NetScaler ADC 和 NetScaler Gateway 配置为 SAML IDP 时内存错误引用漏洞(CVE-2026-3055)

NetScaler ADC 和 NetScaler Gateway 是 Citrix 公司提供的网络流量管理和应用交付产品，它们可以配置为 SAML IDP（身份提供者）。该漏洞产生于对输入验证不足，导致攻击者可能通过精心构造的 SAML 请求造成内存过读，从而获取敏感信息。

vLLM trust_remote_code绕过远程代码执行漏洞

vLLM是一个高性能的大模型推理框架，专为大规模语言模型的高吞吐量、低延迟部署而设计。其核心特性包括PagedAttention高效内存管理、并行化调度优化以及对多GPU、分布式环境的良好支持。vLLM兼容Hugging Face接口，便于模型快速加载与集成，广泛用于推理服务、AI应用后端与生产级模型部署场景。2026年3月27日，启明星辰安全应急响应中心（VSRC）监测到vLLM trust\_remote\_code绕过远程代码执行漏洞。该漏洞存在于vllm/model\_executor/models/nemotron\_vl.py和vllm/model\_executor/models/kimi\_k25.py文件中，由于代码中硬编码设置trust\_remote\_code\=True，导致用户显式配置trust\-remote\-code\=False被绕过。攻击者可通过构造恶意HuggingFace模型仓库，在模型加载过程中执行任意Python代码，获取服务器执行权限，进而实现系统控制、数据窃取或横向移动。该漏洞破坏了trust\_remote\_code安全机制的信任边界，可能导致敏感数据泄露及服...

Telnyx Python API library 4.87.1/4.82.2 供应链投毒漏洞

Telnyx Python库为任何Python应用程序提供了对Telnyx REST API的便捷访问。2026年3月26日，互联网上披露其发生供应链投毒攻击，其投毒版本中 telnyx/\_client.py 被插入了恶意代码，攻击者可借此控制受害者服务器权限。

Trivy安全扫描器供应链攻击漏洞 (CVE-2026-33634)

Trivy 是一个安全扫描器。2026年3月19日，一名威胁行为者使用受损的凭据发布了一个恶意的 Trivy v0.69.4 版本，将 \`aquasecurity/trivy\-action\` 中的77个版本标签中的76个强制推送为窃取凭据的恶意软件，并将 \`aquasecurity/setup\-trivy\` 中的所有7个标签替换为恶意提交。此次事件是2026年2月下旬开始的供应链攻击的延续。在3月1日首次披露后，进行了凭据轮换，但该轮换并非原子操作（并非所有凭据都同时撤销）。攻击者可能在轮换窗口期间（持续了几天）使用有效的令牌泄露新轮换的秘密。这可能使攻击者保留访问权限并执行3月19日的攻击。受影响的组件包括 \`aquasecurity/trivy\` Go / 容器镜像版本 0.69.4，\`aquasecurity/trivy\-action\` GitHub Action 版本 0.0.1 – 0.34.2（76/77），以及 \`aquasecurity/setup\-trivy\` GitHub Action 版本 0.2.0 – 0.2.6，在使用安全提交重新创建 0.2.6 之前。已知...

Langflow 远程代码执行漏洞(CVE-2026-33017)

该漏洞存在于Langflow的POST /api/v1/build\_public\_tmp/\{flow\_id\}/flow端点中。该端点设计用于无需认证即可构建公共流程，但在处理请求时存在一个关键缺陷：当请求中包含可选的data参数时，端点会直接使用攻击者提供的流程数据，而非从数据库中加载已存储的流程数据。这些攻击者控制的流程数据可以包含任意Python代码，在流程构建过程中通过exec\(\)函数直接执行，且没有任何沙箱隔离机制。