速修!帆软 FineReport 前台远程代码执行漏洞
漏洞概况帆软 FineReport 是一款专业的企业级 Web 报表和数据分析软件,它允许用户通过拖拽式操作快速设计复杂报表,并支持多种数据源的连接与可视化展示。微步情报局通过“X漏洞奖励计划”获取到
阅读全文还得继续修!React又爆新漏洞
漏洞概况 近日,微步情报局监测到React官方披露了React Server Components(RSC)中的两个新安全漏洞。这些漏洞是在修补React2Shell 漏洞(已复现!React/
阅读全文漏洞奖励计划活动开启!奖金提升,提交减负!
非0day漏洞“有通告即收录”,奖励最高看齐0day,提交更轻松!活动亮点 0day漏洞奖励提升:若0day漏洞提供稳定的厂商漏洞公告发布渠道链接,可获额外30%奖金。 非0day漏洞高额奖励:仅收录
阅读全文用友U9Cloud最新RCE,微步TDP10月已支持检测!
漏洞概况用友U9Cloud是用友网络面向大型制造企业推出的云ERP平台,提供供应链管理、生产制造和财务管理等一体化解决方案。微步情报局通过X漏洞奖励计划获取到用友U9Cloud反序列化漏洞情报(htt
阅读全文5天近百万次!React RCE漏洞正在被大范围利用
React RCE漏洞披露之后,微步情报局观察到有关攻击行为正在极速增长。本文对其攻击行为进行聚合分析,相关漏洞深度分析报告可以参考微步在线发布的分析链接:TDP检测团队公开React漏洞检测规则与排
阅读全文已复现!React/Next.js 组件爆RCE 漏洞,建议立即排查
漏洞概况React是一个用于构建用户界面的JavaScript库,广泛用于开发单页应用程序和移动应用程序。近日,微步情报局监测到React 服务器组件中存在一个严重漏洞(CVE-2025-55182)
阅读全文已复现!GeoServer GetMap XXE注入漏洞(CVE-2025-58360)
漏洞概况GeoServer是一款开源的地理数据服务器,用于共享、编辑和发布地理空间数据,支持多种标准地图服务协议。 近日,微步情报局监测到GeoServer官方发布通告,修复了GeoServer Ge
阅读全文速修!FortiWeb无条件RCE利用链发现在野利用
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Fortinet FortiWeb 是 Fortinet
阅读全文已在野 | 深信服运维安全管理系统 portal_login 远程命令执行漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。深信服运维安全管理系统(堡垒机OSM)是一款集账号管理、身
阅读全文漏洞通告 | TongWeb应用服务器 ejbserver 远程代码执行漏洞
漏洞概况TongWeb是北京东方通科技股份有限公司的一款应用服务器 。微步情报局获取到TongWeb 修复了一处远程代码执行漏洞(https://www.tongtech.com/newsDetail
阅读全文漏洞通告 | JumpServer superconnectiontoken 权限管理错误漏洞
漏洞概况JumpServer 是一款开源的堡垒机与运维安全审计系统。微步情报局获取到JumpServer 修复了一处权限管理错误漏洞(https://github.com/jumpserver/jum
阅读全文已复现 | Redis Lua 远程代码执行漏洞,PoC公开
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。2025年10月9日,微步情报局发布Redis Lua 远
阅读全文漏洞通告 | Apache Tomcat 目录遍历漏洞
漏洞概况Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。
阅读全文7-Zip曝目录穿越漏洞,微步OneSEC默认检测
漏洞概况7-Zip 是一款较为常用的压缩工具。微步情报局监测到7-Zip修复了两处目录穿越漏洞:https://www.zerodayinitiative.com/advisories/ZDI-25-
阅读全文漏洞通告 | Redis Lua 远程代码执行漏洞
漏洞概况Redis是一个开源的使用ANSIC语言编写、遵守BSD协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。微步情报局获取到Redis Lua远程代码执行漏洞(CVE-2025-
