文章总结： 本文梳理2026年1月8起安全事件，揭示沙箱逃逸与开源AI框架漏洞爆发趋势。分析n8n、vm2沙箱失效及Chainlit、PyTorch高危漏洞，涵盖未授权代码执行与身份绕过。建议升级修复版本，强化输入校验与权限控制，并对沙箱实施深层审计，应对系统被控及数据泄露风险。 综合评分： 90 文章分类： 漏洞分析,漏洞预警,威胁情报,AI安全

2026年1月网络安全事件小梳理

利刃信安

2026年2月5日 21:30 北京

以下文章来源于秀逗猫 ，作者秀逗猫

秀逗猫 .

Just for Fun.

本文基于公开漏洞报告、厂商分析及权威媒体报道，结合AI辅助写作工具进行内容整合与分析，梳理2026年1月的8起网络安全事件。基于个人视角，重点关注沙箱逃逸、未授权代码执行、身份验证绕过、路径遍历、服务器端请求伪造、安全功能绕过、远程代码执行等核心威胁趋势，揭示开源组件与AI框架漏洞集中爆发、沙箱防护机制频繁失效、老旧协议与未认证攻击风险突出，威胁系统控制权、敏感数据机密性及云环境资产完整性的深层影响。

事件一：jsPDF路径遍历漏洞

安全研究人员披露客户端PDF生成开源JavaScript库jsPDF存在路径遍历漏洞（CVE-2025-68428），该漏洞因库对用户可控的文件路径参数校验不足，攻击者可构造恶意输入实现路径遍历，进而执行未授权文件读取等操作。

相关链接： https://www.endorlabs.com/learn/cve-2025-68428-critical-path-traversal-in-jspdf

技术要点：

1. 漏洞源于jsPDF对用户传入的文件路径参数未做充分净化与校验，未过滤../等路径遍历字符；
2. 攻击者可构造包含路径遍历序列的恶意输入，绕过路径限制，访问或操作服务器端任意文件；
3. 漏洞影响jsPDF的文件相关处理功能，在服务端部署场景下风险较高，可导致敏感文件泄露或恶意文件写入。

缓解策略：

1. 升级jsPDF至官方修复版本，从根源封堵漏洞；
2. 对用户输入的文件路径参数进行严格过滤，移除或拦截../、./等路径遍历字符；
3. 限制jsPDF文件操作的目录范围，仅允许访问指定白名单目录，禁止越权访问；
4. 遵循最小权限原则，降低jsPDF运行环境的文件系统访问权限，减少漏洞利用后的影响范围。

事件二：Fortinet FortiSIEM未授权代码执行漏洞

Fortinet FortiSIEM的phMonitor服务存在未授权参数注入及权限提升漏洞（CVE-2025-64155），攻击者可通过构造恶意TCP请求，绕过输入校验实现任意文件写入与远程代码执行，最终从无权限状态提升至root权限，完全控制目标设备。

相关链接： https://horizon3.ai/attack-research/disclosures/cve-2025-64155-three-years-of-remotely-rooting-the-fortinet-fortisiem/

技术要点：

1. 漏洞核心是phMonitor服务未授权暴露大量处理函数，攻击者无需认证即可调用handleStorageRequest处理elastic类型请求；
2. 利用cluster_url参数注入curl的–next标志，绕过shell参数防护，将恶意反向shell写入定期执行的phLicenseTool文件，获取admin权限；
3. 通过修改root定时执行的、admin可写的redishb.sh文件，实现权限从admin提升至root；
4. 漏洞依赖服务对用户输入校验不足、脚本执行权限配置不当，以及curl工具的参数链式执行特性。

缓解策略：

1. 按官方指引升级FortiSIEM至对应修复版本，如7.1.x升级至7.1.9及以上、7.3.x升级至7.3.5及以上等；
2. 监控/opt/phoenix/log/phoenix.logs日志，排查含PHL_ERROR、恶意URL及异常文件写入的攻击痕迹；
3. 限制phMonitor服务的网络访问，仅允许信任来源的TCP通信，缩小攻击面；
4. 收紧关键文件（phLicenseTool、redishb.sh等）的写入权限，禁止非授权用户修改；
5. 禁用不必要的服务功能，减少未授权可调用的处理函数，降低漏洞利用风险。

