Commvault SSRF 致代码执行漏洞（CVE-2025-34028）

Commvault Command Center 是 Commvault 提供的一款用于集中管理和监控整个数据保护环境的 Web管理界面。2025年4月，互联网上披露CVE\-2025\-34028，攻击者可利用deployWebpackage.do接口的SSRF造成远程代码执行，控制服务器。官方已发布安全更新，建议升级至最新版本。

browser-use WebUI pickle反序列化漏洞

browser\-use WebUI是基于browser\-use的AI Agent应用。2025年4月，互联网上披露其旧版接口update\_ui\_from\_config存在一个pickle反序列化漏洞，未经授权的远程攻击者可以利用该接口发送恶意的序列化数据，实现在服务端执行任意代码，导致服务器失陷。

SAP Netweaver metadatauploader 代码执行漏洞（CVE-2025-31324）

CVE\-2025\-31324中，SAP NetWeaver Visual Composer Metadata Uploader 存在未授权漏洞，攻击者可构造恶意请求触发反序列化写入恶意文件，执行任意代码，控制服务器。

锐捷网络-EWEB系统 ipam.php 任意文件读取漏洞

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

Craft CMS 远程代码执行漏洞(CVE-2025-32432)

Craft 是一款灵活且用户友好的内容管理系统 \(CMS\)，用于在网页及其他平台上打造定制化的数字体验。从 3.0.0\-RC1 版本到 3.9.15 之前的版本、4.0.0\-RC1 版本到 4.14.15 之前的版本以及 5.0.0\-RC1 版本到 5.6.17 之前的版本，Craft 都存在远程代码执行漏洞。这是一种高影响、低复杂度的攻击向量。该漏洞已在 3.9.15、4.14.15 和 5.6.17 版本中得到修复，并且是对 CVE\-2023\-41892 的额外修复。