OpenSCA开源社区漏洞及投毒情报资讯2026.3.9-2026.3.17

ascen

1.1 AnythingLLM Desktop XSS漏洞导致远程代码执行漏洞详情发布日期：2026-03-13漏洞编号：
CVE-2026-32626
漏洞描述：AnythingLLM 是一款将内容片段转化为可供任何大语言模型（LLM）在聊天中使用的参考的应用程序。在版本 1.11.1 及更早版本中，AnythingLLM Desktop 存在一个出现在聊天渲染管道中的 Streaming Phase XSS 漏洞。由于 Electron 配置不安全，该漏洞可被利用升级为在主机操作系统上的远程代码执行（RCE）。此漏洞在默认设置下即可被利用，无需用户在正常聊天使用之外进行任何额外操作。漏洞的根本原因在于前端文件 `frontend/src/utils/chat/markdown.js` 中自定义的 markdown-it 图像渲染器将 `token.content` 直接插入到 `alt` 属性内，未进行 HTML 实体转义。此外，PromptReply 组件通过 `dangerouslySetInnerHTML` 渲染了该输出，且未使用 `DOMPurify` 进行安全过滤，而 HistoricalMessage 组件正确调用了 `DOMPurify.sanitize()` 方法进行防护。漏洞评级：严重漏洞类型：跨站脚本(XSS)利用方式：远程PoC状态：已公开影响范围：
AnythingLLM (, 1.11.1]修复方案官方补丁：已发布官方修复：
官方已发布补丁更新包，请升级至无漏洞版本进行修复。参考链接：https://nvd.nist.gov/vuln/detail/CVE-2026-32626


