Apache HTTP Server 双重释放漏洞(CVE-2026-23918)

Apache HTTP Server 是全球主流开源 Web 服务器软件，提供 HTTP/HTTPS 服务、虚拟主机、反向代理、负载均衡、模块扩展等核心能力，广泛部署于互联网、政企、云服务等场景，mod\_http2模块提供 HTTP/2 协议支持，是现代 Web 服务标配组件。服务器采用多进程 / 多线程模型处理请求，通过 APR 内存池管理资源，支撑高并发 Web 访问与代理转发能力。 该漏洞源于 mod\_http2 模块对流资源清理逻辑处理不当，存在双重释放内存缺陷。攻击者可远程构造特殊 HTTP/2 帧请求触发内存破坏，造成服务拒绝服务。在特定系统环境下可进一步利用实现远程代码执行，完全接管服务器。

PyTorch Lightning 2.6.2/2.6.3 供应链投毒事件

PyTorch Lightning 是一款 AI 模型部署工具。 2026年4月30 日，互联网上披露其发生供应链投毒攻击，其投毒版本（2.6.2、2.6.3）中被插入了如routerruntime.js等恶意代码，受害者安装恶意版本包后，攻击者可借此收集各类敏感信息，控制受害者服务器权限。

Palo Alto Networks PAN-OS 缓冲区溢出漏洞(CVE-2026-0300)

Palo Alto Networks PAN‑OS 是部署于 PA‑Series 硬件防火墙与 VM‑Series 虚拟防火墙的专用操作系统，核心提供下一代防火墙防护、用户身份识别、流量管控、威胁防御与安全策略管理能力，广泛用于政企网络边界、数据中心出口与云边界防护场景。User‑ID™ Authentication Portal（Captive Portal）是 PAN‑OS 内置的用户认证入口，用于未认证终端的身份校验、权限分配与访问控制，是企业内网准入与访客管理的关键组件。 该漏洞源于 User\-ID Authentication Portal 服务在处理特定数据包时的边界检查不足。远程未经身份认证的攻击者通过向目标防火墙的User\-ID Authentication Portal服务发送特制的网络数据包，触发缓冲区溢出条件，从而在目标设备上以 root 权限执行任意代码。

Android ADB 认证绕过漏洞(CVE-2026-0073)

Android是Google开发的移动操作系统，广泛应用于智能手机、平板电脑等移动设备，提供丰富的应用生态和系统服务。Android Debug Bridge（ADB）是Android系统的调试工具，支持通过USB或无线网络连接设备进行调试、文件传输和命令执行等操作。在Android系统的无线ADB功能中，由于auth.cpp文件的adbd\_tls\_verify\_cert函数存在代码逻辑错误，导致攻击者可以绕过TLS证书验证机制。攻击者利用此漏洞可在与目标设备相邻的网络环境中，无需用户交互即可建立未经授权的ADB连接，并以shell用户身份执行任意代码。此漏洞使得攻击者能够完全控制受影响的Android设备，造成严重的安全威胁。

Ollama 内存泄漏漏洞(CVE-2026-7482)

Ollama 是一款开源跨平台大模型运行与管理框架，支持快速本地 / 私有化部署 LLaMA、DeepSeek、Qwen 等主流大模型，提供模型加载、量化、推理、API 服务等核心能力，可通过简单命令完成模型拉取、启动与调用，广泛用于个人 AI 应用开发、企业内部知识库搭建、私有化 AI 服务部署等场景，默认开放 11434 端口提供 API 接口，支持多平台环境运行，是轻量化大模型落地的主流工具之一。 该漏洞源于处理用户上传的恶意 GGUF 文件时，未对张量偏移量与大小进行边界校验，导致服务器进程读取越界堆内存。攻击者可通过三次未认证API调用，远程窃取API密钥、环境变量等敏感数据，还可引发服务崩溃。