Spring Boot 认证绕过漏洞

Spring Boot是由Spring官方提供的开源Java应用开发框架，用于快速构建独立、生产级的Spring应用。其内置Actuator组件用于监控和管理应用运行状态，支持健康检查、指标采集及运维接口管理，广泛应用于微服务架构和云原生环境。2026年3月20日，启明星辰安全应急响应中心（VSRC）监测到Spring Boot 认证绕过漏洞。当应用将需要身份认证的业务端点错误地映射到CloudFoundry Actuator路径下时，由于Actuator与Spring Security的路径处理机制存在冲突，可能导致访问控制失效。攻击者无需身份认证即可访问原本受保护的接口，从而获取敏感信息或执行未授权操作。该漏洞通常出现在同时引入Actuator与Spring Security依赖且存在不规范路径配置的Web应用中。成功利用该漏洞可能导致数据泄露、权限提升甚至业务逻辑滥用，进而违反数据安全及隐私保护相关合规要求，对企业系统安全造成较大风险。

Cisco Secure Firewall Management Center 软件反序列化漏洞(CVE-2026-20131)

Cisco Secure Firewall Management Center \(FMC\) 是一款用于管理 Cisco 防火墙的软件，提供集中式策略管理、监控和报告功能。该漏洞产生于软件的 Web 管理界面，由于 Java 字节流的反序列化处理不当，允许未经身份验证的远程攻击者执行任意 Java 代码，并提升至 root 权限。

Qwik server$ RPC反序列化漏洞（CVE-2026-27971）

Qwik 是一个专注于性能的开源 JavaScript 框架。在其 server$ RPC 机制中存在不安全的反序列化漏洞。当运行时环境支持 require\(\) 函数时，攻击者可以通过发送特定的单次 HTTP 请求，利用该机制在反序列化过程中触发恶意代码执行，导致服务器失陷。

Google Chromium V8 内存越界代码执行漏洞

Chromium是由Google主导开发的开源Web浏览器项目，其核心组件包括Blink渲染引擎和V8 JavaScript引擎。Chromium内核被广泛应用于Google Chrome、Microsoft Edge、Opera等主流浏览器产品。V8引擎负责解析和执行网页中的JavaScript代码，具备高性能脚本执行能力，是现代Web应用运行的重要基础组件。2026年3月16日，启明星辰安全应急响应中心（VSRC）监测到Google Chromium V8内存越界代码执行漏洞。该漏洞源于V8在处理内存缓冲区相关操作时未能正确限制访问边界，导致可能发生越界读写等异常内存访问行为。当用户访问攻击者构造的恶意HTML页面或执行特制的JavaScript代码时，可能触发该漏洞并在浏览器沙箱环境中执行任意代码。由于Chromium内核被Google Chrome、Microsoft Edge、Opera等多款主流浏览器广泛采用，因此该漏洞可能影响大量终端用户。成功利用该漏洞可能导致浏览器进程被攻击者控制、用户敏感信息泄露，甚至成为进一步攻击系统的入口，对企业终端安全及个人隐私保护带来较大风险...

泛微E-cology10 远程代码执行漏洞(QVD-2026-14149)

泛微 E\-cology10（简称 E10）是上海泛微网络科技推出的面向中大型组织的数智化协同运营平台，定位为企业级数字化中枢，核心覆盖协同办公、流程管理、业务集成、知识管理、低代码开发等全场景能力。 未经身份验证的远程攻击者可利用该漏洞向特定接口发送恶意请求，在目标服务器上执行任意代码，进而获取服务器权限。