JumpServer ConnectionToken 权限验证不当漏洞(CVE-2025-62712)

该漏洞源于JumpServer 的 super\-connection\-token 接口没有严格的权限验证，而是返回所有用户创建的连接令牌（包括管理员），导致低权限攻击者可获取高权限用户的资产管理权限并执行恶意操作。

Squid拒绝服务漏洞(CVE-2025-54574)

Squid 是一个 Web 缓存代理。在 6.3 及以下版本中，Squid 在处理 URN 时由于缓冲区管理不当，存在堆缓冲区溢出和可能的远程代码执行攻击漏洞。此问题已在版本 6.4 中修复。为解决此问题，禁用 URN 访问权限。

XWiki Platform 远程代码执行漏洞(CVE-2025-24893)

XWiki Platform是一个通用的wiki平台，为在其上构建的应用程序提供运行时服务。该漏洞允许任何未认证用户通过向\`SolrSearch\`发送请求来执行任意远程代码，影响XWiki安装的整体机密性、完整性和可用性。

Starlette拒绝服务漏洞(CVE-2025-62727)

Starlette 是一个轻量级的 ASGI 框架/工具包。在 0.49.1 之前，未经身份验证的攻击者可以发送经过精心构造的 HTTP Range 请求头，触发 Starlette 的 FileResponse Range 解析/合并逻辑中的二次方时间复杂度处理。这会导致每个请求消耗大量 CPU 资源，从而造成提供文件的端点（例如 StaticFiles 或任何使用 FileResponse 的情况）拒绝服务。此漏洞已在 0.49.1 版本中修复。

Docker Compose OCI 路径遍历漏洞(CVE-2025-62725)

Docker Compose是一个用于定义和运行多容器Docker应用程序的工具。它允许用户通过一个YAML文件来配置应用程序的服务。在处理远程OCI Compose工件时，Docker Compose会信任其中嵌入的路径信息。当一个层包含特定的注解时，Compose会将攻击者提供的值与本地缓存目录连接，并在那里写入文件。