• 漏洞编号：CVE-2026-26030
• 漏洞等级：高危
• 漏洞标签：POC已公开
• 发布时间：2026-02-20

漏洞描述

微软的语义内核Python SDK中存在一个远程代码执行漏洞，该漏洞存在于版本低于1.39.4的\`InMemoryVectorStore\`过滤器功能中。该问题已在版本\`python\-1.39.4\`中得到修复。用户应升级此版本或更高版本。作为一种解决方法，应避免在生产场景中使用\`InMemoryVectorStore\`。

修复建议

将组件 semantic-kernel 升级至 1.39.4 及以上版本

参考链接

https://github.com/microsoft/semantic-kernel/pull/13505

https://github.com/microsoft/semantic-kernel/releases/tag/python-1.39.4

https://github.com/microsoft/semantic-kernel/security/advisories/GHSA-xjw9-4gw8-4rqx

https://avd.aliyun.com/detail?id=AVD-2026-26030