INFRASTRUCTURE
(18)18 个攻击.
vLLM SSRF:当白名单补丁带着同样的解析器缺陷
两份 vLLM 公告把同一个缺陷展示了两次:用一个 URL 解析器校验主机白名单,却用另一个解析器发请求。补丁换了解析器组合,又重新打开了绕过。
RAGFlow CVE-2026-45312:一个会执行系统命令的提示词模板
RAGFlow 提示词生成器中的 Jinja2 模板注入,把用户可控字段变成服务器端 RCE。CVSS 9.9,于 2026 年 5 月 9 日披露。
LangChain Core 路径遍历:遗留 load_prompt 读取任意文件
CVE-2026-34070 让伪造的 prompt 配置经由 load_prompt 遍历文件系统,泄露 .txt/.json/.yaml 中的机密。2026 年 3 月 27 日披露,已在 langchain-core 1.2.22 修复。
服务层就是攻击面:vLLM 与 SGLang 中的并发缺陷
2026 年 5 月的模糊测试器 GRIEF 把并发请求轨迹作为输入,在 vLLM 与 SGLang 中发现 15 个服务层缺陷(含 2 个 CVE):跨请求输出污染、「吵闹邻居」式拒绝服务,以及延迟崩溃——无需任何畸形输入。
LiteLLM CVE-2026-49468:网关自身路由中的 Host 头身份验证绕过
2026 年 6 月 17 日披露的 CVE-2026-49468 允许伪造的 Host 头使 LiteLLM 的鉴权路由与 FastAPI 实际执行的路由不一致——这是 BadHost 在应用层的重演,已在 LiteLLM 1.84.0 中修复。
LiteLLM CVE-2026-47101→40217:从低权限用户到管理员与 RCE
Obsidian Security 于 2026 年 6 月披露了一条由三个漏洞构成的 LiteLLM 利用链,可将默认低权限用户提升为 proxy_admin 并实现代码执行——对 AI 网关的 CVSS 9.9 级接管。
Langflow CVE-2026-5027:未授权写文件升级为 RCE,已遭在野利用
Langflow 的 /api/v2/files 端点存在路径遍历,一个未授权请求即可向磁盘任意位置写入文件。VulnCheck 于 2026 年 6 月 9 日确认在野利用;约 7000 个实例暴露在公网。
暴露的 MCP 服务器成为云接管的跳板
云 MCP 服务器中的命令注入(CVE-2026-5058/5059)让攻击者抵达实例元数据服务、窃取 IAM 角色,并横向渗透整个云账户。
ChromaToast:ChromaDB 向量数据库中的预认证 RCE
HiddenLayer 于 2026 年 5 月 18 日披露(CVE-2026-45829,CVSS 10.0),表明 ChromaDB 的 Python 服务器会先加载攻击者的 HuggingFace 模型并执行其代码,然后才检查身份认证。
多模态输入即攻击面:vLLM 视频解码器远程代码执行(CVE-2026-22778)
CVE-2026-22778 让一个恶意视频 URL 在 vLLM 服务器上变成远程代码执行,它把 PIL 的信息泄露与 FFmpeg JPEG2000 解码器的堆溢出串联起来。已在 0.14.1 修复。
LiteLLM CVE-2026-42271:MCP 测试端点串联为未授权 RCE
四月披露时只是一个需认证的命令注入,LiteLLM 的 MCP 预览端点一旦与 Starlette 的 BadHost 绕过串联,便成为未授权 RCE——2026 年 6 月 8 日被 CISA 列入 KEV。
Langflow 的公开构建端点:20 小时内被武器化的未授权 RCE
CVE-2026-33017 将 Langflow 的公开流程构建端点变成未授权远程代码执行。该漏洞于 2026 年 3 月 17 日披露,20 小时内即被野外利用——早于任何公开 PoC 出现。
SGLang 的 ZMQ broker:pickle 反序列化导致未授权 RCE
2026 年 3 月 12 日披露的三个 CVE,将 SGLang 的 pickle.loads() 调用变成了未授权远程代码执行。修复随 v0.5.10 发布——但真正的教训是:在网络套接字上使用 pickle,本身就是设计层面的 RCE。
LightLLM CVE-2026-26220:服务端强制对外暴露的 WebSocket 上的 pickle 反序列化
CVE-2026-26220(2026 年 2 月 15 日披露)将 pickle.loads() 置于 LightLLM prefill-decode 模式的两个未认证 WebSocket 端点上——而服务端拒绝绑定 localhost,因此攻击面始终面向网络。
MCPwn (CVE-2026-33032):nginx-ui 的 MCP 接口拱手让出整个 Web 服务器
nginx-ui ≤ 2.3.3 的一个未鉴权 MCP 接口允许任意网络攻击者改写 nginx 配置并重启服务。CVSS 9.8,2026 年 4 月 15 日公开披露,补丁发布数小时内就在野利用。
BadHost(CVE-2026-48710):Host 头中一个字符即可绕过 Starlette、vLLM 与 FastMCP 的鉴权
X41 D-Sec 于 2026 年 5 月 22 日披露 Starlette < 1.0.1 中的关键鉴权绕过。HTTP Host 头中仅插入一个 /、? 或 # 字符,即可使实际路由的路径与中间件看到的路径产生不一致,导致 vLLM、LiteLLM、FastMCP 及成千上万基于 FastAPI 的 AI 智能体的基于路径的授权失效。
LiteLLM CVE-2026-42208:AI 网关中的未授权 SQL 注入
2026 年 4 月 20 日披露,全球公告索引后 36 小时即遭利用。CVE-2026-42208 将 LiteLLM 的 Authorization 头部变成对网关所代理的每一个上游模型凭据的直接读取入口。
LMDeploy SSRF:当图像加载器劫持整个 AI 推理基础设施
CVE-2026-33626 将 LMDeploy 的 load_image() 变成了通用 SSRF 原语。安全公告公开 12 小时 31 分后,蜜罐就捕获到首次实战利用。