http://wechat.doonsec.com/MzkyNzQzNDI5OQ.xmlThe latest security articles about WeChat official accountzh-CNSun, 29 Jun 2025 12:33:30 GMTPyRSS2Gen-1.1.0http://blogs.law.harvard.edu/tech/rsshttp://wechat.doonsec.com/http://wechat.doonsec.com/static/front/img/doonsec_bak3.pnghttps://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486706&idx=1&sn=d9e5d1e4447758f5410a1fed8c43be42近日，安全聚实验室监测到 IBM WebSphere Application Server 存在远程代码执行漏洞，编号为：CVE-2025-36038，漏洞评分：9.0安全聚安全聚2025-06-28T17:13:42https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486704&idx=1&sn=1e59b5cc0f1b3b36a82ca5bb0b3457b6近日，安全聚实验室监测到 Windows WebDAV 客户端存在远程代码执行漏洞，编号为：CVE-2025-33053，漏洞评分：8.8安全聚安全聚2025-06-13T13:42:29https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486702&idx=1&sn=f844b6dc7ef770d088fa345f3a7a30dc近日，安全聚实验室监测到 Google Chrome V8 存在类型混淆漏洞，编号为：CVE-2025-5959，漏洞评分：8.8安全聚安全聚2025-06-11T20:08:39https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486700&idx=1&sn=c4141ed8747a6ddf3958888b71c5899e近日，安全聚实验室监测到 Apache Kafka Connect 存在任意文件读取和服务端请求伪造漏洞，编号为：CVE-2025-27817，CVSS:7.5安全聚安全聚2025-06-10T15:21:07https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486697&idx=1&sn=8286bc3f6b40a00154d5b7cd13c4dd8a近日，安全聚实验室监测到 Roundcube Webmail 存在代码执行漏洞，编号为：CVE-2025-49113，CVSS:9.9安全聚安全聚2025-06-07T10:00:18https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486694&idx=1&sn=c0b1408fba02412f21d2e7d5c3078bed近日，安全聚实验室监测到 DataEase 存在远程代码执行漏洞 ，编号为：CVE-2025-49002，CVSS:9.8安全聚安全聚2025-06-05T19:29:40https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486692&idx=1&sn=6cb93ecc909a04b68dfcecff8622eec0近日，安全聚实验室监测到 Google Chrome 存在越界读写漏洞 ，编号为：CVE-2025-5419，CVSS:8.8安全聚安全聚2025-06-03T13:29:10https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486690&idx=1&sn=1edf88a3285d6b7f9ce75f4029eadb8e近日，安全聚实验室监测到 VMware VCenter Server 存在命令执行漏洞 ，编号为：CVE-2024-24780，CVSS:8.8安全聚安全聚2025-05-21T20:44:55https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486688&idx=1&sn=75f519098b5ec8f6c3615719e2290902近日，安全聚实验室监测到 Apache IoTDB 存在远程代码执行漏洞 ，编号为：CVE-2024-24780，CVSS:9.8 具有创建 UDF 权限的攻击者可以通过提交恶意构造的不可信URI,从而直接执行操作系统级别的任意命令安全聚安全聚2025-05-16T20:01:31https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486686&idx=1&sn=3275924bc00806abd77ad46c738de75d近日，安全聚实验室监测到 Node.js 存在异步加密错误处理不当漏洞 ，编号为：CVE-2025-23166，CVSS:5.3 xa0攻击者可以通过构造特定的异常输入，导致 Node.js 进程崩溃。安全聚安全聚2025-05-15T18:00:14https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486686&idx=2&sn=d5c362cb087ced538a1c6b14d7297b3b近日，安全聚实验室监测到 Google Chrome 存在访问控制不当漏洞 ，编号为：CVE-2025-4664，CVSS:4.3 xa0攻击者可构造恶意网站诱导用户访问，导致泄露跨域数据。