Apache Parquet Avro格式反序列漏洞

Apache Parquet Java是一个开源的工具，用于优化大规模数据处理。其中parquet\-avro模块用于转换parquet格式与avro数据格式。 在parquet\-avro 1.15.0 及之前的版本中，AvroConverters.java中的FieldStringableConverter方法未对传入的stringableClass对象进行校验操作，导致在将parquet文件转换为avro的过程中可实例化任意类并调用构造方法，攻击者可利用该特性传入恶意parquet文件，执行任意代码。 修复版本通过checkSecurity函数来实现白名单限制，对传入的stringableClass对象进行校验，只允许受信任包下的stringableClass对象通过，限制反序列化的恶意类加载。

Vite开发服务器任意文件读取漏洞（CVE-2025-31125）

Vite是一个现代前端构建工具，为Web项目提供更快、更精简的开发体验。它主要由两部分组成：具有热模块替换（HMR）功能的开发服务器，以及使用Rollup打包代码的构建命令。CVE\-2025\-31125 中攻击者可构造恶意请求绕过相关校验，遍历读取系统上的文件。

Crushftp 认证绕过漏洞（CVE-2025-2825）

CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件。CVE\-2025\-2825 中，攻击者可构造恶意请求绕过身份认证，从而调用后台相关功能。

Splunk远程代码执行漏洞

Splunk Enterprise是一款强大的数据分析平台，专注于机器数据的收集、监控和分析，广泛应用于日志管理、安全信息事件管理（SIEM）和IT运维，能够帮助组织实时获取操作数据、检测异常、分析趋势，并提供可视化报表和警报功能。Splunk Cloud Platform是Splunk的云版本，提供与Enterprise相同的数据分析功能，但以SaaS形式运行，用户无需自行管理基础设施。它适用于需要高度可扩展性和灵活性的企业，支持跨平台、跨环境的数据分析和管理，帮助组织高效处理大数据，并实现深入的智能洞察。2025年3月27日，启明星辰集团VSRC监测到Splunk发布的安全公告，公告指出Splunk Enterprise和Splunk Cloud Platform存在一个高危漏洞。在特定版本中，低权限用户（未持有"admin"或"power"角色）由于缺乏必要的授权检查，可能通过将文件上传至“$SPLUNK\_HOME/var/run/splunk/apptemp”目录，从而执行远程代码（RCE）。

Vite 任意文件读取漏洞

Vite 是一个现代化的前端构建工具，旨在提供快速的开发服务器和优化的构建流程，广泛用于开发基于 JavaScript 和 TypeScript 的 Web 应用程序。 2025 年 3 月，Vite 官方发布安全补丁，修复了一个任意文件读取漏洞（CVE\-2025\-30208）。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制，读取服务器上的任意文件内容。由于该漏洞的利用需要特定的服务器配置，受影响的用户可根据实际情况评估风险并决定是否立即修复。 该漏洞源于 Vite 在处理带有特定查询参数的 URL 时，正则表达式和参数处理逻辑存在缺陷，导致安全检查被绕过。攻击者利用这一缺陷，通过精心构造的请求路径，访问服务器上不在允许访问列表中的文件。 影响版本： 6.2.0 <\= vite < 6.2.3 6.1.0 <\= vite < 6.1.2 6.0.0 <\= vite < 6.0.12 5.0.0 <\= vite < 5.4.15 vite < 4.5.10