Adobe Bridge堆溢出任意代码执行漏洞(CVE-2015-3111)

Adobe Photoshop CC在16.0之前（也就是2015.0.0）和Adobe Bridge CC在6.11之前基于堆的缓冲区溢出允许攻击者通过未指定的向量执行任意代码。

网康NS-ASG应用安全网关后台命令执行漏洞

远程命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

Palo Alto Networks Expedition 远程命令执行漏洞(CVE-2024-9463)

Palo Alto Networks Expedition 中存在一个操作系统命令注入漏洞，允许未经身份验证的攻击者在 Expedition 中以 root 身份运行任意操作系统命令，从而导致 PAN\-OS 防火墙的用户名、明文密码、设备配置和设备 API 密钥泄露。

Spring WebFlux 路径遍历漏洞

Spring Framework 是一个广泛使用的开源 Java 企业级应用框架，Spring WebFlux 是 Spring Framework 5.0中引入的新的响应式web框架。 受影响版本中当应用程序使用 RouterFunctions 来处理静态资源且资源处理通过 FileSystemResource 进行配置时，攻击者可以通过构造恶意 HTTP 请求，利用路径遍历漏洞获取文件系统中的任意文件。 修复版本通过在 org.springframework.web.reactive.function.server.PathResourceLookupFunction 的 normalizePath 方法中对 url 的二次编码进行检查，来对CVE\-2024\-38816的修复进行完善。 如果使用了 Spring Security HTTP 防火墙，或者使用 Spring 默认的 Tomcat 或者是使用 Jetty 进行部署，则不会受到此漏洞的影响。

Apache CloudStack 模板验证绕过漏洞

Apache CloudStack 是开源的基础设施即服务云计算软件，支持包括 KVM在内的多种虚拟化技术。 受影响版本中，由于缺少对上传和注册的 KVM 兼容模板和存储卷的验证，在启用配额功能的情况下，攻击者可以通过上传或注册恶意模板或卷，部署恶意实例，或将上传的卷附加至现有 KVM 实例上，从而利用该漏洞访问宿主机的文件系统。 修复版本中，通过引入对 QCOW2 文件的严格验证机制防止外部文件引用，以修复漏洞。