Litellm 2026.3.24 供应链投毒事件

2026年3月24日，互联网上披露 Litellm项目遭受供应链攻击。在 Litellm 的1.82.7 和 1.82.8 版本中存在proxy\_server.py与litellm\_init.pth恶意文件。安装受影响版本的包后，将造成包括SSH Key、云凭证等各类敏感信息泄漏。官方已下线相关影响包，建议客户尽快排查。

Livewire代码执行漏洞(CVE-2025-54068)

Livewire 是一个适用于 Laravel 的全栈框架。在 Livewire v3 至 v3.6.3 版本中，存在一个漏洞，允许未认证的攻击者在特定情况下实现远程命令执行。该问题源于某些组件属性更新的处理方式。此漏洞仅影响 Livewire v3，不影响之前的主版本。利用此漏洞需要组件以特定方式安装和配置，但不需要认证或用户交互。此问题已在 Livewire v3.6.4 版本中修复。强烈建议所有用户尽快升级到此版本或更高版本。目前没有已知的变通方法。

Spring Boot 认证绕过漏洞

Spring Boot是由Spring官方提供的开源Java应用开发框架，用于快速构建独立、生产级的Spring应用。其内置Actuator组件用于监控和管理应用运行状态，支持健康检查、指标采集及运维接口管理，广泛应用于微服务架构和云原生环境。2026年3月20日，启明星辰安全应急响应中心（VSRC）监测到Spring Boot 认证绕过漏洞。当应用将需要身份认证的业务端点错误地映射到CloudFoundry Actuator路径下时，由于Actuator与Spring Security的路径处理机制存在冲突，可能导致访问控制失效。攻击者无需身份认证即可访问原本受保护的接口，从而获取敏感信息或执行未授权操作。该漏洞通常出现在同时引入Actuator与Spring Security依赖且存在不规范路径配置的Web应用中。成功利用该漏洞可能导致数据泄露、权限提升甚至业务逻辑滥用，进而违反数据安全及隐私保护相关合规要求，对企业系统安全造成较大风险。

Cisco Secure Firewall Management Center 软件反序列化漏洞(CVE-2026-20131)

Cisco Secure Firewall Management Center \(FMC\) 是一款用于管理 Cisco 防火墙的软件，提供集中式策略管理、监控和报告功能。该漏洞产生于软件的 Web 管理界面，由于 Java 字节流的反序列化处理不当，允许未经身份验证的远程攻击者执行任意 Java 代码，并提升至 root 权限。

Qwik server$ RPC反序列化漏洞（CVE-2026-27971）

Qwik 是一个专注于性能的开源 JavaScript 框架。在其 server$ RPC 机制中存在不安全的反序列化漏洞。当运行时环境支持 require\(\) 函数时，攻击者可以通过发送特定的单次 HTTP 请求，利用该机制在反序列化过程中触发恶意代码执行，导致服务器失陷。