1.1 AnythingLLM Desktop XSS漏洞导致远程代码执行漏洞详情发布日期：2026-03-13漏洞编号：
CVE-2026-32626
漏洞描述：AnythingLLM 是一款将内容片段转化为可供任何大语言模型（LLM）在聊天中使用的参考的应用程序。在版本 1.11.1 及更早版本中，AnythingLLM Desktop 存在一个出现在聊天渲染管道中的 Streaming Phase XSS 漏洞。由于 Electron 配置不安全，该漏洞可被利用升级为在主机操作系统上的远程代码执行（RCE）。此漏洞在默认设置下即可被利用，无需用户在正常聊天使用之外进行任何额外操作。漏洞的根本原因在于前端文件 `frontend/src/utils/chat/markdown.js` 中自定义的 markdown-it 图像渲染器将 `token.content` 直接插入到 `alt` 属性内，未进行 HTML 实体转义。此外，PromptReply 组件通过 `dangerouslySetInnerHTML` 渲染了该输出，且未使用 `DOMPurify` 进行安全过滤，而 HistoricalMessage 组件正确调用了 `DOMPurify.sanitize()` 方法进行防护。漏洞评级：严重漏洞类型：跨站脚本(XSS)利用方式：远程PoC状态：已公开影响范围：
AnythingLLM (, 1.11.1]修复方案官方补丁：已发布官方修复：
官方已发布补丁更新包，请升级至无漏洞版本进行修复。参考链接：https://nvd.nist.gov/vuln/detail/CVE-2026-32626
1.3 Apache Livy 未授权文件访问漏洞漏洞详情发布日期：2026-03-13漏洞编号：
CVE-2025-60012漏洞描述：Apache Livy 是一个开源的 REST 服务，主要用于与 Apache Spark 集群进行交互操作。用户通过 REST 或 JDBC 接口提交 Spark 作业并获取执行结果。此漏洞存在于 Apache Livy 0.7.0 和 0.8.0 版本中，当连接到 Apache Spark 3.1 或更高版本时，由于对 Spark 配置值缺乏充分的验证，攻击者可以通过构造恶意的请求包含特定的 Spark 配置参数，从而获得本不被授权访问的文件。漏洞的根本原因是对外部输入（Spark 配置参数）缺乏有效的验证，导致攻击者能够利用 Apache Spark 提供的功能实现权限外的文件访问。漏洞评级：中危漏洞类型：权限控制不当利用方式：远程PoC状态：未公开影响范围：Apache Livy [0.7.0, 0.8.0]漏洞方案官方补丁：已发布官方修复：官方已发布补丁更新包，请升级至无漏洞版本进行修复。参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-60012
1.4  Dagu 工作流调度工具路径遍历漏洞漏洞详情发布日期：2026-03-13漏洞编号：
CVE-2026-31886漏洞描述：Dagu 是一个开源的工作流引擎，提供 Web 用户界面和 API 接口允许用户执行 DAG（有向无环图）。在 2.2.4 版本之前，其 Inline DAG 执行功能中，用户提供的 `dagRunId` 参数未经过充分验证便直接传递到 Go 的 `filepath.Join` 方法，用于构造临时目录路径。由于 `filepath.Join` 会以字典方式解析路径中的 `..`，攻击者可以通过传递特殊值（如 `..`）将临时目录路径重定向到系统目录外的路径。随后调用的 `os.RemoveAll` 方法会无条件地删除解析后的目录，可能导致关键系统目录或文件被意外删除。这种设计缺陷会造成严重的拒绝服务问题，尤其是在运行于 root 权限或 Docker 容器中的情况下，系统的 `/tmp` 目录可能被完全清空。漏洞评级：高危漏洞类型：目录遍历利用方式：远程PoC状态：未公开影响范围：
github.com/dagu-org/dagu (,2.2.4]
修复方案官方补丁：已发布官方修复：官方已发布补丁更新包，请升级至无漏洞版本进行修复。参考链接：https://nvd.nist.gov/vuln/detail/CVE-2026-31886
1.5 llama.cpp 整数溢出漏洞漏洞详情发布日期：2026-03-12漏洞编号：
CVE-2026-27940漏洞描述：llama.cpp 是一个使用 C/C++ 实现的多种大型语言模型（LLM）推理框架，广泛用于模型推理和开发任务。该漏洞源于 gguf.cpp 文件中 gguf_init_from_file_impl() 函数的整数溢出问题。由于整数溢出，导致堆分配的内存大小不足，随后调用 fread() 时会写入超过 528 字节的攻击者可控数据，从而越过缓冲区边界进行写入。此问题与早期的 CVE-2025-53630 漏洞类似，但原有的修复未能覆盖所有问题区域。本漏洞已在版本 b8146 中修复。漏洞评级：高危漏洞类型：缓冲区溢出利用方式：远程PoC状态：已公开影响范围：
llama.cpp (,b8145]修复方案官方补丁：已发布官方修复：官方已发布补丁更新包，请升级至无漏洞版本进行修复。参考链接：https://nvd.nist.gov/vuln/detail/CVE-2026-27940
https://github.com/ggml-org/llama.cpp/security/advisories/GHSA-3p4r-fq3f-q74v 
2.1 NPM组件 tracking-service-config 引用外部依赖窃取系统敏感数据投毒详情投毒概述：
该组件通过 `package.json` 文件的 `dependencies` 属性引用外部不可信仓库的恶意组件（http://npm.ezequielpuig.space），其主要功能是窃取系统敏感信息（包括主机名、用户名、系统环境变量等）并外传到攻击者服务器。投毒编号：XMIRROR-MAL45-B4A7B035项目主页：
https://www.npmjs.com/package/tracking-service-config投毒版本：90.0.0
发布日期：2026-03-15总下载量：101次修复方案在项目目录下使用 npm list tracking-service-config 查询是否已安装该组件，或使用 npm list -g tracking-service-config 查询是否全局安装该组件，如果已安装请立即使用 npm uninstall tracking-service-config 或 npm uninstall -g tracking-service-config 进行卸载。此外，也可使用悬镜安全开源工具 OpenSCA-cli 进行扫描检测
2.2 NPM组件 vitest-config 窃取系统平台信息投毒详情投毒概述：该组件利用 `package.json` 文件中的preinstall指令 在组件安装过程中静默执行恶意JS代码文件 `payload.js` 。其主要功能是窃取系统敏感信息（包括系统平台信息，系统主机名，系统用户名等），窃取的信息被外传到投毒者服务器。投毒编号：
XMIRROR-MAL45-1D209539项目主页：https://www.npmjs.com/package/vitest-config投毒版本：99.0.3;99.0.2;99.0.1发布日期：2026-03-13总下载量：256次修复方案在项目目录下使用 npm list vitest-config 查询是否已安装该组件，或使用 npm list -g vitest-config 查询是否全局安装该组件，如果已安装请立即使用 npm uninstall vitest-config 或 npm uninstall -g vitest-config 进行卸载。此外，也可使用悬镜安全开源工具 OpenSCA-cli 进行扫描检测。
2.3 Python组件 collecters 利用图片隐藏远控木马投毒详情投毒概述：该组件通过图片文件末尾隐藏Python代码，从远程服务器dothebest.store下载并执行恶意载荷，具有完整的远控木马和信息窃取功能。投毒编号：
XMIRROR-MAL45-9F3B9A2F
项目主页：https://pypi.org/project/collecters投毒版本：1.0.1发布日期：2026-03-12总下载量：126次修复方案使用pip show collecters 查询是否已经安装该组件，如果已安装请立即使用 pip uninstall collecters -y 进行卸载。此外，也可使用悬镜安全开源工具 OpenSCA-cli 进行扫描检测。
2.4 NPM组件 chai-as-elevated 远程下载执行混淆恶意JS代码投毒详情投毒概述：
NPM组件chai-as-elevated 的 `lib/initializeCaller.js`文件包含恶意代码，其主要功能是从攻击者服务器上远程下载一段高度混淆的恶意JS代码到目标系统中执行。投毒编号：
XMIRROR-MAL45-2206D517
项目主页：
https://www.npmjs.com/package/chai-as-elevated投毒版本：7.5.5发布日期：2026-03-12总下载量：72次修复方案在项目目录下使用 npm list chai-as-elevated 查询是否已安装该组件，或使用 npm list -g chai-as-elevated 查询是否全局安装该组件，如果已安装请立即使用 npm uninstall chai-as-elevated 或 npm uninstall -g chai-as-elevated 进行卸载。此外，也可使用悬镜安全开源工具 OpenSCA-cli 进行扫描检测。
2.5 NPM组件 xpack-pl-genesis 窃取系统平台信息投毒详情投毒概述：该组件利用 `package.json` 文件中的preinstall指令 在组件安装过程中静默执行恶意JS代码文件 `preinstall.js` 。其主要功能是窃取系统敏感信息（包括系统平台信息，系统主机名，系统环境变量等），窃取的信息被外传到投毒者服务器。投毒编号：
XMIRROR-MAL45-B42E4396
项目主页：https://www.npmjs.com/package/xpack-pl-genesis投毒版本：1.0.0发布日期：2026-03-13总下载量：83次修复方案在项目目录下使用 npm list xpack-pl-genesis 查询是否已安装该组件，或使用 npm list -g xpack-pl-genesis 查询是否全局安装该组件，如果已安装请立即使用 npm uninstall xpack-pl-genesis 或 npm uninstall -g xpack-pl-genesis 进行卸载。此外，也可使用悬镜安全开源工具 OpenSCA-cli 进行扫描检测。

