文章总结： 文档报道React与Next.js满分RCE漏洞遭大规模利用，需立即升级。同日披露ApacheStruts与GNUTelnetd高危漏洞。此外，OpenWebUI遭入侵及AI代理攻击引关注。合规方面涉及AI内容标注与工具指南。建议优先修复React/Next.js漏洞，同步处理其他高危风险，并将AI工具纳入安全管理框架。 综合评分： 85 文章分类： 漏洞预警,安全大事件,AI安全,安全运营,威胁情报

React/Next.js满分漏洞遭大规模在野利用，数百万Web应用已成攻击者囊中之物

数据安全研究组 数据安全研究组

数据安全合规交流部落

2026年3月24日 08:07 广东

今晚必须打的补丁：React/Next.js满分漏洞EXP已公开，大规模攻击正在进行

2026年03月24日

React与Next.js同时爆出CVSS满分（10.0）远程代码执行漏洞，完整EXP已在网络流通，大规模在野攻击正在进行中——全球数百万使用这两个框架的Web应用此刻都是待宰目标。同日，Apache Struts S2-069（CVSS 9.8）与GNU Telnetd身份验证绕过（CVSS 9.8）的PoC同步公开，三个接近或达到满分的高危漏洞同天亮相，堪称今年最密集的单日漏洞打击。如果你的团队今天还没看到这条消息，请立刻转发出去。

🔴 重大事件

OpenWebUI服务器遭入侵，挖矿程序与信息窃取恶意代码被同步植入

开源AI管理界面OpenWebUI的服务器遭到攻击者入侵，攻击者在目标系统中同时植入加密货币挖矿程序与信息窃取恶意代码，实现算力榨取与凭据窃取双重变现。OpenWebUI被大量企业和开发团队用于本地AI模型管理，其服务器通常握有内部AI模型、API密钥及数据库的高权限访问凭据，一旦失陷可导致整个AI基础设施被接管。部署OpenWebUI的团队应立即检查异常进程、出站流量与访问控制配置。 （来源：嘶吼）

酒店偷拍持续蔓延：国内180余家酒店存在非法摄像设备，视频被倒卖与勒索

据报道，国内多地酒店客房偷拍事件持续曝光，超过180家酒店被证实存在非法摄像设备，受害者遭遇从私密视频非法流通到以视频为把柄勒索（金额高达3万元）的全链条侵害。深圳已有酒店开始为住客提供反偷拍探测服务，香港旅客同样受波及。此行为严重违反《个人信息保护法》关于个人图像信息采集与传播的相关规定，涉及刑事犯罪。 （来源：嘶吼）

🟠 高危漏洞披露

React/Next.js远程代码执行漏洞（CVE-2025-55182/CVE-2025-66478）：CVSS 10.0，大规模在野利用确认

绿盟CERT发布紧急处置手册：React与Next.js被同时披露满分RCE漏洞，CVSS评分10.0，漏洞细节与完整EXP均已公开，且大规模在野利用已经发生。Next.js是全球最广泛使用的React服务端渲染框架，被无数企业官网、电商平台及SaaS应用采用；React本体的同步漏洞进一步扩大了受影响范围。攻击者可通过该漏洞直接在目标服务器执行任意代码、接管应用与数据库。所有使用React/Next.js的团队今日内必须完成版本升级，这是本周唯一的P0安全任务。 （来源：绿盟CERT）

Apache Struts XXE注入漏洞S2-069（CVE-2025-68493）：CVSS 9.8，PoC已公开

绿盟CERT发布漏洞通告，Apache Struts曝出外部实体（XXE）注入漏洞S2-069，CVSS评分9.8，漏洞细节与PoC均已公开。Apache Struts在金融、政务、电信等传统行业的Java Web应用中仍大量存在，历史上S2系列漏洞（如S2-045）已造成大规模数据泄露。此次新漏洞与历史高危漏洞同框架，攻击者的经验积累使得利用速度将极快，受影响机构需立即排查Struts版本并升级。 （来源：绿盟CERT）