阅读全文漏洞通告 | U8cloud 全版本 IPFxxFileService任意文件上传漏洞
漏洞概况用友U8Cloud是用友推出的新一代云ERP产品,主要聚焦于成长型、创新型企业,为其提供企业级的云ERP整体解决方案。微步情报局监测到用友安全修复了一处任意文件上传漏洞(https://sec
阅读全文微步支持检测!百度网盘最新RCE漏洞,可导致电脑被控
漏洞概况近日,网传百度网盘存在一处远程命令执行漏洞,触发后可导致用户电脑被完全控制。目前,微步已成功复现该漏洞,微步威胁感知平台TDP、终端安全管理平台OneSEC均已支持对该漏洞的精确检测(详情参见
阅读全文漏洞通告 | 微步情报局发现h2o-3存在高危漏洞
漏洞概况h2o-3是一个开源的分布式机器学习平台,旨在让用户轻松地基于大数据进行预测分析和模型构建。微步情报局长期关注国内外影响较大的开源项目,对可能存在的漏洞进行持续挖掘分析。微步情报局挖掘出CVE
阅读全文漏洞通告 | 用友U8Cloud 文件上传绕过漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。用友U8Cloud是用友推出的新一代云ERP产品,主要聚焦
阅读全文漏洞通告 | Gitblit 身份认证绕过漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Gitblit 是一个开源的纯 Java Git 解决方案
阅读全文漏洞通告 | CrushFTP 身份认证绕过漏洞被黑客组织积极利用
漏洞概况CrushFTP是一款企业级文件传输服务器,被广泛用于安全地共享和管理文件。近日,微步情报局获取到CrushFTP修复了一处身份认证绕过漏洞(CVE-2025-54309)。根据微步漏洞情报显
阅读全文漏洞通告 | 微步情报局再次发现DataEase存在高危漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。DataEase 是一款开源的数据可视化分析工具,旨在帮助
阅读全文已复现!Apple ImageIo 越界写入漏洞,影响macOS、iOS、iPadOS
漏洞概况近日,微步情报局获取到Apple修复了一处越界写入漏洞(CVE-2025-43300)。根据微步漏洞情报显示,该漏洞已经被APT组织积极利用(完整漏洞利用情报请查阅https://x.thre
阅读全文漏洞通告 | Smartbi 远程代码执行漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Smartbi 是一款领先的国产商业智能软件,致力于为企业
阅读全文漏洞通告 | Microsoft Windows文件资源管理器欺骗漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Windows文件资源管理器(FileExplorer)是
阅读全文漏洞通告 | Stirling-PDF 服务端请求伪造漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Stirling-PDF 是一款本地托管的Web应用程序,
阅读全文漏洞通告 | Cherry Studio 命令注入漏洞
漏洞概况Cherry Studio是一款支持多个 LLM 提供商的桌面客户端。近日,微步情报局获取到Cherry Studio修复了一处命令注入漏洞(CVE-2025-54074)。微步情报局已成功复
阅读全文速修!WinRAR 目录穿越漏洞被APT积极利用
漏洞概况WinRAR是一款流行的Windows平台压缩和归档工具。近日,微步情报局获取到WinRAR修复了一处目录穿越漏洞(CVE-2025-8088)。根据微步漏洞情报显示,该漏洞已经被APT组织积
阅读全文漏洞通告 | Jenkins Git Parameter插件远程代码执行漏洞
漏洞概况Jenkins是一款开源的自动化服务器,主要用于自动化构建、测试和部署软件。Git Parameter 插件为 Jenkins 构建任务提供参数化能力,可在构建前以列表形式选择 Git 分支、
阅读全文漏洞通告 | Cursor远程代码执行漏洞
漏洞概况Cursor 是一款由 Anysphere 推出的 AI 原生代码编辑器,基于 VS Code 深度定制,专为"AI-first"编程体验设计。它不仅保留了 VS Code 的界面和插件生态,
阅读全文