安全聚安全聚2025-05-15T18:00:14https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486684&idx=1&sn=c6d841b946758cf27ae33baff3e84c79近日，安全聚实验室监测到 Kibana 存在原型污染导致执行任意代码漏洞 ，编号为：CVE-2025-25014，CVSS:9.1 xa0攻击者通过精心构造的HTTP请求对机器学习和报告接口实施任意代码执行。安全聚安全聚2025-05-07T17:02:03https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486682&idx=1&sn=787f6342e330f1a7f7603fb2719a7748近日，安全聚实验室监测到 Oracle E-Business Suite 存在远程代码执行漏洞 ，编号为：CVE-2025-30727，CVSS:9.8 xa0未经身份验证的攻击者通过 该漏洞执行任意代码，成功攻击此漏洞可导致接管服务器。安全聚安全聚2025-04-16T19:01:02https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486679&idx=1&sn=46b3a31a1ea5b645361d94338a8debfb近日，安全聚实验室监测到 Vite 存在任意文件读取漏洞 ，编号为：CVE-2025-32395，CVSS:6.0 xa0由于没有对请求的路径进行严格的安全检查和限制，攻击者可利用该漏洞获取敏感信息，可能导致系统数据泄露等严重后果。安全聚安全聚2025-04-12T11:55:37https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486676&idx=1&sn=5848134531a18aa89d60c3ce801cbe56近日，安全聚实验室监测到BentoML runner服务器存在远程命令执行漏洞 ，编号为：CVE-2025-32375，CVSS:9.8 xa0攻击者可以通过，不安全的反序列化，设置POST请求中的特定参数，在服务器上执行任何未经授权的任意代码安全聚安全聚2025-04-10T19:37:18https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486673&idx=1&sn=c2ca26d2b8ad1423184df53dd95a00b6近日，安全聚实验室监测到 pgAdmin 存在远程代码执行漏洞 ，编号为：CVE-2025-2945，CVSS:10 xa0由于high_availability参数被不安全地传递给 eval() 函数，低权限攻击者可以利用该漏洞注入恶意代码安全聚安全聚2025-04-08T20:03:43https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486667&idx=1&sn=0aa6e0b666110b7eb82210b769e8e216近日，安全聚实验室监测到 Vite 存在任意文件读取漏洞 ，编号为：CVE-2025-31486，CVSS:5.3 xa0由于没有对请求的路径进行严格的安全检查和限制，攻击者可以绕过保护机制，非法访问项目根目录外的敏感文件。安全聚安全聚2025-04-07T20:52:14https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486664&idx=1&sn=ca445b4c2c7304c0f7a9d6e08425dce5近日，安全聚实验室监测到JumpServer存在信息泄露漏洞 ，编号为：CVE-2025-27095，CVSS:4.3 使用低权限用户利用 Kubernetes 会话中的漏洞获取 Kubernetes 集群的 Token，导致信息泄露安全聚安全聚2025-03-31T13:35:10https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486661&idx=1&sn=bde83cb31639f48a4db14ef0d3d49291网络安全已成为国家战略的重要组成部分，作为国内权威漏洞信息管理平台，CNNVD（中国国家信息安全漏洞库）支撑单位的资质认证，是企业技术实力与行业影响力的重要体现。安全聚安全聚2025-03-27T11:31:35https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486661&idx=2&sn=cf3d66b610243e99f13f0b4c65532261近日，安全聚实验室监测到 Ingress NGINX Controller 存在远程代码执行漏洞 ，编号为：CVE-2025-1974，CVSS:9.8 xa0未经身份验证的攻击者可以在ingress-nginx控制器的上下文中实现任意代码执行安全聚安全聚2025-03-27T11:31:35https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486656&idx=1&sn=9f3281fd745d13a53e71051309b7218f近日，安全聚实验室监测到 Google Chrome 存在沙箱逃逸漏洞 ，编号为：CVE-2025-2783，CVSS:8.8 xa0攻击者绕过沙箱隔离，从而导致信息泄露和代码执行等严重风险。安全聚安全聚2025-03-26T12:44:28https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486654&idx=1&sn=05184bc85eabbbdae1d130302bfde710近日，安全聚实验室监测到 Spring Security 存在授权绕过漏洞 ，编号为：CVE-2025-22223，CVSS:5.3 xa0攻击者可以会利用参数化类型或方法上的安全注释定位不准确，从而成功绕过授权机制。