情报动态 3

安全 🔴

CVE-2026-40079: Cacti escape_command函数命令注入(CVSS 9.8)

开源监控框架Cacti 1.2.30及更早版本中lib/rrd.php的escape_command()函数实质为空操作,导致图形模板中的text_format值未经充分转义直接传入shell_exec,攻击者可注入任意命令。

安全 🔴

CVE-2025-67038: Lantronix EDS5000 OS命令注入(CVSS 9.8)

Lantronix EDS5000 2.1.0.0R3的HTTP RPC模块在认证失败时直接将用户名拼接到shell命令中,未经任何过滤处理,攻击者可注入任意操作系统命令实现远程控制。

安全 🔴

CVE-2026-34910: Ubiquiti UniFi OS 命令注入漏洞(CVSS 10.0)

Ubiquiti UniFi OS存在输入验证不当漏洞,具有网络访问权限的恶意行为者可利用该漏洞执行命令注入攻击,实现远程代码执行。影响大量企业级网络设备。