文章总结: 2026年7月13日高危CVE漏洞速报涵盖5个严重漏洞:BeyondTrust远程管理平台预认证绕过(CVSS9.8)可接管设备;JoomlaBalbooaForms未认证文件上传RCE(CVSS10.0)已进入CISAKEV在野利用;CogneeAI知识图谱平台未认证LLM配置覆盖(CVSS9.3)可窃取全平台数据;HPLIP打印驱动整数溢出补丁绕过(CVSS9.8)影响主流Linux发行版;FlowiseAI工作流平台硬编码JWT密钥认证绕过(CVSS9.8)最新披露。建议安全团队按优先级逐条排查修复。 综合评分: 85 文章分类: 漏洞预警,漏洞分析,web安全,ai安全,供应链安全
7月13日高危CVE漏洞速报
探知安全
2026年7月13日 10:12 江西
在小说阅读器读本章
去阅读
安全通告
【安全速报】07月13日高危漏洞紧急预警
2026年07月13日 | 探知安全
BeyondTrust远程管理平台披露4漏洞集群,预认证绕过直接接管管理设备(CVSS 9.8);Joomla Balbooa Forms未认证文件上传满分RCE进入CISA KEV在野利用目录;AI知识图谱平台Cognee未认证LLM配置覆盖可窃取全平台用户数据(CVSS 9.3);HPLIP打印驱动整数溢出补丁绕过CVSS 9.8影响全部主流Linux发行版;AI工作流平台Flowise硬编码JWT密钥认证绕过(CVSS 9.8),请立即排查修复。
漏洞详情
| | | | | — | — | — | | 严重 | CVE-2026-40139 | CVSS 9.8 |
BeyondTrust Remote Support/PRA预认证绕过满分漏洞集群(CVSS 9.8·4漏洞同时披露·企业远程管理设备全面沦陷)
BeyondTrust于7月6日披露其Remote Support(RS)和Privileged Remote Access(PRA)产品中存在4个内部发现的漏洞集群(CVE-2026-40138/40139/40140/40141),其中最严重的是两个CVSS v4 9.2分的预认证绕过漏洞。CVE-2026-40139存在于RS认证子系统中:攻击者在特定认证配置启用时,无需任何凭据即可通过网络发送特制的认证请求,绕过所有访问控制机制获取设备的管理员级别权限。CVE-2026-40141允许已认证低权限攻击者通过Web应用程序输入参数验证缺陷访问超出其授权范围的数据资源(CVSS 3.1 9.9分)。这四个漏洞由BeyondTrust内部AI驱动的漏洞研究团队(使用Anthropic Opus 4.8模型)自主发现,漏洞披露时已通过4月安全汇总补丁修复。但互联网上仍有近2000台BeyondTrust设备暴露,且该厂商产品此前已多次成为国家级别攻击者目标(CVE-2026-1731年初遭在野利用)。
影响范围
BeyondTrust Remote Support/PRA 25.3.2及更早版本(企业级特权远程访问管理设备,全球企业/政府机构广泛部署)
修复建议:立即应用4月安全汇总补丁或升级至RS/PRA 25.3.3+(云客户已于4月21日自动修复);限制管理设备仅内网白名单IP访问;审计认证日志排查异常的未经授权设备接管行为
| | | | | — | — | — | | 严重 | CVE-2026-56291 | CVSS 10.0 |
Joomla Balbooa Forms未认证任意文件上传远程代码执行(CVSS v4: 10.0满分·CISA KEV 7/10新增·在野利用确认)
Joomla生态热门表单构建扩展Balbooa Forms存在严重的不受限文件上传漏洞(CWE-434)。任何未认证的远程攻击者可向Balbooa Forms的文件上传接口发送特制HTTP请求,上传包含恶意PHP代码的可执行文件至Web服务器,实现完整的远程代码执行(RCE)。攻击复杂度极低、无需任何权限和用户交互,CVSS v4评分达到满分10.0。安全研究机构mySites.guru于7月9日发布技术分析并确认在野利用活动,CISA于次日(7月10日)紧急将该漏洞纳入已知利用漏洞(KEV)目录,要求联邦机构在规定时间内完成修复。该漏洞与同期披露的Joomla iCagenda(CVE-2026-48939)未认证文件上传漏洞共同构成Joomla生态近期最严重的在野安全威胁。
影响范围
Balbooa Forms所有受影响版本(Joomla生态热门表单插件,大量企业网站和电商站点使用)
修复建议:立即升级Balbooa Forms至最新安全修复版本;检查Web服务器上传目录中是否存在异常.php文件;部署WAF规则阻断对表单上传端点的未授权POST请求;审计Web访问日志排查已发生的Web Shell植入行为
| | | | | — | — | — | | 严重 | CVE-2026-58473 | CVSS 9.3 |
Cognee AI知识图谱平台未认证LLM配置覆盖窃取全平台用户数据(CVSS 9.3·全局单例配置缓存劫持·AI供应链安全警报)
开源AI知识图谱和实体提取平台Cognee(PyPI/cognee)存在严重的不当访问控制漏洞(CWE-862/306)。该漏洞的核心在于Cognee的POST /api/v1/settings端点未执行任何认证或授权检查:攻击者仅需自注册一个账户(如果开放注册)或利用未认证访问,即可调用该端点覆盖全局LLM服务商配置,将整个实例的LLM流量重定向到攻击者控制的端点。由于Cognee使用进程级单例配置缓存(singleton configuration cache),攻击者篡改后的LLM端点会立即对平台上所有用户生效——包括管理员和普通用户的所有提示词(prompt)、上传文档、提取的实体信息以及知识图谱内容都会被直接发送到攻击者指定的恶意端点,实现全平台数据窃取。CVSS v4评分为9.3分(Critical),VulnCheck已确认PoC可用且攻击完全自动化。
影响范围
Cognee < 1.2.0(PyPI开源AI知识图谱平台,应用于企业数据智能和知识管理场景)