安全聚安全聚2025-03-26T09:00:34https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486651&idx=1&sn=debd2daa82821a0e5c0217ad2d5bfee2近日，安全聚实验室监测到 Next.js 存在权限绕过漏洞 ，编号为：CVE-2025-29927，CVSS:9.1 xa0未经身份验证的攻击者可能通过操作请求头绕过基于中间件的安全控制，从而获取对受保护资源和敏感数据的未授权访问。安全聚安全聚2025-03-24T19:31:01https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486646&idx=1&sn=bea37054d19f4714aaacd5ef5b0850d82025国家护网行动即将开启！现面向广东省招募蓝队（防守方）精英，共同构筑关键信息基础设施安全防线！安全聚安全聚2025-03-21T20:02:32https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486640&idx=1&sn=bad20ba1b3918caf4f9046b096138048近日，安全聚实验室监测到 Windows 存在文件资源管理器欺骗漏洞 ，编号为：CVE-2025-24071，CVSS:7.5 xa0攻击者可通过构造恶意RAR/ZIP存档，解压触发隐式 NTLM 认证握手，导致用户的NTLM哈希泄露安全聚安全聚2025-03-19T19:00:20https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486637&idx=1&sn=9582df0651833643a927edc2a197edd2近日，安全聚实验室监测到 Apache Tomcat 存在远程代码执行漏洞 ，编号为：CVE-2025-24813，CVSS:8.7安全聚安全聚2025-03-11T22:12:35https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486635&idx=1&sn=7ac8d259c95b99e721ec7343479f7f00近日，安全聚实验室监测到 Apache Tomcat 存在条件竞争漏洞 ，编号为：CVE-2024-50379，CVSS:9.8 xa0此漏洞允许未经身份验证的攻击者在启用默认 servlet 写入时对不区分大小写的文件系统进行远程命令执行。安全聚安全聚2024-12-18T19:30:20https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486633&idx=1&sn=ce9d691bace642433060f9e374fae37d近日，安全聚实验室监测到 Apache Struts 中存在文件上传漏洞 ，CVSS:9. 5xa0此漏洞允许未经身份验证的攻击者可以操纵文件上传参数以启用路径遍历，这可能导致上传可用于执行远程代码执行的恶意文件。安全聚安全聚2024-12-12T21:14:45https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486630&idx=2&sn=026c48584f4718ccc5c85843a1ad6b81近日，安全聚实验室监测到 PgAdmin 存在身份验证缺陷漏洞，编号为：CVE-2024-9014，漏洞评分：9.9 此漏洞允许攻击者潜在地获取客户端 ID 和密钥，从而导致对用户数据进行未经授权的访问。安全聚安全聚2024-09-25T16:00:43https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486624&idx=1&sn=66a3023c62efb96735a2f6a82e83b72a近日，安全聚实验室监测到 VMware vCenter Server 存在堆溢出漏洞，编号为：CVE-2024-38812，漏洞评分：9.8 此漏洞允许攻击者通过发送特制的网络数据包来触发漏洞，成功利用可能导致远程代码执行。安全聚安全聚2024-09-18T19:54:05https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486622&idx=1&sn=948c0eb64c1d0e19411fd33f35a7aba4近日，安全聚实验室监测到Spring Framework存在路径遍历漏洞，编号为：CVE-2024-38816，漏洞评分：7.5 允许攻击者构建恶意 HTTP 请求，并获取文件系统上任何文件，也可以被运行 Spring 应用程序的进程访问安全聚安全聚2024-09-13T18:05:23https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486620&idx=1&sn=8e479e0715295df2fc4530904a89051c近日，安全聚实验室监测到 GitLab 存在访问控制不当漏洞，编号为：CVE-2024-6678，漏洞评分：9.9 此漏洞允许攻击者在某些情况下以任意用户身份触发Pipeline，从而可能导致权限提升或执行恶意操作。安全聚安全聚2024-09-12T18:39:14https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486620&idx=2&sn=e7c47f6bd10e5cb21d46344e0f6df6d8近日，安全聚实验室监测到 Adobe ColdFusion 存在远程代码执行漏洞，编号为：CVE-2024-41874，漏洞评分：9.8 此漏洞允许未经授权的攻击者能够利用恶意反序列化数据在服务器上执行任意代码。安全聚安全聚2024-09-12T18:39:14https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486618&idx=1&sn=726983ee2692969cc4638bddbd6e8a2c近日，安全聚实验室监测到 FreeBSD UAF 存在代码执行漏洞，编号为：CVE-2024-43102，漏洞评分：10 此漏洞允许攻击者通过并行执行 恶意代码导致内核崩溃或进一步执行Use-After-Free攻击，从而导致代码执行。