GNU InetUtils Telnetd远程身份验证绕过漏洞（CVE-2026-24061）：CVSS 9.8，PoC已公开

绿盟CERT发布漏洞通告，GNU InetUtils Telnetd组件存在远程身份验证绕过漏洞，CVSS评分9.8，PoC已公开，攻击者无需凭据即可直接访问Telnet服务。Telnet虽已被SSH广泛替代，但在工业控制设备、嵌入式系统、老旧网络设备中仍普遍存在，OT/IoT环境尤为集中。建议立即排查网络中的Telnet服务暴露情况，优先关闭或替换受影响设备。 （来源：绿盟CERT）

30美元IP-KVM设备漏洞：攻击者可获得企业服务器BIOS级控制权

研究人员发现，市售约30美元的廉价IP-KVM（网络键鼠切换）设备存在严重安全漏洞，攻击者可利用该漏洞完全绕过操作系统防护，在BIOS级别直接控制目标服务器——包括修改启动顺序、植入固件级后门乃至永久破坏硬件。IP-KVM设备通常被视为低风险管理附件而豁免于常规安全扫描，往往长期在网络中暴露且权限极高。建议企业立即审计IP-KVM设备暴露情况，隔离至独立管理网络并限制访问来源。 （来源：FreeBuf）

帆软FineReport反序列化漏洞与FineVis任意文件写入漏洞技术分析

先知安全发布帆软FineReport系列漏洞深度分析，披露channel接口存在多条反序列化RCE利用链（TreeBag、ImmutableSetMultimap等），以及FineVis插件存在任意文件写入漏洞。帆软报表系统广泛部署于金融、政务、制造行业的数据可视化平台，上述漏洞一旦被利用可实现RCE或持久化文件植入，建议相关用户立即核查版本并部署官方修复补丁。 （来源：先知安全）

AI代理新型攻击：Agent Session Smuggling利用A2A协议隐蔽注入恶意指令

先知安全披露多智能体系统的新型攻击技术Agent Session Smuggling：恶意AI代理利用A2A（Agent2Agent）协议的会话状态保持特性，在正常的代理间通信流中隐蔽注入恶意指令，诱导合法代理执行攻击者的恶意意图，且整个过程对外表现为正常业务通信。随着企业级AI Multi-Agent系统的规模化落地，代理间通信协议的安全性已成为亟待重视的新型攻击面。 （来源：先知安全）

WordPress Ally插件SQL注入漏洞：约40万网站面临数据库拖取风险

Ally WordPress插件存在高危SQL注入漏洞，攻击者可在无需认证的情况下直接操作数据库，波及约40万个使用该插件的WordPress网站。SQL注入利用门槛低、自动化工具成熟，受影响网站应立即更新插件版本，或临时停用该插件直至修复版本可用。 （来源：安全客）

HPE Aruba OS未授权密码重置漏洞：无需认证可接管网络设备管理后台

HPE发布Aruba OS高危漏洞预警，攻击者可在无需提供任何凭据的情况下直接重置管理员密码，从而完全接管网络设备管理后台。网络设备管理权限被攻陷，等同于所有流经该设备的流量与访问控制策略均可被任意篡改，建议相关机构立即限制管理接口的外网可达性并跟进官方补丁。 （来源：安全客）

GitLab发布紧急安全更新：修复高危XSS与API拒绝服务漏洞

GitLab发布紧急安全更新，修复高危跨站脚本（XSS）漏洞与API拒绝服务漏洞。两类漏洞若被联合利用，可实现会话劫持并通过DoS攻击掩护恶意操作，影响所有自托管GitLab实例。建议立即升级至最新版本，自托管实例延迟升级将持续暴露于风险中。 （来源：安全客）

