GeoServer XXE 漏洞

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

金和OA jc6 WebBill 任意文件读取漏洞

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

契约锁电子签章系统远程代码执行漏洞

契约锁是上海亘岩网络科技有限公司推出的一个电子签章及印章管控平台。 受影响版本中，契约锁后台管理系统的/api/setup/dbtest 接口存在未授权JDBC可控注入风险。攻击者可利用该接口，根据系统中存在的 JDBC 驱动版本，构造恶意的 JDBC 连接字符串，进而实现攻击行为。（如通过可控的 PostgreSQL JDBC 字符串，攻击者可能实现任意文件写入或远程代码执行；而利用可控的 MySQL JDBC 字符串，则可能导致远程代码执行或任意文件读取。） 修复版本中通过检测系统是否已完成安装流程来限制访问权限，一旦安装流程完成，用户将无法再访问 /api/setup/dbtest 接口。

契约锁电子签章系统远程代码执行漏洞

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

GeoServer TestWFSpost SSRF 漏洞（CVE-2024-29198）

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS\-T和WMS服务器。CVE\-2024\-29198 中，攻击者可构造恶意请求，利用SSRF扫描内网，获取相关敏感信息。