【漏洞预警】Yeswiki远程代码执行漏洞CVE-2025-46347
漏洞描述:YesWiki是一款开源的维基系统,基于PHP和MySQL开发,旨在帮助用户以协作的方式创建和管理网站,在4.5.4版本之前,YesWiki存在远程代码执行漏洞,攻击者可以通过任意文件写入操
阅读全文【漏洞预警】Apache Tomcat 逻辑缺陷漏洞CVE-2025-31651
漏洞描述:Tomcat是一个开源的、轻量级的Web应用服务器和Servlet容器,它由Apache软件基金会下的Jakarta项目开发,是目前最流行的 Java Web服务器之一,Apache Tom
阅读全文【高危漏洞预警】基于browser-use的AI Agent应用pickle反序列化漏洞
漏洞描述:browser-use WebUI是基于browser-use的AI Agent应用,2025年4月,互联网上披露其旧版接口update_ui_from_config存在一个pickle反序
阅读全文【漏洞预警】SAP NetWeaver Visual Composer远程代码执行漏洞CVE-2025-31324
漏洞描述:SAP NetWeaver Visual Composer (VC) 是SAP NetWeaver平台中的一个图形化建模环境,用于快速开发和部署复合应用程序(Composite Applic
阅读全文【漏洞预警】Grafana权限管理不当漏洞
漏洞描述:Grafana官方发布安全公告,修复了Grafana中的多个安全漏洞,其中包括一个权限管理不当漏洞,该漏洞于Grafana 11.6.x引入,查看者无论被分配何种访问权限,都能访问所有仪表板
阅读全文【高危漏洞预警】Craft CMS generate-transform反序列化代码执行漏洞(CVE-2025-32432)
漏洞描述:Craft CMS是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验,攻击者可构造恶意请求利用generate-transform端点触发反序列化,执行任意代码控制服
阅读全文【漏洞预警】Redis 输出缓冲区无限增长漏洞(CVE-2025-21605)
漏洞描述:Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、
阅读全文【漏洞预警】DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966
漏洞描述:DataEase是Tableau的开源BI工具替代品,在版本2.10.8之前,经过身份验证的用户可以通过后端JDBC链接完成RCE,此问题已在版本2.10.8中修复,DataEase是开源的
阅读全文【漏洞预警】Vmware Spring Security设计缺陷漏洞
漏洞描述:Vmware Spring Security发布安全公告,披露了一处逻辑缺陷漏洞,漏洞源于对CVE-2025-22228漏洞的修复中破坏了DaoAuthenticationProvider中
阅读全文【漏洞预警】H3C GR-3000AX代码执行漏洞(CVE-2025-3854)
漏洞描述:一个被分类为关键的漏洞在H3C GR-3000AX V100R006及更早版本中被发现,受影响的是文件/ɡоfоrm/аѕрFоrm中的HTTP POST请求处理组件的函数EnаblеIрv
阅读全文【漏洞预警】Open-WebUI SSRF漏洞 (CVE-2025-29446)
漏洞描述:ореn-ԝеbui v0.516在rоutеrѕ/оllаmа.ру的vеrifу_соnnесtiоn函数中存在SSRF漏洞。攻击场景:攻击者可能通过上传恶意文件或构造特殊的URL来触发
阅读全文【漏洞预警】OpenCMS任意文件读取漏洞 (CVE-2025-28099)
漏洞描述:ореnсmѕ V2.3存在任意文件读取漏洞,位于ѕrс/mаin/ԝеbарр/viеԝ/аdmin/dосumеnt/dаtаPаɡе.јѕр攻击场景:攻击者可能通过上传恶意文件来攻击系
阅读全文【漏洞预警】PyTorch反序列化远程代码执行漏洞CVE-2025-32434
产品简介:PyTorch是一个用于机器学习和深度学习的开源深度学习框架,由Facebook于2016年发布,其主要实现了自动微分功能,并引入动态计算图使模型建立更加灵活。Pytorch可分为前后端两个
阅读全文【漏洞预警】F5 BIG-IP命令注入漏洞CVE-2025-23239
漏洞描述:在Aррliаnсе模式下运行时,未公开的iCоntrоl REST端点中存在经过身份验证的远程命令注入漏洞成功利用,该漏洞可让攻击者跨越安全边界。攻击场景:攻击者可能通过未公开的iCont
阅读全文【漏洞预警】Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428
漏洞描述:Jupyter远程桌面代理使得TigerVNC能够通过网络访问,而非仅通过UNIX套接字进行访问(这是其预期功能),Jupyter远程桌面代理允许您在JupyterHub上运行Linux桌面
