文章总结： 该文档是360漏洞研究院发布的漏洞情报速览，汇总了Nginx-UI、Gogs、Juniper等多个高危漏洞，涵盖未授权访问、RCE及权限提升等类型。文中指出Android、VMware及青龙面板存在在野利用，涉及AWS-LC加密库验证绕过等风险。建议及时排查受影响资产并应用补丁，订阅情报服务获取处置建议。 综合评分： 75 文章分类： 漏洞预警,威胁情报,漏洞分析,应急响应,应用安全

每周漏洞情报速览｜2026.03.01–03.06

原创

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年3月8日 10:01 四川

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”

• Nginx-UI未授权备份下载与加密密钥泄露漏洞（CVE-2026-27944）

Nginx-UI的/api/backup端点无需认证即可下载完整系统备份，且响应头中泄露加密密钥。

https://github.com/advisories/GHSA-g9w5-qffc-6762

• Gogs LFS跨仓库对象覆盖漏洞（CVE-2026-25921）

Gogs未对LFS对象进行仓库隔离且不验证哈希，攻击者可跨仓库覆盖LFS对象实现供应链攻击。

https://github.com/advisories/GHSA-cj4v-437j-jq4c

• pac4j-jwt身份认证绕过漏洞（CVE-2026-29000）

pac4j-jwt存在认证绕过，攻击者仅需RSA公钥即可伪造JWT令牌以任意用户身份认证。

https://www.codeant.ai/security-research/pac4j-jwt-authentication-bypass-public-key

• FreeScout远程代码执行漏洞（CVE-2026-28289）

FreeScout客服系统存在远程代码执行漏洞，攻击者可利用该漏洞在服务器上执行任意代码。

https://www.ox.security/blog/freescout-rce-cve-2026-28289/

• Avira杀毒软件多个本地权限提升漏洞（CVE-2026-27748/27749/27750）

Avira Internet Security存在三个本地提权漏洞，分别涉及任意文件删除、不安全反序列化和TOCTOU条件竞争。

https://blog.quarkslab.com/avira-deserialize-delete-and-escalate-the-proper-way-to-use-an-av.html

• Chrome Gemini面板扩展劫持漏洞（CVE-2026-0628）

恶意扩展仅需基本权限即可劫持Chrome Gemini面板，访问摄像头、麦克风及本地文件。

https://unit42.paloaltonetworks.com/gemini-live-in-chrome-hijacking/

• Gradio SSRF服务端请求伪造漏洞（CVE-2026-28416）

Gradio的gr.load()直接信任远程proxy_url，攻击者可实现SSRF访问内部服务和窃取云凭据。

https://github.com/advisories/GHSA-jmh7-g254-2cq9

• DuckDuckGo浏览器uXSS漏洞

DuckDuckGo浏览器通过autoconsent JS Bridge存在uXSS漏洞，可绕过同源策略执行JavaScript。

https://medium.com/@dhiraj_mishra/duckduckgo-browser-uxss-via-autoconsent-js-bridge-02e3bc27a430

• Android 2026年3月安全更新，修复在野零日漏洞（CVE-2026-21385）

Android 3月安全更新修复129个漏洞，其中CVE-2026-21385高通显示组件漏洞已被在野利用。

https://securityonline.info/security-alert-android-march-2026-update-targets-actively-exploited-zero-day/

• Juniper Junos OS Evolved预认证远程代码执行漏洞（CVE-2026-21902）

Junos OS Evolved的API服务暴露在外，未授权攻击者可远程以root权限执行任意代码。

https://labs.watchtowr.com/sometimes-you-can-just-feel-the-security-in-the-design-junos-os-evolved-cve-2026-21902-rce/

• HPE AutoPass远程身份验证绕过漏洞（CVE-2026-23600）

HPE AutoPass存在安全漏洞，允许攻击者远程绕过身份验证机制，获取未授权访问权限。

HPE AutoPass Vulnerability Let Attackers Bypass Authentication Remotely

• VMware Aria Operations在野利用漏洞（CVE-2026-22719）

CISA警告VMware Aria Operations存在漏洞，已被积极利用于攻击活动中。

CISA Warns of VMware Aria Operations Vulnerability Actively Exploited in Attacks

• Amazon AWS-LC加密库签名验证绕过漏洞（CVE-2026-3336/3337/3338）

AWS-LC存在证书链验证绕过、签名验证绕过和AES-CCM时序侧信道三个漏洞。

https://securityonline.info/cracking-the-clouds-crypto-unauthenticated-bypass-flaws-found-in-amazons-aws-lc-library/

• MongoDB服务器崩溃与数据泄露漏洞（CVE-2026-25611）

MongoDB存在安全漏洞，攻击者可利用该漏洞导致服务器崩溃并暴露关键数据。

New MongoDB Vulnerability Allows Attackers to Crash Servers, Exposing Critical Data

• Flowise未授权端点PII信息泄露漏洞

Flowise的forgot-password端点未授权返回完整用户对象，泄露PII信息。

https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-jc5m-wrp2-qq38

• 大疆扫地机远程控制安全漏洞

大疆扫地机被曝安全漏洞，约6700台设备可被远程控制。

https://cn-sec.com/archives/5046329.html

• GNU inetutils Telnetd环境变量篡改提权漏洞（CVE-2026-28372）

Telnetd存在环境变量注入漏洞，可绕过认证以root获取Shell。

https://mp.weixin.qq.com/s/ta_EoeAtDvZTP4Rjt7sH2w

• 青龙面板未授权命令注入漏洞

青龙面板存在鉴权绕过命令注入漏洞，可绕过认证执行命令，已在野利用。

https://mp.weixin.qq.com/s/gBDs3NOYgiSgRrEflYJ4zw

• Linux内核Packet Socket UAF权限提升与容器逃逸漏洞（CVE-2025-38617）

Linux内核packet socket子系统存在竞态条件UAF漏洞，非特权本地攻击者可实现完整权限提升和容器逃逸。

https://blog.calif.io/p/a-race-within-a-race-exploiting-cve

• OAuth登录流程2FA绕过通用漏洞案例

某应用的2FA仅在密码登录中执行，通过OAuth登录可完全绕过双因素认证。

https://offsecrunner.github.io/posts/Broken-2FA/

• Shopify POS邮箱验证绕过账户接管漏洞

Shopify的POS端点修改邮箱无需确认，结合验证状态跨上下文复用可无交互接管商店。

https://nullsecurityx.medium.com/shopify-account-takeover-via-email-verification-bypass-bug-bounty-poc-22-500-2088b7d539d4

• openDCIM SQL注入到远程代码执行漏洞链（CVE-2026-28515/28516/28517）

openDCIM存在授权缺失、SQL注入和命令注入三个漏洞链式利用，Docker部署下可无认证RCE。

https://chocapikk.com/posts/2026/opendcim-sqli-to-rce/

• SiYuan笔记SVG注入反射型XSS漏洞（CVE-2026-29183）

SiYuan笔记的getDynamicIcon端点未转义用户输入，可通过SVG注入执行任意JavaScript。

https://github.com/advisories/GHSA-6865-qjcf-286f

• jsPDF AcroForm JavaScript注入漏洞（CVE-2026-25940）

jsPDF库的AcroForm组件可被注入JavaScript，在Foxit等PDF阅读器中触发代码执行。

https://github.com/dajneem23/CVE-2026-25940

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：[email protected]

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 360漏洞研究院 360漏洞研究院《每周漏洞情报速览｜2026.03.01–03.06》