Nginx UI 信息泄露漏洞(CVE-2026-27944)

Nginx UI 是 Nginx Web 服务器的 Web 用户界面。 该漏洞源于/api/backup 端点无需身份验证即可访问，并在 X\-Backup\-Security 响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据（用户凭据、会话令牌、SSL 私钥、Nginx 配置）的完整系统备份并解密。

Windows内存对齐漏洞(CVE-2026-21385)

内存分配时使用对齐方式导致的内存损坏。

GNU Inetutils telnetd 环境变量注入提权漏洞

Telnet 是一种基于TCP的远程终端访问服务与应用层协议，默认使用23端口，允许用户通过网络在本地主机上远程登录并操作另一台服务器。Telnet采用明文方式传输用户名、口令及会话数据，早期广泛用于类Unix系统的远程管理与设备运维。由于缺乏加密和完整的身份保护机制，Telnet容易遭受窃听、重放和中间人攻击，安全风险较高。随着安全需求的提升，Telnet已逐步被SSH等加密远程管理协议所取代，通常仅在受控的内网环境或特殊兼容场景中使用。2026年3月2日，启明星辰安全应急响应中心（VSRC）监测到GNU Inetutils中telnetd组件存在环境变量注入提权漏洞。该漏洞源于telnetd对客户端可控环境变量（如CREDENTIALS\_DIRECTORY）过滤不严格，未采用严格的白名单机制进行限制。攻击者可通过设置CREDENTIALS\_DIRECTORY，并在对应目录中创建包含特定内容的login.noauth文件，诱使以root权限执行的/bin/login跳过正常身份认证流程，最终获取root权限。

青龙面板身份认证绕过漏洞(QVD-2026-10895)

青龙（qinglong）是一款开源的定时任务管理与脚本自动化运行平台，支持 JavaScript、Shell、Python 等多种脚本语言，常用于京东签到、自动抢购、数据爬取等场景。其提供 Web 管理界面、RESTful API 接口、脚本上传与执行、环境变量管理等功能，广泛部署于个人服务器、NAS 设备及企业内网环境中，具有较高的用户活跃度和社区支持。 该漏洞源于青龙面板存在多个认证绕过漏洞，攻击者可通过路径大小写变体（如/API/替代/api/）绕过认证访问受保护接口，通过 /open/user/init 路径在已初始化的系统上绕过认证并重置用户凭证，从而获得未授权访问权限，并在服务器上执行任意系统命令，最终完全控制目标设备。

青龙面板权限绕过致代码执行漏洞

青龙面板是一款支持 Python3、JavaScript、Shell、Typescript 的定时任务管理平台。2026年2月，互联网上披露其存在权限绕过漏洞，攻击者可构造恶意请求绕过相关权限认证，调用后台API接口从而导致任意代码执行。