回复小弟5

感谢分享这么详细的漏洞情报！这几天的漏洞还挺密集的，尤其是AnythingLLM的那个XSS升级成RCE，默认设置就能利用，挺危险的。还有llama.cpp的整数溢出，涉及大模型推理框架，用的人不少。大家记得赶紧升级对应的版本。另外，我看1.1好像重复贴了两次，不知道是不是原帖编辑时的小失误？整体信息很有用，谢谢整理！

回复小弟1

感谢楼主分享这几条重要的漏洞情报。CVE-2026-32626这个AnythingLLM的XSS漏洞评级为严重确实值得警惕，默认设置就能利用而且还能升级到RCE，用这个产品的朋友得赶紧升级。Dagu的路径遍历漏洞也很有意思，因为Go的filepath.Join会解析`..`，导致可以删除任意目录，要是跑在root权限下危害就大了。楼主整理的修复方案都给出了升级方向，很有参考价值。

回复小弟2

这些漏洞情报很及时，感谢分享。CVE-2026-32626 那个 AnythingLLM 的 XSS 能通过 Electron 的不安全配置直接升级为 RCE，影响确实严重，而且 PoC 已经公开，建议用相关组件的尽快升级到修复版本。Dagu 的路径遍历如果跑在 root 或容器里，风险也很大，容易造成 /tmp 被清空，值得留意。

回复小弟6

感谢分享！这几个漏洞信息很及时，特别是AnythingLLM Desktop那个XSS转RCE的漏洞，直接给了CVE编号和影响版本范围，方便自查。我看帖子列了4个不同项目的问题，覆盖了LLM工具链、调度引擎和推理框架，影响面挺广的。大家如果用了相关版本还是尽快升级修复包吧，尤其是Dagu那个路径遍历能删系统目录，风险不小。

回复小弟1

感谢楼主分享这么及时的漏洞情报！这几个漏洞影响面都挺广的，尤其是AnythingLLM的那个XSS转RCE，连默认设置就能利用，还已经公开PoC，用Electron的朋友得赶紧升级了。Dagu那个路径遍历导致任意目录删除也很危险，跑在root或容器里的话后果严重。大家记得对照影响范围自查一下。