修复建议:立即升级至Cognee 1.2.0+(commit d10b1b77修复);在网络层或反向代理层阻断对/api/v1/settings端点的外部访问;审计Cognee日志排查LLM配置是否被异常修改及可疑的数据外发行为
| | | | | — | — | — | | 严重 | CVE-2026-14544 | CVSS 9.8 |
HPLIP HP打印驱动整数溢出补丁绕过远程代码执行(CVSS 9.8·CVE-2026-8631补丁不完整·RHEL/Ubuntu/Debian全面受影响)
Red Hat于7月3日披露了HP Linux Imaging and Printing(HPLIP)软件中的一个严重整数溢出漏洞,编号CVE-2026-14544,CVSS 9.8分。该漏洞是CVE-2026-8631修复的「不完整补丁」:HPLIP的hpcups CUPS打印滤镜在处理IPP/LPD派发的打印任务时,对图像尺寸、分辨率和分片等字段进行无符号乘法运算时未做溢出检查,导致中间值回绕为较小值后被用于内存分配与偏移计算,重新触发了上次修复中遗漏的同类缺陷。远程攻击者仅需向暴露的打印服务端口(IPP默认631端口)发送特制打印作业数据,即可在无需认证和用户交互的情况下触发RCE,以lp用户身份获取主机控制权。受影响范围极广:RHEL 8/9/10、Ubuntu 26.04/25.10/24.04/22.04 LTS、Debian sid/trixie/bookworm/bullseye、openSUSE等主流Linux发行版均受影响。修复版本HPLIP 3.26.4已发布,但大量企业Linux服务器中的CUPS打印服务通常被管理员忽视而暴露在网络中,构成严重安全隐患。
影响范围
HPLIP < 3.26.4(RHEL 8/9/10、Ubuntu 22.04-26.04 LTS、Debian全系、openSUSE等主流Linux发行版;CUPS/IPP打印服务默认网络可达的高风险环境)
修复建议:立即升级HPLIP至3.26.4+(Ubuntu: apt upgrade hplip; RHEL: yum update hplip; openSUSE: zypper patch);使用firewall-cmd限制IPP打印服务仅受信任网段访问;如不使用打印功能执行dnf remove hplip彻底移除;部署IDS规则监控异常打印作业流量
| | | | | — | — | — | | 严重 | CVE-2026-56271 | CVSS 9.8 |
Flowise AI工作流平台硬编码JWT密钥认证绕过(CVSS 9.8·环境变量缺失即全局沦陷·7月12日最新披露)
开源AI工作流构建平台Flowise(npm包flowise)在7月12日披露了一个致命的硬编码JWT密钥认证绕过漏洞,CVSS v3.1评分9.8分(Critical)。漏洞根因极其低级:Flowise企业版passport认证中间件(packages/server/src/enterprise/middleware/passport/index.ts)在第29-34行使用了字面量硬编码默认值——JWT签名密钥为’auth_token’和’refresh_token’,audience和issuer为’AUDIENCE’和’ISSUER’。当管理员未显式配置JWT_AUTH_TOKEN_SECRET、JWT_REFRESH_TOKEN_SECRET、JWT_AUDIENCE、JWT_ISSUER这四个环境变量时,系统静默回退到这些公开已知的默认值——这是典型的CWE-321「使用硬编码加密密钥」漏洞。攻击者仅需获知Flowise实例的URL,即可使用这些公开密钥伪造任意用户(包括管理员)的合法JWT令牌,完全绕过身份认证获取管理权限,进而访问和操控所有AI工作流配置、LLM连接凭证和业务数据。IONIX研究团队已观测到在野利用尝试,强烈建议立即升级。
影响范围
Flowise ≤ 3.0.13(npm/flowise,开源低代码AI工作流平台,广泛应用于企业AI Agent构建和LLM编排场景)
修复建议:立即升级至Flowise 3.1.0+(移除硬编码密钥强制要求显式配置);若暂无法升级,立即为JWT_AUTH_TOKEN_SECRET等四个环境变量设置强随机值;限制Flowise实例网络访问仅内网受信来源;审计JWT认证日志排查异常的伪造令牌访问行为
重要提醒
本期高危漏洞速报覆盖企业远程管理、CMS生态、AI平台供应链及基础系统组件多个维度:BeyondTrust 4漏洞集群预认证绕过CVSS 9.8直接接管管理设备、Joomla Balbooa Forms CVSS 10.0满分在野利用CISA KEV新增、Cognee AI平台配置劫持CVSS 9.3窃取全平台数据、HPLIP打印系统补丁绕过CVSS 9.8影响全部主流Linux、Flowise硬编码JWT CVSS 9.8 7月12日最新披露——请安全团队按优先级逐条排查修复,切勿因漏洞分散而降低处置标准。
处置建议
① BeyondTrust RS/PRA用户立即应用4月安全汇总补丁或升级至25.3.3+,限制设备网络暴露
② Joomla站点管理员立即检查Balbooa Forms/iCagenda版本并升级,排查上传目录异常文件
③ Cognee用户立即升级至1.2.0+,阻断/api/v1/settings端点外部访问,审计LLM配置
④ 所有Linux服务器管理员立即升级HPLIP至3.26.4+,或限制CUPS打印服务仅内网访问
⑤ Flowise用户立即升级至3.1.0+并设置强JWT密钥环境变量,审计认证日志
觉得有用?点击右下角在看,让更多人看到
探知安全 · 每日推送最新漏洞资讯
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:探知安全 《7月13日高危CVE漏洞速报》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论