Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)

该漏洞是由于Apache OFBiz在从 Groovy 加载文件时对 URL 的验证不足，导致远程攻击者可以通过服务器端请求伪造的方式向任意系统发起请求，并可能导致远程代码执行。

Ivanti Cloud Services Appliance OS Command Injection Vulnerability

Ivanti Cloud Services Appliance \(CSA\) contains an OS command injection vulnerability in the administrative console which can allow an authenticated attacker with application admin privileges to pass commands to the underlying OS.

Spring Framework 特定条件下目录遍历漏洞（CVE-2024-38816）

Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年9月，Spring官方发布公告披露 CVE\-2024\-38816 Spring Framework 特定条件下目录遍历漏洞。当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件 时，攻击者可构造恶意请求遍历读取系统上的文件。

JimuReport<1.8.0 存在权限绕过漏洞

JimuReport 是一款类似excel操作风格、在线拖拽式的报表工具。 受影响版本中，由于 org.jeecg.modules.jmreport.desreport.service.a.f\#isShareingToken 方法校验 token 时当查询结果为空返回 true，未授权的攻击者可利用该漏洞通过 /jmreport/dict/list 接口发送 shareToken 参数为空的请求绕过权限校验，获取报表字典记录信息。

Kibana YAML 反序列化代码执行漏洞（CVE-2024-37285）

Kibana 是一个开源的数据分析和可视化平台，提供了一个Web界面，用户可以通过它来创建仪表板，这些仪表板可以展示实时数据，并允许用户通过各种方式对数据进行切片和筛选。2024年9月，官方披露 CVE\-2024\-37285 Kibana YAML 反序列化代码执行漏洞，当allow\_restricted\_indices 为true，且攻击者具有kibana\_ingest的写权限时，可构造恶意请求造成代码执行。