漏洞通告 | Apache Tomcat 目录遍历漏洞
漏洞概况Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。
阅读全文7-Zip曝目录穿越漏洞,微步OneSEC默认检测
漏洞概况7-Zip 是一款较为常用的压缩工具。微步情报局监测到7-Zip修复了两处目录穿越漏洞:https://www.zerodayinitiative.com/advisories/ZDI-25-
阅读全文漏洞通告 | Redis Lua 远程代码执行漏洞
漏洞概况Redis是一个开源的使用ANSIC语言编写、遵守BSD协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。微步情报局获取到Redis Lua远程代码执行漏洞(CVE-2025-
阅读全文漏洞通告 | U8cloud 全版本 IPFxxFileService任意文件上传漏洞
漏洞概况用友U8Cloud是用友推出的新一代云ERP产品,主要聚焦于成长型、创新型企业,为其提供企业级的云ERP整体解决方案。微步情报局监测到用友安全修复了一处任意文件上传漏洞(https://sec
阅读全文微步支持检测!百度网盘最新RCE漏洞,可导致电脑被控
漏洞概况近日,网传百度网盘存在一处远程命令执行漏洞,触发后可导致用户电脑被完全控制。目前,微步已成功复现该漏洞,微步威胁感知平台TDP、终端安全管理平台OneSEC均已支持对该漏洞的精确检测(详情参见
阅读全文漏洞通告 | 微步情报局发现h2o-3存在高危漏洞
漏洞概况h2o-3是一个开源的分布式机器学习平台,旨在让用户轻松地基于大数据进行预测分析和模型构建。微步情报局长期关注国内外影响较大的开源项目,对可能存在的漏洞进行持续挖掘分析。微步情报局挖掘出CVE
阅读全文漏洞通告 | 用友U8Cloud 文件上传绕过漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。用友U8Cloud是用友推出的新一代云ERP产品,主要聚焦
阅读全文漏洞通告 | Gitblit 身份认证绕过漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Gitblit 是一个开源的纯 Java Git 解决方案
阅读全文漏洞通告 | CrushFTP 身份认证绕过漏洞被黑客组织积极利用
漏洞概况CrushFTP是一款企业级文件传输服务器,被广泛用于安全地共享和管理文件。近日,微步情报局获取到CrushFTP修复了一处身份认证绕过漏洞(CVE-2025-54309)。根据微步漏洞情报显
阅读全文漏洞通告 | 微步情报局再次发现DataEase存在高危漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。DataEase 是一款开源的数据可视化分析工具,旨在帮助
阅读全文已复现!Apple ImageIo 越界写入漏洞,影响macOS、iOS、iPadOS
漏洞概况近日,微步情报局获取到Apple修复了一处越界写入漏洞(CVE-2025-43300)。根据微步漏洞情报显示,该漏洞已经被APT组织积极利用(完整漏洞利用情报请查阅https://x.thre
阅读全文漏洞通告 | Smartbi 远程代码执行漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Smartbi 是一款领先的国产商业智能软件,致力于为企业
阅读全文漏洞通告 | Microsoft Windows文件资源管理器欺骗漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Windows文件资源管理器(FileExplorer)是
阅读全文漏洞通告 | Stirling-PDF 服务端请求伪造漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Stirling-PDF 是一款本地托管的Web应用程序,
阅读全文漏洞通告 | Cherry Studio 命令注入漏洞
漏洞概况Cherry Studio是一款支持多个 LLM 提供商的桌面客户端。近日,微步情报局获取到Cherry Studio修复了一处命令注入漏洞(CVE-2025-54074)。微步情报局已成功复
阅读全文速修!WinRAR 目录穿越漏洞被APT积极利用
漏洞概况WinRAR是一款流行的Windows平台压缩和归档工具。近日,微步情报局获取到WinRAR修复了一处目录穿越漏洞(CVE-2025-8088)。根据微步漏洞情报显示,该漏洞已经被APT组织积
阅读全文漏洞通告 | Jenkins Git Parameter插件远程代码执行漏洞
漏洞概况Jenkins是一款开源的自动化服务器,主要用于自动化构建、测试和部署软件。Git Parameter 插件为 Jenkins 构建任务提供参数化能力,可在构建前以列表形式选择 Git 分支、
阅读全文漏洞通告 | Cursor远程代码执行漏洞
漏洞概况Cursor 是一款由 Anysphere 推出的 AI 原生代码编辑器,基于 VS Code 深度定制,专为"AI-first"编程体验设计。它不仅保留了 VS Code 的界面和插件生态,
阅读全文漏洞通告 | 1Panel远程命令注入漏洞
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。1Panel 提供了一个直观的 Web 界面,帮助用户轻松
阅读全文泛微E-cology9 前台SQL注入漏洞
漏洞概况泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。微步情报局监测到泛微E
阅读全文酌情处置 | Redis hyperloglog 命令远程代码执行漏洞利用条件较多
漏洞概况Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Redis 是一个开源的使用 ANSI C 语言编写、遵守
阅读全文收漏洞!收X情报社区的漏洞!
不是标题党!没错,这次尽管朝着我们来吧!为了提升用户的安全防御能力,更好地保障广大用户的安全,我们特别发布了本次【X情报社区】专项漏洞收录活动。通过提供丰厚的奖励,鼓励白帽子遵循负责任的漏洞披露机制,
阅读全文漏洞通告 | 泛微E-cology9 远程代码执行漏洞
漏洞概况泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。微步情报局协助泛微E-
阅读全文漏洞通告|GeoServer SSRF和XXE漏洞
漏洞概况GeoServer 是一款用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。微步情报局获取到GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoSer
阅读全文速修!Kafka Connect爆任意文件读取漏洞,无需授权
漏洞概况Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。微步情报局通过X漏洞奖励计划获取到Apache
阅读全文漏洞通告 | Roundcube Webmail存在反序列化漏洞
漏洞概况Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。微步情报局获取到Roundcube Webmail存在反序列化漏洞情报
阅读全文微步情报局发现DataEase存在多个高危漏洞,可实现RCE
漏洞概况DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。微步情报局挖掘到DataEase 多个高危漏洞,包括CVE-2025-4899
阅读全文漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞
漏洞概况Grafana 是一个开源分析平台,用于可视化来自 Prometheus 和 InfluxDB 等来源的数据。微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-202
阅读全文漏洞通告 | SAP NetWeaver Visual Composer Development Server 远程代码执行漏洞
漏洞概况SAP NetWeaver Visual Composer 是SAP NetWeaver平台中的一个图形化建模环境,用于快速开发和部署复合应用程序。微步情报局获取到SAP NetWeaver
阅读全文漏洞通告 | 泛微E-cology前台远程代码执行漏洞(NVDB-CNVDB-2025530957)
漏洞概况泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。近日,微步情报局通过X
阅读全文