安全聚安全聚2024-09-10T18:04:50https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486616&idx=1&sn=b351e2f24bf492624fab0bf1fb336bf4近日，安全聚实验室监测到 Apache OFBiz 存在服务端请求伪造漏洞，编号为：CVE-2024-45507，漏洞评分：9.8 此漏洞允许远程攻击者向内部发送任意请求，最终可导致任意远程执行。安全聚安全聚2024-09-04T17:31:42https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486614&idx=1&sn=dc1e21747d876cf3bf58ade5a6b64cab近日，安全聚实验室监测到 Windows TCP/IP 存在远程执行代码漏洞，编号为：CVE-2024-38063，漏洞评分：9.8 此漏洞允许攻击者利用该缺陷来触发缓冲区溢出，从而在目标系统上执行任意代码。安全聚安全聚2024-08-28T13:38:52https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486605&idx=1&sn=f03003b8ef87b5e7f7d1bb450523af08近日，安全聚实验室监测到 Google Chrome V8 存在类型混淆漏洞，编号为：CVE-2024-7971，漏洞评分：8.8 此漏洞允许攻击者通过诱导受害者访问恶意HTML页面，导致浏览器崩溃、信息泄露或执行任意代码。安全聚安全聚2024-08-22T19:01:28https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486597&idx=1&sn=2f946f2f8946fc6c54902050662ccc9b近日，安全聚实验室监测到 Ivanti Virtual Traffic Manager 存在身份验证绕过漏洞，编号为：CVE-2024-7593，漏洞评分：9.8 此漏洞允许未经身份验证的远程攻击者绕过管理面板的身份验证。安全聚安全聚2024-08-14T20:30:35https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486595&idx=1&sn=1cef7a19a3ce6b3999e861298376dc54近日，安全聚实验室监测到Microsoft Windows CLFS.sys服务中存在拒绝服务漏洞，编号为：CVE-2024-6768，漏洞评分：6.8 该漏洞可轻易被本地低权限攻击者利用，通过不当输入验证，从而导致蓝屏死机。安全聚安全聚2024-08-13T20:31:21https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486590&idx=1&sn=138cdb6c3c735d46a80e99523d5a5c27近日，安全聚实验室监测到用友网络科技股份有限公司 U8 Cloud 存在SQL注入漏洞，编号为：CNVD-2024-33023，漏洞评分：7.8 此漏洞允许攻击者构造特殊的SQL请求，以获取数据库敏感信息。安全聚安全聚2024-08-11T20:30:21https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486589&idx=1&sn=db8f0d9996059fb6b9e0d6a04d0ef819近日，安全聚实验室监测到 Windows 远程桌面授权服务远程代码执行漏洞，编号为：CVE-2024-38077，漏洞评分：9.8 攻击者可以利用此漏洞实现远程代码执行，无需任何权限，而获取服务器的最高权限。安全聚安全聚2024-08-10T16:49:49https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486529&idx=1&sn=4355012e3f5c2e52edfca923549c3520近日，安全聚实验室监测到 Windows远程桌面许可服务存在远程代码执行漏洞，编号为：CVE-2024-38077，漏洞评分：9.8 攻击者可以利用此漏洞实现远程代码执行，无需任何权限，而获取服务器的最高权限。安全聚安全聚2024-08-09T10:57:10https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486493&idx=1&sn=118b51091b0101048233ef908afa7d88近日，安全聚实验室监测到 Jenkins Remoting 存在任意文件读取漏洞，编号为：CVE-2024-43044，漏洞评分：9.1 此漏洞允许代理进程使用 Remoting 库中的方法从 Jenkins 控制器文件系统读取任意文件。安全聚安全聚2024-08-08T18:49:31https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486491&idx=1&sn=8e7ba1b1dd3f1677b99186e956026c28近日，安全聚实验室监测到 Apache CloudStack 存在密钥泄露漏洞，编号为：CVE-2024-42062， 拥有域管理员访问权限的攻击者可以利用此漏洞获得root管理员和其他账户权限，导致权限提升，并且可以执行恶意操作。安全聚安全聚2024-08-07T20:39:33https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486491&idx=2&sn=a6665f1256460b9b6456166076ee6b60近日，安全聚实验室监测到 Google Chrome ANGLE 存在越界访问漏洞，编号为：CVE-2024-7532 此漏洞由于ANGLE 中的越界内存访问，导致允许远程攻击者通过精心设计的HTML页面进行堆破坏的潜在攻击。