🟡 合规与监管动态

中央网信办规范AI短视频内容标注，AI摆拍与虚假营销强制溯源

中央网信办发布指导意见，要求各网站平台全面规范AI生成短视频的内容标注工作，对无标识AI生成内容与虚构演绎营销启动专项整治，部署AI识别与人工复核双重机制，违规内容须下架整改。这是我国对AIGC内容在传播领域的首次系统性合规约束，平台运营者与内容生产方均须尽快对齐新要求，否则面临监管处罚。 （来源：嘶吼 / 安全牛）

CNCERT发布OpenClaw安全使用实践指南，规范企业AI助手工具边界

国家互联网应急中心（CNCERT）正式发布OpenClaw安全使用实践指南，明确AI助手工具在企业生产环境中的安全使用边界，涵盖权限最小化、数据隔离、操作审计等关键控制点。这一指南的出台背景正是近期OpenClaw”龙虾”风险事件所暴露的AI供应链安全系统性漏洞，建议企业参照完善AI工具管理规范。 （来源：安全牛）

国家网信办《互联网应用程序个人信息收集使用规定》征求意见稿解读

国家网信办发布《互联网应用程序个人信息收集使用规定（征求意见稿）》，对App个人信息收集的最小必要原则、知情同意要求与敏感信息特别保护作出精细化规定。绿盟科技对此发布深度解读，合规团队应尽早针对自身产品开展差距分析，在正式文件落地前完成整改准备。 （来源：绿盟科技博客）

🌐 国际动态

CrowdStrike在RSAC大会发布AI安全防护方案，专项应对恶意Agent攻击

CrowdStrike在RSA Conference大会上宣布扩展Falcon平台能力，重点推出针对恶意AI Agent攻击的专项防护模块，实现从终端到云环境的全链路覆盖。这是主流EDR厂商首次将AI Agent行为检测作为独立产品模块推出，标志着AI安全防护正从方法论走向规模化产品落地。 （来源：FreeBuf）

深度拆解：OpenClaw”龙虾”事件为何是AI供应链安全的”预警级样本”

嘶吼发布重庆信通设计院天空实验室的深度分析报告，将OpenClaw”龙虾”事件定性为AI时代供应链安全的标志性事件——当AI系统拥有对底层操作系统的核心控制权时，开源治理缺失、供应链薄弱与社会工程攻击的叠加效应将产生远超预期的破坏力。报告附完整分析文档供下载，建议安全团队参阅以评估自身AI工具链风险。 （来源：嘶吼）

💡 今日安全建议

① React/Next.js漏洞是今日唯一P0任务，立刻执行，不要等待 CVE-2025-55182/CVE-2025-66478满分漏洞已有完整EXP公开且大规模利用正在进行，每小时的延迟都在积累风险。立即排查所有业务系统使用的React/Next.js版本，强制升级至修复版本，并检查近期服务器日志是否存在异常请求特征。绿盟CERT已发布完整处置手册，直接参照执行。

② 同步部署Apache Struts和GNU Telnetd的补丁或缓解措施 今日三大高危漏洞同日爆出，Apache Struts S2-069与GNU Telnetd CVE-2026-24061的PoC同步公开，留给安全团队的响应窗口极短。建议优先在资产台账中定位受影响版本，并在升级之前采取临时缓解措施（如限制访问来源、关闭暴露端口）。

③ 将AI工具纳入正式安全管理框架，参照CNCERT指南落实管控 从OpenWebUI服务器被植入恶意代码，到AI Agent Session Smuggling攻击，AI基础设施的安全管理缺口正在被快速利用。建议以CNCERT发布的OpenClaw安全使用实践指南为基础，为企业内所有AI工具部署建立权限最小化、访问审计与异常行为监控的标准控制流程。

数据来源：安全客 · FreeBuf · 嘶吼 · 安全牛 · 先知安全 · 绿盟CERT · 绿盟科技博客 · CNVD · CNNVD 本文仅供安全防御研究参考，请在合法授权范围内使用相关技术信息 转载请注明来源

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数据安全合规交流部落 数据安全研究组 数据安全研究组《React/Next.js满分漏洞遭大规模在野利用，数百万Web应用已成攻击者囊中之物》