事件三：GNU InetUtils telnetd身份验证绕过漏洞

GNU InetUtils telnetd存在长达11年的高危身份验证绕过漏洞（CVE-2026-24061），源于对USER环境变量的不安全处理，未经身份验证的攻击者可通过恶意注入获取即时root权限，影响嵌入式系统、OT基础设施等大量依赖Telnet的设备，已被CISA列入已知利用漏洞目录。

相关链接： https://www.offsec.com/blog/cve-2026-24061/

技术要点：

1. 漏洞核心是telnetd将客户端可控的USER环境变量未经校验插入/usr/bin/login的命令参数，源于2015年添加的%U占位符机制；
2. 攻击者通过Telnet协议NEW_ENVIRON选项设置USER为-f root，使login命令跳过认证直接授予root shell；
3. 受影响版本为GNU InetUtils telnetd 1.9.3至2.7，CVSS评分为9.8，EPSS评分92.57%，无认证、无交互即可利用；
4. 全球超21.2万台设备运行vulnerable telnetd，约100万台设备开放默认23端口，存在广泛攻击面。

缓解策略：

1. 即时升级GNU InetUtils至2.7-2及以上版本，无法补丁则立即禁用telnetd服务；
2. 防火墙封锁23端口，长期迁移至SSH替代Telnet，移除非必要的telnetd部署；
3. 对依赖Telnet的 legacy 系统实施严格网络分段，通过VPN或访问控制限制访问；
4. 检测telnetd版本（telnetd –version）、服务状态及23端口暴露情况，审计日志中无认证的root登录行为；
5. 暴露的vulnerable系统需按入侵响应流程排查，默认已被入侵并及时处置。

事件四：Chainlit AI框架双重安全漏洞

开源AI框架Chainlit存在两个高危漏洞（合称ChainLeak），分别为任意文件读取（CVE-2026-22218）和服务器端请求伪造（CVE-2026-22219），无需用户交互即可触发，可导致云环境API密钥泄露、敏感文件窃取及云资源接管，影响大量企业级互联网部署实例。

相关链接： https://www.zafran.io/resources/chainleak-critical-ai-framework-vulnerabilities-expose-data-enable-cloud-takeover

技术要点：

1. CVE-2026-22218源于/project/element端点未验证自定义元素的path属性，攻击者可通过构造该属性，读取服务器任意可访问文件，包括环境变量（/proc/self/environ）、LangChain缓存、数据库文件及源代码；
2. CVE-2026-22219存在于SQLAlchemy数据层，攻击者通过自定义元素的url属性注入目标地址，触发服务器发送GET请求，利用SSRF访问内部服务，结合IMDSv1可获取云环境IAM凭证；
3. 漏洞影响Chainlit 2.9.4版本前的所有实例，该框架月下载量约70万次，被企业、学术机构广泛用于AI应用开发，支持与LangChain、AWS Bedrock等主流工具集成；
4. 双重漏洞可组合利用，实现跨租户数据泄露、账号伪造、云环境横向移动等高级攻击。

缓解策略：

1. 立即升级Chainlit至2.9.4及以上版本，从根源修复属性校验缺陷；
2. 使用Zafran组件检测工具识别低于2.9.4的漏洞实例，优先处置互联网暴露资产；
3. 部署Snort签名和Cloudflare WAF规则，拦截针对/project/element端点的恶意PUT请求；
4. 限制Chainlit服务器的文件访问权限，避免敏感路径（如/proc/self/environ）可被读取；
5. 云环境中禁用IMDSv1，启用IMDSv2并严格配置访问控制，防范SSRF导致的凭证泄露。

事件五：微软Office安全功能绕过漏洞

微软Office存在安全功能绕过漏洞（CVE-2026-21509），被俄罗斯关联APT28组织在“Operation Neusploit” campaign中利用，通过诱骗用户打开恶意RTF文件触发漏洞，实现多阶段恶意代码执行，窃取邮件数据并部署Covenant Grunt植入体，微软已发布紧急补丁修复。

