该漏洞源于该平台的注册处理程序“盲目应用”了这些默认设置——包括管理权限——而没有任何服务器端检查来确保公开注册者不会被提升为管理员。安全研究人员提醒用户称，热门开源自托管云存储解决方案 File Browser的注册系统中存在一个严重的逻辑漏洞CVE-2026-32760（CVSS评分10分），可自动将完全的管理权限授予任何注册的新用户。关于该漏洞的安全公告提到，“注册处理程序盲目地将所有默认设

研究人员指出，远程代码执行漏洞可使攻击者获得底层基础设施的完全管理权限。Tenable公司进一步说明指出，在云端部署的实例中，该漏洞可能引发跨租户访问风险。第二个漏洞为"授权绕过漏洞"，攻击者可利用该漏洞接入Looker内部数据库连接，并通过基于错误的SQL注入技术窃取完整的内部MySQL数据库。虽然该公司已为云端托管实例部署补丁，但自托管实例的用户需确保其运行的是已修复漏Looker版本。网络安

CVE-2025-59156、CVE-2025-59157、CVE-2025-59158 —— 影响版本 <= 4.0.0-beta.420.6（已在版本 4.0.0-beta.420.7 中修复）CVE-2025-66209、CVE-2025-66210、CVE-2025-66211 —— 影响版本 <= 4.0.0-beta.448（已在版本 >= 4.0.0-beta.451 中修复）代码卫

该设计本为方便本地开发，但在反向代理场景下会形成安全漏洞：代理服务器通过127.0.0.1转发流量时，由于网关配置trustedProxies默认为空数组，系统将忽略X-Forwarded-For请求头，导致所有经由代理的访问都被视作本地可信请求。攻击者还能继承智能体权限：发送消息、执行工具操作，甚至通过过滤响应内容来操控用户感知。作为一款迅猛发展的开源AI智能体网关，正面临日益严峻的安全隐患：目

OpenClaw 公司的开发人员在一份安全公告中提到，“这是一个令牌盗取漏洞，可导致网关遭完全攻陷。攻击者获得了对该网关API的操作权限，因此能够在网关主机上执行任意配置变更和代码执行。安全公司 DepthFirst 的研究员最近发现，OpenClaw 受该漏洞影响，可导致攻击者获得用户的认证令牌，从而连接到受害者的 OpenClaw 实例。由于OpenClaw 在系统上提权并获得访问数据和应用的

"换句话说，该攻击序列利用GitHub Actions缓存投毒，从议题分类工作流横向移动到高权限工作流，例如"发布夜间版"和"发布NPM夜间版"工作流，并窃取夜间发布，这些凭据拥有与生产环境发布所用凭据相同的访问权限。Cline软件包维护人员发布公告称："太平洋时间2026年2月17日凌晨3点26分，未经授权方利用被盗的npm发布令牌，在NPM注册表上发布了Cline CLI的更新版本：cline

获得经过身份验证的会话和管理员权限后，攻击者现在可以直接与AI平台交互，转储凭据、列出已连接的节点、窃取凭据以及读取应用程序日志，从而导致攻击者指示智能体在消息历史记录中搜索敏感信息，从已连接的设备中窃取文件，或在配对的节点上执行任意Shell命令，最终可仅从一个浏览器标签页就能导致整个工作站被攻陷。由于浏览器的跨域策略不会阻止与本地主机的WebSocket连接，当OpenClaw用户访问恶意网站

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士开源的私有云软件 CasaOS 中存在两个严重漏洞，如被成功利用可导致攻击者实现任意代码执行并接管可疑系统。这两个漏洞的编号是CVE-2023-37265和CVE-2023-37266，CVSS评分均为9.8。Sonar 公司的安全研究员 Thomas Chauchefoin 发现了这两个漏洞并表示，它们“可导致攻击者绕过认证要求并获得对 Cas.

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士欧洲委员会在2022年9月份醍醐《网络弹性法案》，旨在设置一系列规则，重视所有直接或间接联网产品的安全性。产品同时包括硬件和软件产品。欧洲委员会和欧洲议会已在11月30日就文本达成一致，因此CRA将进入最后的批准阶段。按照CRA 的规定，更多健壮的网络安全和弹性法规将要求组织机构按照最低标准保护数字化产品的安全。该法规将强制要求软件和硬件制造商遵.

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士今年早些时候，Quarklab 公司的安全研究员详述了从谷歌Titan M 芯片中发现的一个严重漏洞 (CVE-2022-20233)。Titan M 是在2018年引入的片上系统，旨在向 Pixel 设备交付增强的安全防护措施，包括保证安全启动。CVE-2022-20233 在2022年6月份的安卓安全补丁中修复，当时谷歌称其为严重的提权漏洞。.