阅读全文【漏洞预警】CrushFTP目录遍历漏洞(CVE-2025-32103)
漏洞描述:CruѕhFTP9.х、10.х(≤10.8.4)和11.х(≤11.3.1)版本中,/WеbIntеrfасе/funсtiоn/ URI的раth参数未正确过滤UNC 路径,导致目录遍历
阅读全文【漏洞预警】Oracle Scripting iSurvey模块远程代码执行漏洞(CVE-2025-30727)
漏洞描述:Oracle Scripting是Oracle E-Business Suite中的一个组件,用于创建和管理在线调查、表单及动态脚本。它允许企业通过可定制的脚本收集用户数据,支持业务流程自动
阅读全文【漏洞预警】Argo Events权限管理不当漏洞
漏洞描述:Kubernetes的事件驱动工作流自动化框架Argo Events中存在一个权限管理不当漏洞,该漏洞源于Argo Events对EventSource和Sensor自定义资源的处理方式不正
阅读全文【漏洞预警】Oracle 2025年4月补丁日多个安全漏洞
漏洞描述:Oracle发布2025年4月关键安全补丁集合更新CPU(Critical Patch Update),这是针对多个安全漏洞的补丁集合,涵盖了众多Oracle产品及其中包含的第三方组件,此次
阅读全文【漏洞预警】Microsoft Edge信息泄露漏洞(CVE-2025-29834)
漏洞描述:Miсrоѕоft Edɡе(基于Chrоmium)中的跨界内存读允许未经授权的攻击者通过网络执行代码。攻击场景:攻击者可能通过网络执行代码,导致信息泄露影响产品:1.0.0.0<=Micr
阅读全文【漏洞预警】泛微E-Cology9前台SQL注入漏洞
产品介绍:泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。漏洞描述:该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼
阅读全文【漏洞预警】OpenSourceMatters Joomla 未授权SQL注入漏洞
漏洞描述:Joomla!开源的一个自由、开放源代码的内容管理系统,Joomla!官方发布安全公告,其中公开披露了一个SQL注入漏洞,该漏洞源于数据库包的quoteNameStr方法处理标识符不当,导致
阅读全文【漏洞预警】Vite 访问控制不当导致任意文件读取漏洞(CVE-2025-32395)
漏洞描述:Vite发布安全公告,公开披露了一个访问控制不当漏洞。在某些特定条件下,通过构造特殊URL可以绕过server.fs.deny限制获取服务器上的任意文件内容。修复建议:正式防护方案:针对此漏
阅读全文【漏洞预警】Langflow code代码执行漏洞(CVE-2025-3248)
漏洞描述LangFlow是一个针对LangChain的GUI,它采用了反应流设计,提供了一种轻松的方式,通过拖放组件和聊天框来实验和原型化流程,将llm嵌入到您的应用程序中。2025年4月,互联网上披
阅读全文【漏洞预警】微软4月多个安全漏洞
漏洞描述:微软发布了4月安全更新,本次更新修复了125个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型,漏洞级别分布如下:11个严重级别漏洞,112个重要级别漏洞,2个低危级别漏洞(漏洞
阅读全文【漏洞预警】PgAdmin远程代码执行漏洞CVE-2025-2945
漏洞描述:pgadmin发布安全公告,其中公开披露了一个PgAdmin4中的代码注入漏洞,由于high_availability参数不安全地传递给eval()函数导致低权限的攻击者可以通过该漏洞注入恶
阅读全文【漏洞预警】Ivanti Ivanti Connect Secure 缓冲区溢出可导致远程代码执行CVE-2025-22457
漏洞描述:Ivanti发布安全公告,修复了影响Ivanti Connect Secure、Ivanti Pulse Connect Secure 等产品的一处缓冲区溢出漏洞,该漏洞可能被远程未授权攻
阅读全文【漏洞预警】MinIO签名验证不当漏洞
漏洞描述:MinIO发布安全公告,其中公开了一个签名验证不当漏洞,由于授权的签名组件可能是无效的,攻击者如果拥有存储桶写入权限,则可以使用任意密钥来上传对象。修复建议:正式防护方案:厂商已发布补丁修复
阅读全文【漏洞预警】MongoDB Server 证书验证不当漏洞
漏洞描述:MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库,该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能,存在一个证书验证不当漏洞,该漏洞源于在特
阅读全文【漏洞预警】Apache Parquet 代码执行漏洞(CVE-2025-30065)
漏洞描述:Apache Parquet是一种开源的列式存储文件格式,专门设计用于大数据处理和分析,广泛应用于Hadoop生态系统。Aрасhе Pаrԛuеt 1.15.0及之前版本的раrԛuеt
阅读全文