漏洞通告 | 微步情报局再次发现DataEase存在高危漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。DataEase 是一款开源的数据可视化分析工具,旨在帮助
阅读全文已复现!Apple ImageIo 越界写入漏洞,影响macOS、iOS、iPadOS
漏洞概况近日,微步情报局获取到Apple修复了一处越界写入漏洞(CVE-2025-43300)。根据微步漏洞情报显示,该漏洞已经被APT组织积极利用(完整漏洞利用情报请查阅https://x.thre
阅读全文漏洞通告 | Smartbi 远程代码执行漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Smartbi 是一款领先的国产商业智能软件,致力于为企业
阅读全文漏洞通告 | Microsoft Windows文件资源管理器欺骗漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Windows文件资源管理器(FileExplorer)是
阅读全文漏洞通告 | Stirling-PDF 服务端请求伪造漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Stirling-PDF 是一款本地托管的Web应用程序,
阅读全文漏洞通告 | Cherry Studio 命令注入漏洞
漏洞概况Cherry Studio是一款支持多个 LLM 提供商的桌面客户端。近日,微步情报局获取到Cherry Studio修复了一处命令注入漏洞(CVE-2025-54074)。微步情报局已成功复
阅读全文速修!WinRAR 目录穿越漏洞被APT积极利用
漏洞概况WinRAR是一款流行的Windows平台压缩和归档工具。近日,微步情报局获取到WinRAR修复了一处目录穿越漏洞(CVE-2025-8088)。根据微步漏洞情报显示,该漏洞已经被APT组织积
阅读全文漏洞通告 | Jenkins Git Parameter插件远程代码执行漏洞
漏洞概况Jenkins是一款开源的自动化服务器,主要用于自动化构建、测试和部署软件。Git Parameter 插件为 Jenkins 构建任务提供参数化能力,可在构建前以列表形式选择 Git 分支、
阅读全文漏洞通告 | Cursor远程代码执行漏洞
漏洞概况Cursor 是一款由 Anysphere 推出的 AI 原生代码编辑器,基于 VS Code 深度定制,专为"AI-first"编程体验设计。它不仅保留了 VS Code 的界面和插件生态,
阅读全文漏洞通告 | 1Panel远程命令注入漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。1Panel 提供了一个直观的 Web 界面,帮助用户轻松
阅读全文泛微E-cology9 前台SQL注入漏洞
漏洞概况泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。微步情报局监测到泛微E
阅读全文酌情处置 | Redis hyperloglog 命令远程代码执行漏洞利用条件较多
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Redis 是一个开源的使用 ANSI C 语言编写、遵守
阅读全文收漏洞!收X情报社区的漏洞!
不是标题党!没错,这次尽管朝着我们来吧!为了提升用户的安全防御能力,更好地保障广大用户的安全,我们特别发布了本次【X情报社区】专项漏洞收录活动。通过提供丰厚的奖励,鼓励白帽子遵循负责任的漏洞披露机制,
阅读全文漏洞通告 | 泛微E-cology9 远程代码执行漏洞
漏洞概况泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。微步情报局协助泛微E-
阅读全文漏洞通告|GeoServer SSRF和XXE漏洞
漏洞概况GeoServer 是一款用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。微步情报局获取到GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoSer
阅读全文速修!Kafka Connect爆任意文件读取漏洞,无需授权
漏洞概况Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。微步情报局通过X漏洞奖励计划获取到Apache
阅读全文漏洞通告 | Roundcube Webmail存在反序列化漏洞
漏洞概况Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。微步情报局获取到Roundcube Webmail存在反序列化漏洞情报
阅读全文微步情报局发现DataEase存在多个高危漏洞,可实现RCE
漏洞概况DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。微步情报局挖掘到DataEase 多个高危漏洞,包括CVE-2025-4899
阅读全文漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞
漏洞概况Grafana 是一个开源分析平台,用于可视化来自 Prometheus 和 InfluxDB 等来源的数据。微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-202
阅读全文漏洞通告 | SAP NetWeaver Visual Composer Development Server 远程代码执行漏洞
漏洞概况SAP NetWeaver Visual Composer 是SAP NetWeaver平台中的一个图形化建模环境,用于快速开发和部署复合应用程序。微步情报局获取到SAP NetWeaver
阅读全文漏洞通告 | 泛微E-cology前台远程代码执行漏洞(NVDB-CNVDB-2025530957)
漏洞概况泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。近日,微步情报局通过X
阅读全文打开邮件就中招!Foxmail在野漏洞,速修
漏洞概况Foxmail 是由腾讯开发的一款免费电子邮件客户端软件,支持 Windows 和 macOS 操作系统。 微步情报局获取到 Foxmail 跨站脚本攻击漏洞情报(CNVD-2025-0603
阅读全文漏洞通告 | Kubernetes Ingress-nginx 远程命令执行漏洞
漏洞概况Ingress-nginx Admission Controller 是 Ingress-nginx 的一个重要组件,它是一种准入控制器 (Admission Controller),负责在
阅读全文在野!谷歌Chrome沙箱逃逸漏洞, 被APT高度武器化
漏洞概况Google Chrome 是由 Google 开发的免费网页浏览器,凭借其简洁的设计和先进的功能,已迅速成为全球最受欢迎的网页浏览器之一。微步情报局获取到 Google Chrome 修复了
阅读全文漏洞通告 | Next.js middleware 权限绕过漏洞
漏洞概况Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。微步情报局获取到 next.js middleware 权限绕过漏洞情报 CVE-2025-29927 (https:
阅读全文漏洞通告 | Apache Tomcat 远程代码执行漏洞
漏洞概况Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。
阅读全文2025上半年最需要关注的80+高危漏洞!
当2025的阳光爬上机房的玻璃窗,攻击者的漏洞同样追着光登场。微步情报局从漏洞活跃程度、利用难易度、影响面、实网攻击行为情况等多个维度,梳理出2025年80+最需要各位师傅关注的高危漏洞,涵盖应用系统
阅读全文双倍奖金!X 春日漏洞悬赏计划启动!
奖励计划活动时间2025/2/26-2025/3/18奖励计划活动亮点🎯 超高奖励:重点系统漏洞奖金翻2倍 ,提供本地环境再加20%⚡ 极速审核:重点系统当天提交当天审 ,常规系统3~5个工作日内完成
阅读全文永洪BI远程代码执行漏洞
漏洞概况永洪BI是一款由北京永洪商智科技有限公司开发的企业级商业智能软件。旨在帮助企业通过数据分析和可视化,提升决策效率和数据驱动的业务洞察能力。永洪BI提供了从数据准备、数据分析到数据可视化的一站式
阅读全文