CrushFTP 服务器端认证绕过漏洞(CVE-2025-31161)

CrushFTP 存在服务器端认证绕过漏洞。该漏洞源于 HTTP 组件的 AWS4\-HMAC\-SHA256 认证方法中存在竞态条件。攻击者可以通过构造特殊的 HTTP Authorization 请求头，在无需密码的情况下临时认证为任意用户（包括管理员账户），从而绕过正常认证机制。由于大多数用户选择默认管理员用户名（如 crushadmin），这使得漏洞利用变得极为简单，攻击者可以轻松获得系统完全控制权。

Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)

Windows版 foxmail 存在高危远程代码执行漏洞，影响7.2.25.331版本，攻击者可借助恶意页面或文件在当前进程上下文中执行任意代码。

JeeWMS iconController.do 任意文件上传漏洞

命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

Apache Pinot 认证绕过漏洞（CVE-2024-56325）

Apache Pinot 是一个支持高可用、高并发、低延时的快速实时分布式 OLAP。CVE\-2024\-56325 中，攻击者可构造恶意请求绕过相关权限认证，调用相关后台功能，造成敏感信息泄漏等。

YesWiki squelette 文件读取漏洞（CVE-2025-31131）

YesWiki是一个用PHP编写的wiki系统。用于以协作方式创建和管理网站。CVE\-2025\-31131 中，攻击者可在无需登录的情况下构造恶意请求读取遍历文件，造成敏感信息泄漏。