相关链接： https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit

技术要点：

1. 漏洞通过特制RTF文件作为攻击载体，以钓鱼附件形式传播，诱骗用户打开后触发漏洞，无需额外用户交互；
2. 存在两种感染链变体，分别部署MiniDoor邮件窃取工具（通过Outlook VBA宏转发邮件）和PixyNetLoader（经COM劫持、计划任务、PNG隐写术加载Covenant Grunt植入体）；
3. 攻击者采用地域限制、User-Agent校验等服务器端规避技术，仅向目标区域发送恶意DLL，还通过XOR加密、动态API解析、沙箱时间检测等手段躲避防护；
4. 漏洞影响多款微软Office版本，APT28借助该漏洞实现持久化控制、数据窃取及横向移动，C2通信滥用Filen API伪装合法流量。

缓解策略：

1. 立即安装微软2026年1月26日发布的紧急补丁，修复漏洞根源；
2. 排查网络和终端中的可疑资产，阻断恶意文件传播；
3. 监控Outlook宏自动加载、COM劫持注册表修改、异常计划任务创建等可疑行为，及时告警；
4. 加强用户安全教育，禁止打开来源不明的RTF/Office附件，尤其是中东欧地区相关的陌生邮件；

事件六：n8n工作流自动化平台双重沙箱逃逸漏洞

n8n工作流自动化平台存在两个高危沙箱逃逸漏洞，分别影响JavaScript表达式引擎（CVE-2026-1470）和Python Code节点（CVE-2026-0863），攻击者通过构造恶意代码绕过AST净化机制，实现主节点远程代码执行，云平台及自托管未补丁版本均受影响，官方已发布修复版本。

相关链接： https://research.jfrog.com/post/achieving-remote-code-execution-on-n8n-via-sandbox-escape/

技术要点：

1. CVE-2026-1470源于表达式引擎未防护with语句，攻击者在with块中定义constructor标识符，绕过AST校验和正则检测，调用Function构造函数执行任意JS代码，影响1.123.17、2.4.5、2.5.1之前版本；
2. CVE-2026-0863针对Python Code节点“Internal”模式，利用Python 3.10+ AttributeError的obj属性，结合字符串格式化绕过沙箱限制，调用系统函数实现RCE，影响1.123.14、2.3.5、2.4.2之前版本；
3. 漏洞需攻击者具备n8n工作流创建权限，成功利用可完全接管n8n实例，获取环境变量、执行系统命令，危及平台及底层主机安全。

缓解策略：

1. 按漏洞分别升级n8n，CVE-2026-1470升级至1.123.17/2.4.5/2.5.1及以上，CVE-2026-0863升级至1.123.14/2.3.5/2.4.2及以上；
2. 优先启用Python Code节点“External”模式，将Python执行隔离在Docker容器中，降低沙箱逃逸后的影响范围；
3. 严格限制工作流创建权限，仅授权可信用户操作，减少恶意代码注入入口；
4. 监控表达式执行和Python代码节点的异常行为，警惕包含with语句、异常处理滥用的可疑代码片段。

事件七：vm2沙箱逃逸漏洞

开源Node.js沙箱库vm2存在严重沙箱逃逸漏洞（CVE-2026-22709），因globalPromise回调函数净化机制缺陷，攻击者可绕过沙箱限制执行任意代码，CVSS评分为9.8，无需认证即可远程利用，影响<=3.10.1版本，官方已在3.10.2版本修复。

相关链接： https://www.endorlabs.com/learn/cve-2026-22709-critical-sandbox-escape-in-vm2-enables-arbitrary-code-execution

技术要点：

1. 漏洞核心是globalPromise.prototype.then和catch未充分净化回调，依赖可被拦截的Function.prototype.call，导致ensureThis() sanitization失效；
2. 攻击者通过async函数返回globalPromise，结合error.name=Symbol()触发TypeError，获取主机环境的Error构造函数，进而通过原型链拿到Function构造函数执行任意代码；
3. 该库虽2023-2025年曾废弃，但周下载量超百万，存在885个直接依赖，历史上有20余次沙箱突破记录，仅适用于可信代码执行场景；
4. 漏洞无需用户交互，网络可利用，低攻击复杂度，成功利用可完全控制宿主环境。

