【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
Gogs (Go Git Service) 是一款基于 Go 语言开发的开源 Git 托管平台,采用 MIT 许可证,提供代码托管、Issue 跟踪、权限管理和 Webhook 等功能。2025年12
阅读全文【在野利用】Dify Docker部署仍存在React2Shell风险
2025年12月8日,长亭安全应急响应中心经过验证发现:虽然 Dify 官方已发布 v1.10.1-fix.1 版本修复 CVE-2025-55182(React2Shell),但该版本的 Docke
阅读全文【已复现】React Server Components 远程代码执行漏洞(CVE-2025-55182)
React 是目前全球最主流、使用最广泛的前端开发框架/库之一,拥有庞大的开发者社区和生态系统。2025年12月,长亭安全应急响应中心监测到React服务端组件存在反序列化代码执行漏洞。经分析,Rea
阅读全文【原创0day】东方通应用服务器 EJB 反序列化远程代码执行漏洞安全通告
TongWeb应用服务器是一款标准、安全、高可用并具丰富功能的企业级应用服务器,为企业级应用提供了便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的易管理等关键支撑。2025年11月,东方通官方
阅读全文【已复现】泛微e-cology 前台SQL注入漏洞
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年10月,长亭安全应急响应中心监测到泛微e-cology修复了多处SQL注入漏洞。经
阅读全文【已复现】用友 U8 Cloud pubsmsservlet 远程代码执行漏洞安全通告
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。2025年10月13日,用友安全中心发布关于U8cloud所有版本pubsmsservlet接口
阅读全文【已复现】Oracle E-Business Suite 远程代码执行漏洞安全通告(CVE-2025-61882)
Oracle E-Business Suite(简称EBS)是甲骨文公司推出的集成化企业应用套件,主要用于优化企业的客户关系管理、企业资源规划、供应链管理、人力资源管理等核心业务流程。2025年10月
阅读全文【已复现】用友 U8 Cloud NCCloudGatewayServlet 命令执行漏洞安全通告
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。2025年9月24日,用友安全中心发布关于U8cloud所有版本NCCloudGatewaySe
阅读全文【已复现】用友 U8 Cloud IPFxxFileService 任意文件上传漏洞安全通告
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。2025年9月17日,用友安全中心发布关于U8cloud所有版本IPFxxFileService
阅读全文【已复现】用友 U8 Cloud 文件上传绕过漏洞安全通告
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。2025年8月29日,用友安全中心发布U8cloud所有版本存在ServiceDispatche
阅读全文【已复现】Docker Desktop Engine API 未授权访问漏洞安全通告(CVE-2025-9074)
Docker Desktop 是Docker的官方桌面版,支持macOS、Windows 和 Linux系统。它将 Docker 引擎、CLI 客户端、Docker Compose、Notary、Ku
阅读全文【已复现】Smartbi 远程代码执行漏洞安全通告
SmartBi 是一款专业的企业级商业智能(BI)平台,致力于为用户提供高效、灵活的数据分析与可视化解决方案。它支持多源数据整合、自助式分析以及智能报表生成,帮助团队快速洞察业务趋势,赋能数据驱动的决
阅读全文【已复现】Cherry Studio 命令注入漏洞安全通告(CVE-2025-54074)
Cherry Studio 是一款跨平台桌面AI助手,支持多种主流大语言模型(LLM),兼容 Windows、Mac 和 Linux 系统。2025年8月,Cherry Studio官方发布安全通告预
阅读全文【已复现】1Panel 远程命令执行漏洞安全通告(CVE-2025-54424)
1Panel 是一款开源的 Linux 服务器管理工具,通过 Web 界面简化运维管理流程,支持域名绑定、SSL 配置、容器管理、安全审计等功能。2025年8月,1Panel官方发布v2.0.6版本修
阅读全文【已复现】用友 U8 Cloud 文件上传漏洞
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。2025年7月,用友安全中心发布U8cloud所有版本ServiceDispatcherServ
阅读全文【已复现】契约锁电子签章系统 pdfverifier 远程代码执行漏洞
契约锁,是一个电子签章及印章管控平台,提供的电子文件具有与纸质文件一样的法律效力。2025年7月,契约锁发布安全补丁修复了远程代码执行漏洞。该漏洞允许未授权攻击者通过特定方式在服务器上执行任意代码。由
阅读全文【已复现】泛微e-cology 前台SQL注入漏洞
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年7月,泛微官方更新安全补丁,修复了多处SQL注入漏洞。经分析,攻击者可利用此漏洞获
阅读全文【已复现】Redis hyperloglog 远程代码执行漏洞(CVE-2025-32023)
Redis(全称为 Remote Dictionary Server)是一种开源的内存数据存储系统,也被称为数据结构服务器。它提供了多种数据结构(如字符串、哈希表、列表、集合、有序集合等)的存储和操作
阅读全文【已复现】GeoServer SSRF和XXE漏洞
GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。2025年6月,互联网上披露GeoServer
阅读全文【已复现】契约锁电子签章系统远程代码执行漏洞
契约锁,是一个电子签章及印章管控平台,提供的电子文件具有与纸质文件一样的法律效力。2025年6月10日,契约锁发布安全补丁修复了远程代码执行漏洞。该漏洞允许未授权攻击者通过特定方式在服务器上执行任意代
阅读全文【已复现】Kafka Connect 任意文件读取漏洞(CVE-2025-27817)
Apache Kafka Connect 是 Apache Kafka 生态系统的核心组件之一,用于实现 Kafka 与外部数据系统之间的可靠、可扩展的数据集成。2025年6月10日,Apache发布
阅读全文【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001)
DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。2025年6月, 互联网公开披露 DataEase 存在多个高危漏洞(CVE-2025
阅读全文【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374)
金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬件
阅读全文【已复现】泛微e-cology 前台SQL注入漏洞
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年4月,泛微官方发布了新补丁,修复了一处 SQL 注入漏洞。经分析,攻击者无需认证即
阅读全文【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)
Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 4 月,Vite 官方
阅读全文【原创0day】Vite 任意文件读取漏洞(CVE-2025-31125)
Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,长亭安全研究员
阅读全文【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)
Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,Vite 官方
阅读全文【已复现】Ingress NGINX Controller 远程代码执行漏洞
Ingress NGINX Controller 是 Kubernetes 生态系统中广泛使用的入口控制器,基于 NGINX 反向代理,用于管理外部流量并将其路由到 Kubernetes 服务。202
阅读全文【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)
Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(S
阅读全文【已复现】Apache Tomcat Partial PUT远程代码执行漏洞(CVE-2025-24813)
Apache Tomcat 是一个开源的 Java Servlet 容器和 Web 服务器,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的
阅读全文