GeoServer XML外部实体注入漏洞(CVE-2025-58360)

GeoServer是一个开源服务器，允许用户共享和编辑地理空间数据。该漏洞源于 /geoserver/wms 端点的 GetMap 操作在接收 XML 请求时未对外部实体引用进行充分限制。攻击者可以利用该漏洞，通过构造恶意的 XML 数据注入外部实体，从而读取服务器上的敏感信息或导致拒绝服务。

Oracle Identity Manager 远程代码执行漏洞(CVE-2025-61757)

该漏洞源于 SecurityFilter 对请求URI处理不当，攻击者可通过添加参数 ;.wadl 绕过身份验证，然后利用Groovy脚本在处理器编译时执行任意代码，从而获取服务器权限。

Fortinet FortiWeb 操作系统命令注入漏洞(CVE-2025-58034)

Fortinet FortiWeb是一款由Fortinet公司开发的网络应用防火墙，用于保护Web应用免受攻击。受影响的版本包括FortiWeb 8.0.0至8.0.1、7.6.0至7.6.5、7.4.0至7.4.10、7.2.0至7.2.11、7.0.0至7.0.11。该漏洞是由于系统未能正确中和OS命令中的特殊元素，导致经过身份验证的攻击者可以通过精心构造的HTTP请求或CLI命令在底层系统上执行未授权的代码。

深信服运维安全管理系统远程命令执行漏洞(CVE-2025-12916)

该漏洞源于 portal\_login、/protocol/session 等接口对请求参数校验不严，存在命令注入漏洞。未经身份验证的攻击者可利用此漏洞执行任意系统命令，最终获取服务器控制权限。

AstrBot 远程代码执行漏洞(CVE-2025-55449)

AstrBot 是 AstrBotDevs 开发的一款开源大型语言模型聊天机器人及开发框架，支持多平台部署和插件扩展。 该漏洞源于 AstrBot 使用了固定的 JWT 签名密钥，攻击者可利用该密钥伪造任意有效的 JWT 认证令牌，完全绕过身份验证机制。成功绕过认证后，攻击者可访问插件管理接口，通过上传恶意的 Python 插件文件实现远程代码执行。