79个CVE,其中8个危急。亮点:

CVE-2026-26144 (CVSS 8.7 高) — Excel Copilot Agent XSS,用于隐秘数据外泄。

利用方式: 恶意XLSX触发Copilot发送数据。

CVE-2026-26110/26113 (CVSS 8.6 高) — Office无效指针/类型混淆RCE。

Nginx UI及其他

Nginx UI: 无认证备份转储(RCE风险)。

Grafana: SQL注入经SQL表达式致RCE。

GNU InetUtils telnetd: 缓冲区溢出。

Android: 高通零日。

关键要点

  • 创纪录快速利用:Langflow仅20小时,无公开PoC。
  • 供应链遭重创:Trivy、LiteLLM。
  • AI定向攻击:Langflow exec()、Excel Copilot XSS。
  • CISA KEV优先:思科、Chrome——立即修补。
  • CI/CD无头Chrome:易被忽视风险。

— Editorial Team

Advertisement 728x90

继续阅读