Emlog CMS keyword SQL注入漏洞

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

Vite开发服务器任意文件读取漏洞（CVE-2025-31486）

Vite是一个现代前端构建工具，为Web项目提供更快、更精简的开发体验。其旧版本在使用了‘\-\-host’或‘server.host’配置了公网开放后，未严格校验读取文件的范围，未经授权的远程攻击者可以读取任意文件的内容，导致敏感信息泄漏。

react-router 环境问题漏洞

react\-router是Remix开源的一个 React 的声明式路由。 react\-router 7.0.0版本至7.4.0版本存在环境问题漏洞，该漏洞源于Remix或React Router的Express适配器允许通过URL路径名伪造请求URL。

CrushFTP 服务器端认证绕过漏洞(CVE-2025-31161)

CrushFTP 存在服务器端认证绕过漏洞。该漏洞源于 HTTP 组件的 AWS4\-HMAC\-SHA256 认证方法中存在竞态条件。攻击者可以通过构造特殊的 HTTP Authorization 请求头，在无需密码的情况下临时认证为任意用户（包括管理员账户），从而绕过正常认证机制。由于大多数用户选择默认管理员用户名（如 crushadmin），这使得漏洞利用变得极为简单，攻击者可以轻松获得系统完全控制权。

Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)

Windows版 foxmail 存在高危远程代码执行漏洞，影响7.2.25.331版本，攻击者可借助恶意页面或文件在当前进程上下文中执行任意代码。