Marimo 预认证远程代码执行漏洞(CVE-2026-39987)

Marimo 是一个响应式的Python笔记本工具，它允许用户以交互式的方式运行代码和查看结果。在0.23.0版本之前，Marimo的终端WebSocket端点/terminal/ws缺少身份验证，使得未经认证的攻击者可以获取完整的PTY shell并执行任意系统命令。

Xinference 2.6.0-2.6.2 供应链投毒事件

Xinference（Xorbits Inference）是一款 AI 模型部署工具。 2026年4月23日，互联网上披露其发生供应链投毒攻击，其投毒版本（2.6.0\-2.6.2）中 \_\_init\_\_.py 被插入了恶意代码，受害者安装恶意版本包后，攻击者可借此收集各类敏感信息，控制受害者服务器权限。

Microsoft Defender 权限提升漏洞(CVE-2026-33825)

Microsoft Defender 访问控制的细度不足，允许授权攻击者在本地提升权限。

Cockpit 远程代码执行漏洞(CVE-2026-4631)

Cockpit 是一款面向 GNU/Linux 服务器的 Web 化管理工具，通过浏览器提供图形化运维能力，支持网络配置、系统日志查看、服务启停、SELinux 排查、终端命令交互等核心运维操作，可实现本地与远程服务器集中管控，广泛用于企业服务器、云主机与边缘节点的轻量化管理，默认集成于 RHEL、Fedora 等主流发行版，降低 Linux 服务器运维门槛。 该漏洞源于远程登录模块将 Web 端传入的用户名、主机名未经校验直接拼接为 SSH 命令行参数，且未使用\-\-分隔符隔离选项与目标参数。攻击者无需身份凭证，仅构造恶意 HTTP 请求即可触发 SSH 参数注入，在目标服务器上以服务权限执行任意系统命令，从而完全控制服务器。

Apache Tomcat 远程代码执行漏洞(CVE-2026-34486)

该漏洞的出现与针对CVE\-2026\-29146的修复补丁有关。在对EncryptInterceptor组件进行安全加固时，消息接收方法messageReceived\(\)内部的异常处理流程发生了改变，导致一个逻辑偏差：当接收到的集群通信数据无法正常解密时，代码路径未能终止当前请求的处理，而是忽略了该异常状态并继续将原始的、未经解密验证的数据向后续处理环节传递。受此缺陷影响的版本包括Tomcat 11.0.20、10.1.53和9.0.116。