Squid 缓存代理信息泄露漏洞(CVE-2025-62168)

Squid是一个用于Web的缓存代理，它能够提高网络效率和响应速度，广泛应用于各种网络环境中。在Squid版本7.2之前的版本中，由于在错误处理过程中未能正确遮蔽HTTP认证凭证，导致信息泄露。攻击者可以利用这一漏洞绕过浏览器安全保护，获取信任客户端用于认证的凭证。这可能允许远程客户端识别由Squid用于后端负载均衡的Web应用程序内部使用的安全性令牌或凭证。

GeographicLib 2.5 缓冲区溢出漏洞（CVE-2025-60751）

GeographicLib 2.5 存在缓冲区溢出漏洞，影响 GeoConvert DMS::InternalDecode。

Apache Tomcat 目录遍历漏洞

Apache Tomcat是一个开源的应用服务器，主要用于运行Java Servlet和JavaServer Pages\( Apache Tomcat <\= 11.0.1010.1.0\-M1 <\= Apache Tomcat <\= 10.1.449.0.0.M11 <\= Apache Tomcat <\= 9.0.108

Docker Desktop 安装程序 DLL 劫持漏洞

Docker Desktop是一款为开发者提供的跨平台容器管理工具，支持Windows和macOS系统。它简化了Docker引擎、容器、镜像的管理，并提供了图形化界面，方便用户创建、构建、运行和管理容器。Docker Desktop集成了Docker CLI、Kubernetes、容器虚拟化技术，以及支持本地开发和测试，旨在提高开发效率并简化部署流程。它是开发人员在本地环境中构建和测试容器化应用的理想工具。2025年10月28日，启明星辰集团VSRC监测到一个影响Docker Desktop for Windows安装程序的DLL劫持漏洞，源于不安全的DLL搜索顺序。安装程序在查找DLL时，会优先在用户的Downloads文件夹中搜索，而非系统目录。这使得攻击者可通过在该文件夹中放置恶意DLL，实现本地权限提升。该漏洞允许攻击者获取更高权限并执行恶意操作。漏洞评分8.8分，漏洞级别高危。

Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)

Spring WebFlux应用程序在静态资源上使用Spring Security授权规则时，由于解析差异可能导致权限绕过，从而未授权访问这些资源。