Telnyx Python API library 4.87.1/4.82.2 供应链投毒漏洞

Telnyx Python库为任何Python应用程序提供了对Telnyx REST API的便捷访问。2026年3月26日，互联网上披露其发生供应链投毒攻击，其投毒版本中 telnyx/\_client.py 被插入了恶意代码，攻击者可借此控制受害者服务器权限。

Trivy安全扫描器供应链攻击漏洞 (CVE-2026-33634)

Trivy 是一个安全扫描器。2026年3月19日，一名威胁行为者使用受损的凭据发布了一个恶意的 Trivy v0.69.4 版本，将 \`aquasecurity/trivy\-action\` 中的77个版本标签中的76个强制推送为窃取凭据的恶意软件，并将 \`aquasecurity/setup\-trivy\` 中的所有7个标签替换为恶意提交。此次事件是2026年2月下旬开始的供应链攻击的延续。在3月1日首次披露后，进行了凭据轮换，但该轮换并非原子操作（并非所有凭据都同时撤销）。攻击者可能在轮换窗口期间（持续了几天）使用有效的令牌泄露新轮换的秘密。这可能使攻击者保留访问权限并执行3月19日的攻击。受影响的组件包括 \`aquasecurity/trivy\` Go / 容器镜像版本 0.69.4，\`aquasecurity/trivy\-action\` GitHub Action 版本 0.0.1 – 0.34.2（76/77），以及 \`aquasecurity/setup\-trivy\` GitHub Action 版本 0.2.0 – 0.2.6，在使用安全提交重新创建 0.2.6 之前。已知...

Langflow 远程代码执行漏洞(CVE-2026-33017)

该漏洞存在于Langflow的POST /api/v1/build\_public\_tmp/\{flow\_id\}/flow端点中。该端点设计用于无需认证即可构建公共流程，但在处理请求时存在一个关键缺陷：当请求中包含可选的data参数时，端点会直接使用攻击者提供的流程数据，而非从数据库中加载已存储的流程数据。这些攻击者控制的流程数据可以包含任意Python代码，在流程构建过程中通过exec\(\)函数直接执行，且没有任何沙箱隔离机制。

Litellm 2026.3.24 供应链投毒事件

2026年3月24日，互联网上披露 Litellm项目遭受供应链攻击。在 Litellm 的1.82.7 和 1.82.8 版本中存在proxy\_server.py与litellm\_init.pth恶意文件。安装受影响版本的包后，将造成包括SSH Key、云凭证等各类敏感信息泄漏。官方已下线相关影响包，建议客户尽快排查。

Livewire代码执行漏洞(CVE-2025-54068)

Livewire 是一个适用于 Laravel 的全栈框架。在 Livewire v3 至 v3.6.3 版本中，存在一个漏洞，允许未认证的攻击者在特定情况下实现远程命令执行。该问题源于某些组件属性更新的处理方式。此漏洞仅影响 Livewire v3，不影响之前的主版本。利用此漏洞需要组件以特定方式安装和配置，但不需要认证或用户交互。此问题已在 Livewire v3.6.4 版本中修复。强烈建议所有用户尽快升级到此版本或更高版本。目前没有已知的变通方法。