安全聚安全聚2024-08-07T20:39:33https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486486&idx=1&sn=8b10cffc7b881c6740a5a7bd01c6da08近日，安全聚实验室监测到 Roundcube Webmail中存在多个跨站脚本漏洞，编号为：CVE-2024-42009、CVE-2024-42008,这些漏洞当受害者在Roundcube中查看恶意电子邮件时，攻击者可以窃取受害者敏感信息。安全聚安全聚2024-08-06T20:13:37https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486484&idx=1&sn=3e0f106d2ce17f16075690444c6ad16d近日，安全聚实验室监测到 Apache OFBiz 中存在远程代码执行漏洞，编号为：CVE-2024-38856， Apache OFBiz存在逻辑缺陷，未经身份验证的攻击者可通过特定URL绕过检测执行恶意代码。安全聚安全聚2024-08-05T23:26:05https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486481&idx=1&sn=c7b9d64e85f7ed057857d967532331a4近日，安全聚实验室监测到 D-LINK DI-8100 存在远程命令执行漏洞，编号为：CVE-2024-7436， 漏洞评分：6.3 攻击者可利用该漏洞对参数 cmd 操作导致命令执行，攻击可以是远程发起的。安全聚安全聚2024-08-04T20:48:00https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486479&idx=1&sn=2949b291646339c6532afb72f3290f64近日，安全聚实验室监测到Apache Linkis基础管理服务中存在提权攻击漏洞，编号为：CVE-2024-27181 此漏洞可能利用基础管理服务中权限提升的漏洞，通过受信任的账户获取对Apache Linkis的Token信息的访问权限。安全聚安全聚2024-08-03T00:00:10https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486479&idx=2&sn=0a4f4e2c10e760f977313cf2126bea61近日，安全聚实验室监测到 Apache Linkis 基础管理服务中存在任意文件删除漏洞，编号为：CVE-2024-27182 此漏洞允许拥有管理员账户的用户可以删除Linkis系统用户可访问的任何文件，导致任意删除文件。安全聚安全聚2024-08-03T00:00:10https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486479&idx=3&sn=4786b7634212db78d9cc306505ab65e3近日，安全聚实验室监测到 Apache InLong TubeMQ Client 存在远程代码执行漏洞，编号为：CVE-2024-36268 此漏洞由于Apache InLong代码生成控制不当，会导致远程代码执行漏洞。安全聚安全聚2024-08-03T00:00:10https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486477&idx=1&sn=54a83c97974e7fb5e457266b62643103近日，安全聚实验室监测到用友网络科技股份有限公司 NC Cloud 存在SQL注入漏洞，编号为：CNVD-2024-34169，漏洞评分：8 此漏洞允许攻击者构造特殊的请求，以获取数据库敏感信息。安全聚安全聚2024-08-02T18:41:27https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486475&idx=1&sn=f041c58e86ead5c3ed463ddc68c3bcbe近日，安全聚实验室监测到 ELECOM 路由器中存在命令执行漏洞，编号为：CVE-2024-39607，漏洞评分：6.8 此漏洞允许具有管理权限的攻击者发送特制的请求，以执行任意操作系统命令。安全聚安全聚2024-08-01T20:05:40https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486473&idx=1&sn=3db53b01cf5289e0904e79b5987597d4近日，安全聚实验室监测到 Apache SeaTunnel 中的Web存在身份验证漏洞，编号为：CVE-2023-48396，漏洞评分：8.2 此漏洞由于 jwt 密钥在应用程序中是硬编码，攻击者可以伪造任何令牌来登录任何用户。安全聚安全聚2024-07-31T21:01:46https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486471&idx=1&sn=6a138d1460e68b8072e402a22154a0a6近日，安全聚实验室监测到 TOTOLINK LR1200 路由器存在命令执行漏洞，编号为：CVE-2024-7215，漏洞评分：6.3 攻击者利用该漏洞对参数的操纵导致执行任意命令。安全聚安全聚2024-07-30T18:54:23https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486466&idx=1&sn=3bc0e06df54b21d5258e120022891d50近日，安全聚实验室监测到帆软软件有限公司 FineReport 存在命令执行漏洞，编号为：CNVD-2024-30560，漏洞评分：7.1 此漏洞攻击者利用该漏洞执行任意命令。