JeeWMS iconController.do 任意文件上传漏洞

命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

Apache Pinot 认证绕过漏洞（CVE-2024-56325）

Apache Pinot 是一个支持高可用、高并发、低延时的快速实时分布式 OLAP。CVE\-2024\-56325 中，攻击者可构造恶意请求绕过相关权限认证，调用相关后台功能，造成敏感信息泄漏等。

YesWiki squelette 文件读取漏洞（CVE-2025-31131）

YesWiki是一个用PHP编写的wiki系统。用于以协作方式创建和管理网站。CVE\-2025\-31131 中，攻击者可在无需登录的情况下构造恶意请求读取遍历文件，造成敏感信息泄漏。

Apache Parquet Avro格式反序列漏洞

Apache Parquet Java是一个开源的工具，用于优化大规模数据处理。其中parquet\-avro模块用于转换parquet格式与avro数据格式。 在parquet\-avro 1.15.0 及之前的版本中，AvroConverters.java中的FieldStringableConverter方法未对传入的stringableClass对象进行校验操作，导致在将parquet文件转换为avro的过程中可实例化任意类并调用构造方法，攻击者可利用该特性传入恶意parquet文件，执行任意代码。 修复版本通过checkSecurity函数来实现白名单限制，对传入的stringableClass对象进行校验，只允许受信任包下的stringableClass对象通过，限制反序列化的恶意类加载。

Vite开发服务器任意文件读取漏洞（CVE-2025-31125）

Vite是一个现代前端构建工具，为Web项目提供更快、更精简的开发体验。它主要由两部分组成：具有热模块替换（HMR）功能的开发服务器，以及使用Rollup打包代码的构建命令。CVE\-2025\-31125 中攻击者可构造恶意请求绕过相关校验，遍历读取系统上的文件。