缓解策略：

1. 立即升级vm2至3.10.2版本，该版本用不可拦截的Reflect.apply替代Function.prototype.call，修复净化绕过问题；
2. 用SCA工具检测代码可达性，确认是否有不可信输入传入VM.run()等沙箱执行入口；
3. 避免使用vm2执行用户可控代码，优先采用JSON Schema验证、领域特定语言等更安全的替代方案；
4. 即使升级，仍需在隔离环境中运行沙箱代码，配置最小权限和资源限制，不单独依赖vm2的沙箱防护。

事件八：PyTorch远程代码执行漏洞

PyTorch存在高危远程代码执行漏洞（CVE-2026-24747），因weights_only=True模式下的解序列化器未正确验证pickle操作码和存储元数据，攻击者可通过诱骗用户加载恶意.pth checkpoint文件，导致堆内存损坏并实现任意代码执行，影响2.9.1及更早版本，官方已在2.10.0版本修复。

相关链接： https://github.com/pytorch/pytorch/security/advisories/GHSA-63cw-57p8-fm3p

技术要点：

1. 漏洞核心是torch.load(..., weights_only=True)的解序列化逻辑存在缺陷，未对pickle的SETITEM/SETITEMS操作码及存储元数据进行有效校验；
2. 攻击者可构造恶意.pth文件，利用操作码对非字典类型执行内存篡改，或通过存储声明元素数与实际数据不匹配实现攻击；
3. 漏洞CVSS评分为8.8（高危），网络可利用、攻击复杂度低，无需特权但需用户交互（加载恶意文件），成功利用可获取进程完全控制权；
4. 所有使用PyTorch加载外部checkpoint文件且启用weights_only=True的场景均存在风险，覆盖开发者、研究者及生产环境用户。

缓解策略：

1. 立即升级PyTorch至2.10.0及以上版本，修复解序列化校验缺陷；
2. 避免加载来源不明、不可信的.pth文件，加载前通过安全工具校验文件完整性和合法性；
3. 暂时无法升级时，禁用weights_only=True模式或额外添加文件校验机制，过滤异常pickle操作码；
4. 生产环境中限制PyTorch进程的运行权限，采用最小权限原则，降低漏洞利用后的影响范围。

趋势洞察：沙箱失效与开源生态漏洞加剧攻防失衡

这些事件折射出三大核心趋势：

1. 沙箱防护机制频繁失效成关键突破口：如n8n、vm2的沙箱逃逸漏洞，攻击者利用AST净化漏洞、Promise回调校验缺陷，绕过动态语言沙箱限制执行任意代码，防御需强化沙箱底层逻辑审计与语言特性防护。
2. 开源组件与AI框架漏洞集中爆发：如Chainlit、PyTorch、jsPDF等主流工具/框架的缺陷，覆盖路径遍历、SSRF、序列化校验不足等类型，AI生态因快速迭代导致防护缺失，防御需建立开源组件全生命周期管控与AI框架安全基线。
3. 未认证/低交互攻击常态化：如Fortinet FortiSIEM未授权执行、GNU telnetd身份验证绕过，攻击者无需高权限或仅需诱骗用户打开文件即可触发漏洞，攻击路径简易且影响面广，防御需收紧无认证攻击面与低交互场景防护。

沙箱失效、开源生态防护薄弱与低门槛攻击路径叠加，使攻防对抗聚焦“基础组件缺陷+简易利用逻辑”。防御需向沙箱底层加固、开源漏洞快速响应、低权限场景精细化防护升级，应对攻击者“抓核心缺陷+降攻击成本”的利用策略。

（如果你喜欢此类文章，欢迎评论、转发、在看，分享给身边的小伙伴。）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：利刃信安 《2026年1月网络安全事件小梳理》