安全聚安全聚2024-07-29T17:38:32https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486464&idx=1&sn=9ddccf5f819814e26be51cca4ebc847b近日，安全聚实验室监测到 Apache HTTP Server 存在敏感信息泄露漏洞，编号为：CVE-2024-40725 该漏洞在某些间接请求文件的情况下该漏洞可能导致Apache将源代码（如PHP脚本）发送给客户端，导致敏感信息泄露。安全聚安全聚2024-07-28T19:30:36https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486462&idx=1&sn=cfc27eaa6d56976be9ad0b9d1bc9a7e7近日，安全聚实验室监测到 OpenAM FreeMarker 存在模板注入漏洞，编号为：CVE-2024-41667，CVSS：8.8 此漏洞允许攻击者在应用程序的模板中插入恶意代码，利用模板注入漏洞来篡改页面内容、执行任意代码等。安全聚安全聚2024-07-27T19:30:09https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486460&idx=1&sn=880c79700ec7543e79ea8bdffd81914f近日，安全聚实验室监测到 Spring Cloud Data Flow 中存在远程代码执行漏洞，编号为：CVE-2024-37084，CVSS：9.8 该漏洞允许有权访问 Skipper 服务器 api 的恶意用户，导致远程代码执行漏洞安全聚安全聚2024-07-26T11:30:35https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486458&idx=1&sn=0f5aaa9870a28f6583d97e02591259cb近日，安全聚实验室监测到 Apache Pinot 存在敏感信息泄露漏洞，编号为：CVE-2024-39676 此漏洞当使用路径“/appconfigs”到控制器的请求时，可能导致敏感信息的泄露。安全聚安全聚2024-07-25T01:08:05https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486458&idx=2&sn=9f7c9d4a3ebf0281c48bdcdd083dfb1a近日，安全聚实验室监测到 Apache Drill 中的XML格式读取器存在XXE漏洞，编号为：CVE-2023-48362 该漏洞允许用户读取远程文件系统上的任何文件或通过恶意XML文件执行命令。安全聚安全聚2024-07-25T01:08:05https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486454&idx=1&sn=f7126d146e0d6c8f72cf08eb6934925d近日，安全聚实验室监测到 TOTOLINK A6000R 路由器存在命令注入漏洞，编号为：CVE-2024-41319 此漏洞中通过 webcmd 函数中的 cmd 参数包含命令执行漏洞。安全聚安全聚2024-07-24T15:11:30https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486454&idx=2&sn=213a5df136df384e07c2cc8a0f7c17cf近日，安全聚实验室监测到 Apache Arrow Rust 信息泄露漏洞，编号为：CVE-2024-41178 该漏洞允许有权访问日志的人模拟该身份，包括执行自己对 AssumeRoleWithWebIdentity 的调用。安全聚安全聚2024-07-24T15:11:30https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486454&idx=3&sn=91560a456b65bcd33aaf142affc5a892近日，安全聚实验室监测到 Adobe Experience Manager 存在输入验证错误漏洞，编号为：CVE-2024-41839，CVSS:4.1 该漏洞存在不正确的验证，可能导致安全功能绕过 。安全聚安全聚2024-07-24T15:11:30https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486449&idx=1&sn=69fa339f08037985250c512fcde11124近日，安全聚实验室监测到 Apache RocketMQ 存在未经授权的敏感数据泄露漏洞，编号为：CVE-2024-23321，CVSS:5.3 攻击者拥有普通用户权限或IP白名单，可以通过特定的接口获取管理员的帐户和密码。安全聚安全聚2024-07-23T11:28:12https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486449&idx=2&sn=4a437dbd165a032bf7c3ff077294eb90近日，安全聚实验室监测到 Apache CloudStack 存在身份验证绕过漏洞，编号为：CVE-2024-41107，CVSS:8.1 此漏洞攻击者提交一个没有签名的欺骗性SAML响应，从而绕过SAML认证。安全聚安全聚2024-07-23T11:28:12https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486449&idx=3&sn=8abfbbf2a80eb44d2489a98d840fb42f近日，安全聚实验室监测到 Apache Syncope 存在输入验证错误漏洞，编号为：CVE-2024-38503，CVSS:6.5 此漏洞在 Syncope 控制台中编辑用户、组或任何对象时，可能导致潜在的漏洞利用。