ComfyUI-Manager API 未授权访问漏洞（CVE-2025-67303）

ComfyUI是一个开源的、基于节点的图像生成程序，用户能够使用它从文本生成图片。2026年1月，互联网上披露 CVE\-2025\-67303 ComfyUI\-Manager API 未授权访问漏洞，由于ComfyUI\-Manager 的数据与配置目录未受 ComfyUI 的 Web API 访问控制充分保护，导致攻击者可构造恶意请求并最终导致在服务器上实现远程代码执行。官方已发布 v3.38 版本，建议升级至最新版本。

n8n Pyodide 命令执行漏洞(CVE-2025-68668)

在n8n的Pyodide Python 代码节点中存在沙箱绕过漏洞，允许经过身份验证的用户通过创建或修改工作流来执行任意系统命令，从而获取服务器权限。

SonicWall SMA1000 权限提升漏洞（CVE-2025-40602）

由于 SonicWall SMA1000 设备管理控制台（AMC）中授权不足，导致本地权限提升漏洞。

帆软FineReport export/excel SQL注入漏洞(QVD-2025-48729)

帆软报表（FineReport）是由帆软软件有限公司推出的企业级 Web 报表与数据分析平台，支持拖拽式报表设计、多数据源接入、可视化大屏及二次开发，广泛应用于金融、电信、政府等行业的经营分析、监管报送与决策支持场景。 该漏洞源于对 export/excel 接口传入的参数没有严格校验，攻击者可构造恶意的 SQL 语句上传 Webshell 实现远程代码执行，进而获取服务器权限。

Fortinet FortiOS 未正确验证加密签名漏洞(CVE-2025-59718)

Fortinet FortiOS是一款广泛应用的网络安全操作系统，用于防火墙和网络安全设备。该漏洞存在于FortiOS 7.6.0至7.6.3、7.4.0至7.4.8、7.2.0至7.2.11、7.0.0至7.0.17，以及FortiProxy和FortiSwitchManager的多个版本中。由于未正确验证加密签名，未经身份验证的攻击者可以通过精心构造的SAML响应消息绕过FortiCloud SSO登录认证。