长亭安全应急响应中心

【已复现】大蚂蚁 (BigAnt) 即时通讯系统任意文件上传漏洞
作者：长亭安全应急响应中心发布日期：2026-02-04 16:17:25
大蚂蚁 (BigAnt) 是杭州九麒科技有限公司开发的即时通讯系统，广泛应用于企业内部沟通、文件共享和协同办公。2026年1月，长亭安全应急响应中心监测到大蚂蚁即时通讯系统发布补丁修复了一处前台任意文
阅读全文
抢购的Mac Mini可能已经不属于你了——火爆全网的龙虾机器人ClawdBot安全风险分析
作者：长亭安全应急响应中心发布日期：2026-01-30 18:51:38
经历了ClawdBot到Moltbot，再到当前的OpenClaw，这款由 PSPDFKit创始人开发的开源本地AI助手已经在科技圈爆火。OpenClaw与只能聊天的传统AI有很大不同，它就像一个“A
阅读全文
【0day预警】ComfyUI-Manager CRLF注入导致远程代码执行漏洞
作者：长亭安全应急响应中心发布日期：2026-01-09 15:33:56
ComfyUI 是一款流行的基于节点的 Stable Diffusion 图形用户界面，广泛应用于 AI 图像生成工作流的构建和执行。ComfyUI-Manager 是 ComfyUI 的扩展管理器插
阅读全文
【已复现】n8n 前台远程代码执行漏洞（CVE-2026-21858）
作者：长亭安全应急响应中心发布日期：2026-01-08 18:46:37
n8n 是一款开源的工作流自动化平台，广泛应用于企业和个人的自动化流程管理，提供节点式工作流编排、API 集成和数据处理等功能。2026年1月，长亭安全应急响应中心监测到 n8n 存在远程代码执行漏洞
阅读全文
【已复现】ComfyUI-Manager 远程代码执行漏洞（CVE-2025-67303）
作者：长亭安全应急响应中心发布日期：2026-01-08 18:46:37
ComfyUI 是一款流行的基于节点的 Stable Diffusion 图形用户界面，广泛应用于 AI 图像生成工作流的构建和执行。ComfyUI-Manager 是 ComfyUI 的扩展管理器插
阅读全文
【已复现】MongoDB 未授权内存泄露漏洞（CVE-2025-14847）
作者：长亭安全应急响应中心发布日期：2025-12-28 21:39:34
MongoDB 是一款基于 C++ 开发的开源 NoSQL 数据库系统，广泛应用于现代 Web 应用程序，提供高性能、高可用性和自动扩展等功能。2025年12月，长亭安全应急响应中心监测到 Mongo
阅读全文
【已复现】FineReport 帆软报表前台远程代码执行漏洞
作者：长亭安全应急响应中心发布日期：2025-12-16 17:54:48
帆软报表是一款专业的企业级报表工具，专注于数据可视化与分析。它支持多数据源连接，能快速制作各类复杂报表和动态仪表板。通过拖拽式操作和灵活定制，帮助企业实现高效的数据决策与业务洞察。2025年12月，长
阅读全文
【已复现】Gogs 远程命令执行漏洞（CVE-2025-8110）
作者：长亭安全应急响应中心发布日期：2025-12-11 18:13:27
Gogs (Go Git Service) 是一款基于 Go 语言开发的开源 Git 托管平台，采用 MIT 许可证，提供代码托管、Issue 跟踪、权限管理和 Webhook 等功能。2025年12
阅读全文
【在野利用】Dify Docker部署仍存在React2Shell风险
作者：长亭安全应急响应中心发布日期：2025-12-09 00:16:33
2025年12月8日，长亭安全应急响应中心经过验证发现：虽然 Dify 官方已发布 v1.10.1-fix.1 版本修复 CVE-2025-55182（React2Shell），但该版本的 Docke
阅读全文
【已复现】React Server Components 远程代码执行漏洞（CVE-2025-55182）
作者：长亭安全应急响应中心发布日期：2025-12-04 11:13:53
React 是目前全球最主流、使用最广泛的前端开发框架/库之一，拥有庞大的开发者社区和生态系统。2025年12月，长亭安全应急响应中心监测到React服务端组件存在反序列化代码执行漏洞。经分析，Rea
阅读全文
【原创0day】东方通应用服务器 EJB 反序列化远程代码执行漏洞安全通告
作者：长亭安全应急响应中心发布日期：2025-11-13 15:37:52
TongWeb应用服务器是一款标准、安全、高可用并具丰富功能的企业级应用服务器，为企业级应用提供了便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的易管理等关键支撑。2025年11月，东方通官方
阅读全文
【已复现】泛微e-cology 前台SQL注入漏洞
作者：长亭安全应急响应中心发布日期：2025-10-30 15:34:53
泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。2025年10月，长亭安全应急响应中心监测到泛微e-cology修复了多处SQL注入漏洞。经
阅读全文
【已复现】用友 U8 Cloud pubsmsservlet 远程代码执行漏洞安全通告
作者：长亭安全应急响应中心发布日期：2025-10-14 11:09:38
U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。2025年10月13日，用友安全中心发布关于U8cloud所有版本pubsmsservlet接口
阅读全文
【已复现】Oracle E-Business Suite 远程代码执行漏洞安全通告(CVE-2025-61882)
作者：长亭安全应急响应中心发布日期：2025-10-09 12:00:25
Oracle E-Business Suite（简称EBS）是甲骨文公司推出的集成化企业应用套件，主要用于优化企业的客户关系管理、企业资源规划、供应链管理、人力资源管理等核心业务流程。2025年10月
阅读全文
【已复现】用友 U8 Cloud NCCloudGatewayServlet 命令执行漏洞安全通告
作者：长亭安全应急响应中心发布日期：2025-09-24 20:22:19
U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。2025年9月24日，用友安全中心发布关于U8cloud所有版本NCCloudGatewaySe
阅读全文