安全聚安全聚2024-07-23T11:28:12https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486443&idx=1&sn=15f8bbe53f71e21c5bfa0e57d9bfc47b近日，安全聚实验室监测到 TENDA O3 存在基于堆栈的缓冲区溢出漏洞，编号为：CVE-2024-6963，CVSS:8.7 此漏洞攻击者可以对参数 cmdinput 操作，导致基于堆栈的缓冲区溢出，进而使设备受到攻击。安全聚安全聚2024-07-22T20:00:24https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486441&idx=1&sn=9f534c95bf817bcf2fef94fd8d0cbe44近日，安全聚实验室监测到 WooCommerce - Social Login 存在数据篡改漏洞，编号为：CVE-2024-6636，CVSS:9.8 此漏洞使得未经身份验证的攻击者能够在注册帐户时更改默认角色为管理员。安全聚安全聚2024-07-21T20:00:51https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486439&idx=1&sn=aca5b6f607e6396e0b9dbc97ce3a279d近日，安全聚实验室监测到Apache CXF WADL 服务中存在一个 SSRF 漏洞，编号为：CVE-2024-29736，CVSS:8.6 此漏洞在配置了自定义样式表参数时，允许攻击者对 REST Web 服务执行 SSRF 攻击安全聚安全聚2024-07-20T20:04:48https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486437&idx=1&sn=215c3e3607948014de84748753721d78近日，安全聚实验室监测到 Cisco Smart Software Manager On Prem 中存在身份验证缺陷漏洞，编号为：CVE-2024-20419，CVSS:10 此漏洞的根本原因是密码更改过程的实现存在缺陷。安全聚安全聚2024-07-19T09:39:09https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486437&idx=2&sn=428ad20e452f477a2338ceb02c7b5470近日，安全聚实验室监测到 JumpServer 中存在文件写入漏洞，编号为：CVE-2024-40629，CVSS:10 此漏洞攻击者可以利用Ansible playbook编写任意文件，从而导致Celery容器中的远程代码执行。安全聚安全聚2024-07-19T09:39:09https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486437&idx=3&sn=4f66a5019309951a513cea29ae8c4c3c近日，安全聚实验室监测到 JumpServer 中存在任意文件读取漏洞，编号为：CVE-2024-40628，CVSS:10 此漏洞攻击者可利用 ansible playbook 读取 celery 容器中的任意文件，从而导致敏感信息泄露。安全聚安全聚2024-07-19T09:39:09https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486431&idx=1&sn=1afdd80b1e0d0eebd25606cb2919c8b8近日，安全聚实验室监测到 Oracle WebLogic Server中存在远程命令执行漏洞 ，编号为：CVE-2024-21181，CVSS:9.8 此漏洞允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问。安全聚安全聚2024-07-18T14:07:39https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486428&idx=1&sn=1e0d4335e705333b85106dd88bb6056c近日，安全聚实验室监测到Atlassian Bamboo Data Center And Server 存在文件包含漏洞 ，编号为：CVE-2024-21687，CVSS:8.1 允许经过身份验证的攻击者获取应用程序显示本地文件的内容安全聚安全聚2024-07-17T17:07:03https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486428&idx=2&sn=3519c62607de1fb749b279ef0bc9b914近日，安全聚实验室监测到 Oracle WebLogic Server 存在未授权访问漏洞 ，编号为：CVE-2024-21175，CVSS:7.5 未经身份验证的攻击者可通过HTTP网络访问。安全聚安全聚2024-07-17T17:07:03https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486428&idx=3&sn=0966b848bf1bf6b1b1b617eed633636a近日，安全聚实验室监测到 WordPress的插件中存在SQL注入漏洞 ，编号为：CVE-2024-6457，CVSS:9.8 由于对用户提供的参数转义不充分，以及对现有SQL查询缺乏充分的准备。安全聚安全聚2024-07-17T17:07:03https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486420&idx=1&sn=686e4c35dbf027083d7f3f6bd2bc81d9近日，安全聚实验室监测到泛微e-cology9 WorkflowServiceXml 存在SQL注入漏洞 。 