Google Chromium V8 内存越界代码执行漏洞

Chromium是由Google主导开发的开源Web浏览器项目，其核心组件包括Blink渲染引擎和V8 JavaScript引擎。Chromium内核被广泛应用于Google Chrome、Microsoft Edge、Opera等主流浏览器产品。V8引擎负责解析和执行网页中的JavaScript代码，具备高性能脚本执行能力，是现代Web应用运行的重要基础组件。2026年3月16日，启明星辰安全应急响应中心（VSRC）监测到Google Chromium V8内存越界代码执行漏洞。该漏洞源于V8在处理内存缓冲区相关操作时未能正确限制访问边界，导致可能发生越界读写等异常内存访问行为。当用户访问攻击者构造的恶意HTML页面或执行特制的JavaScript代码时，可能触发该漏洞并在浏览器沙箱环境中执行任意代码。由于Chromium内核被Google Chrome、Microsoft Edge、Opera等多款主流浏览器广泛采用，因此该漏洞可能影响大量终端用户。成功利用该漏洞可能导致浏览器进程被攻击者控制、用户敏感信息泄露，甚至成为进一步攻击系统的入口，对企业终端安全及个人隐私保护带来较大风险...

泛微E-cology10 远程代码执行漏洞(QVD-2026-14149)

泛微 E\-cology10（简称 E10）是上海泛微网络科技推出的面向中大型组织的数智化协同运营平台，定位为企业级数字化中枢，核心覆盖协同办公、流程管理、业务集成、知识管理、低代码开发等全场景能力。 未经身份验证的远程攻击者可利用该漏洞向特定接口发送恶意请求，在目标服务器上执行任意代码，进而获取服务器权限。

OpenClaw WebSocket共享令牌权限提升漏洞(QVD-2026-13829)

OpenClaw是一款开源的AI智能体平台，能够在本地环境中自主运行，通过自然语言指令直接操作用户计算机完成各类任务，包括文件读写、Shell命令执行、网页浏览以及与邮件、Slack、Jira、GitHub等第三方服务的集成。 该漏洞存在于OpenClaw网关的WebSocket连接处理逻辑中。在2026.3.12版本之前，当使用无设备共享令牌或密码认证的后端连接时，系统未能正确验证和限制客户端自行声明的权限范围，攻击者可利用该漏洞，通过获取或构造无设备共享令牌，在WebSocket连接建立时自行声明高权限作用域，从而完全控制目标机器。

OpenClaw < 2026.2.2 身份验证绕过漏洞(CVE-2026-28472)

OpenClaw 是一个开源的个人AI 助手平台，支持通过多种消息渠道与AI 交互。 在其 2026.2.1 版本之前，存在一个逻辑漏洞：若请求中存在 \`auth.token\` 参数，则跳过设备标识（Device Identity）检查。然而，系统在跳过检查前并未对该令牌的有效性进行验证。攻击者可以通过在 WebSocket 握手请求中包含任意未经验证的 \`auth.token\` 来绕过身份验证和设备配对流程，从而与Agent环境直接交互，可能导致服务器失陷。

SolarWinds Web Help Desk 反序列化远程代码执行漏洞(CVE-2025-26399)

SolarWinds Web Help Desk是一款IT服务管理软件，用于帮助企业自动化和简化IT服务流程。该软件存在一个未经过身份验证的AjaxProxy反序列化远程代码执行漏洞，攻击者可以利用此漏洞在主机机器上执行命令。