【已复现】用友 U8 Cloud IPFxxFileService 任意文件上传漏洞安全通告
作者：长亭安全应急响应中心发布日期：2025-09-18 15:46:11
U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。2025年9月17日，用友安全中心发布关于U8cloud所有版本IPFxxFileService
阅读全文
【已复现】用友 U8 Cloud 文件上传绕过漏洞安全通告
作者：长亭安全应急响应中心发布日期：2025-09-03 11:42:15
U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。2025年8月29日，用友安全中心发布U8cloud所有版本存在ServiceDispatche
阅读全文
【已复现】Docker Desktop Engine API 未授权访问漏洞安全通告(CVE-2025-9074)
作者：长亭安全应急响应中心发布日期：2025-08-22 16:35:19
Docker Desktop 是Docker的官方桌面版，支持macOS、Windows 和 Linux系统。它将 Docker 引擎、CLI 客户端、Docker Compose、Notary、Ku
阅读全文
【已复现】Smartbi 远程代码执行漏洞安全通告
作者：长亭安全应急响应中心发布日期：2025-08-18 17:15:04
SmartBi 是一款专业的企业级商业智能（BI）平台，致力于为用户提供高效、灵活的数据分析与可视化解决方案。它支持多源数据整合、自助式分析以及智能报表生成，帮助团队快速洞察业务趋势，赋能数据驱动的决
阅读全文
【已复现】Cherry Studio 命令注入漏洞安全通告（CVE-2025-54074）
作者：长亭安全应急响应中心发布日期：2025-08-12 21:29:21
Cherry Studio 是一款跨平台桌面AI助手，支持多种主流大语言模型（LLM），兼容 Windows、Mac 和 Linux 系统。2025年8月，Cherry Studio官方发布安全通告预
阅读全文
【已复现】1Panel 远程命令执行漏洞安全通告（CVE-2025-54424）
作者：长亭安全应急响应中心发布日期：2025-08-05 11:31:22
1Panel 是一款开源的 Linux 服务器管理工具，通过 Web 界面简化运维管理流程，支持域名绑定、SSL 配置、容器管理、安全审计等功能。2025年8月，1Panel官方发布v2.0.6版本修
阅读全文
【已复现】用友 U8 Cloud 文件上传漏洞
作者：长亭安全应急响应中心发布日期：2025-07-30 14:56:34
U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。2025年7月，用友安全中心发布U8cloud所有版本ServiceDispatcherServ
阅读全文
【已复现】契约锁电子签章系统 pdfverifier 远程代码执行漏洞
作者：长亭安全应急响应中心发布日期：2025-07-11 11:32:10
契约锁，是一个电子签章及印章管控平台，提供的电子文件具有与纸质文件一样的法律效力。2025年7月，契约锁发布安全补丁修复了远程代码执行漏洞。该漏洞允许未授权攻击者通过特定方式在服务器上执行任意代码。由
阅读全文
【已复现】泛微e-cology 前台SQL注入漏洞
作者：长亭安全应急响应中心发布日期：2025-07-09 18:09:06
泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。2025年7月，泛微官方更新安全补丁，修复了多处SQL注入漏洞。经分析，攻击者可利用此漏洞获
阅读全文
【已复现】Redis hyperloglog 远程代码执行漏洞(CVE-2025-32023)
作者：长亭安全应急响应中心发布日期：2025-07-08 16:04:18
Redis（全称为 Remote Dictionary Server）是一种开源的内存数据存储系统，也被称为数据结构服务器。它提供了多种数据结构（如字符串、哈希表、列表、集合、有序集合等）的存储和操作
阅读全文
【已复现】GeoServer SSRF和XXE漏洞
作者：长亭安全应急响应中心发布日期：2025-06-12 19:58:26
GeoServer是一个开源服务器，用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准，使用户能够通过网络访问和操作地理信息系统（GIS）数据。2025年6月，互联网上披露GeoServer
阅读全文
【已复现】契约锁电子签章系统远程代码执行漏洞
作者：长亭安全应急响应中心发布日期：2025-06-11 15:36:39
契约锁，是一个电子签章及印章管控平台，提供的电子文件具有与纸质文件一样的法律效力。2025年6月10日，契约锁发布安全补丁修复了远程代码执行漏洞。该漏洞允许未授权攻击者通过特定方式在服务器上执行任意代
阅读全文
【已复现】Kafka Connect 任意文件读取漏洞（CVE-2025-27817）
作者：长亭安全应急响应中心发布日期：2025-06-10 21:43:05
Apache Kafka Connect 是 Apache Kafka 生态系统的核心组件之一，用于实现 Kafka 与外部数据系统之间的可靠、可扩展的数据集成。2025年6月10日，Apache发布
阅读全文
【已复现】DataEase 远程代码执行漏洞（CVE-2025-49002、CVE-2025-49001）
作者：长亭安全应急响应中心发布日期：2025-06-05 16:05:47
DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势，从而实现业务的改进与优化。2025年6月，互联网公开披露 DataEase 存在多个高危漏洞（CVE-2025
阅读全文
【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞（NVDB-CITIVD-2025865374）
作者：长亭安全应急响应中心发布日期：2025-04-24 18:09:53
金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款企业级中间件，全面支持JakartaEE规范，提供Web、EJB、WebService容器，适配国产软硬件
阅读全文