在默认配置下，未授权攻击者可利用该漏洞执行任意SQL语句，从而造成任意命令执行。安全聚安全聚2024-07-16T11:55:41https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486420&idx=2&sn=6c8f1e5428b1c3713ad1aa32231c1de8近日，安全聚实验室监测到Rejetto HTTP File Server 存在模板注入漏洞 。编号为：CVE-2024-23692，CVSS:9.8 未经身份验证的攻击者通过发送特制的 HTTP 请求在受影响的系统上执行任意命令。安全聚安全聚2024-07-16T11:55:41https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486420&idx=3&sn=3bd4ad9b9aa9e27629eef92cc1a0e00e近日，安全聚实验室监测到 Splunk Enterprise中存在未授权任意文件读取漏洞 ，编号为：CVE-2024-36991，CVSS:7.5 攻击者可以利用此漏洞，目录穿越的方式读取任意文件，造成用户信息的泄露。安全聚安全聚2024-07-16T11:55:41https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486405&idx=1&sn=dfa7ce2bc783c81365d21815a76f39c7近日，安全聚实验室监测到 FOGPROJECT中存在命令注入漏洞 ，编号为：CVE-2024-39914，CVSS:9.8 在FOG中的/reportmaker.class.php文件受到命令注入漏洞的影响。安全聚安全聚2024-07-15T20:01:05https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486399&idx=1&sn=596b68342eeb353755a15bded1d87a10近日，安全聚实验室监测到 WordPress的插件中MStore API存在身份验证绕过漏洞 ，编号为：CVE-2024-6328，CVSS:9.8 MStore API 中由于参数验证不足，容易受到身份验证绕过攻击。安全聚安全聚2024-07-14T19:30:11https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486397&idx=1&sn=004a244c16799de6ec5b4b0a32a6acbd近日，安全聚实验室监测到 WordPress的插件中存在SQL注入漏洞 ，编号为：CVE-2024-6353，CVSS:8.8 具有订阅者级别及以上攻击者可以构造恶意请求，从而造成SQL注入，从而获取数据库中的敏感信息。安全聚安全聚2024-07-13T19:30:27https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486393&idx=1&sn=20df1e2fab426b42800ed7a20f0a4490近日，安全聚实验室监测到 ServiceNow 中存在代码注入漏洞 ，编号为：CVE-2024-4879、CVE-2024-5217，CVSS:9.8 该漏洞由于输入验证不严格允许未经身份验证的远程攻击者执行任意代码。安全聚安全聚2024-07-12T19:00:32https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486378&idx=1&sn=7f4c3757a4881d4c2789b58497facf67近日，安全聚实验室监测到 GitLab CE/EE中存在身份认证绕过漏洞 ，编号为：CVE-2024-6385，CVSS:9.6 攻击者可以通过此漏洞触发其他用户的pipeline，从而造成身份验证绕过。安全聚安全聚2024-07-11T19:30:23https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486374&idx=1&sn=ff5479cac7368c8e440fe9f8a037efb4近日，安全聚实验室监测到 IBM WebSphere Application Server中存在需要授权的代码注入漏洞 ，编号为：CVE-2024-35154，CVSS:7.2 此漏洞通过精心构造的输入在系统上执行任意代码。安全聚安全聚2024-07-10T19:30:35https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486372&idx=1&sn=b284e9b696b3fec855d47dc0775939e9近日，安全聚实验室监测到 Apache CloudStack 中存在远程命令执行漏洞 ，编号为：CVE-2024-38346，CVSS:9.8 此漏洞可能导致攻击者通过该端口访问集群服务并利用该漏洞在目标管理服务器主机上执行任意命令。安全聚安全聚2024-07-09T20:00:41https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486365&idx=1&sn=2f1b3cdbb682bef17f6d96601ecca80d近日，安全聚团队监测到Apach Tomcat官方发布安全公告，Apache Tomcat HTTP/2 中存在拒绝服务漏洞 ，编号为：CVE-2024-34750安全聚安全聚2024-07-08T16:12:49https://mp.weixin.qq.com/s?__biz=MzkyNzQzNDI5OQ==&mid=2247486276&idx=1&sn=df6346c330db9862e152002f3145f6b7u200b关注加回复\\x26quot;交流群\\x26quot;进群交流经验安全聚安全聚2023-02-23T19:32:27