Apache Linkis <1.6.0 JDBC DataSource任意文件读取漏洞

Apache Linkis 是面向大数据和人工智能应用的开源治理平台。 受影响版本中，DataSource Manager 模块对传入的 JDBC URL 和参数检查不足，攻击者可以通过构造恶意 JDBC URL 进行任意文件读取。 修复版本中，通过 SecurityUtils.getMysqlSecurityParams\(\) 方法确保 JDBC 参数安全并且增加对相对路径的检查，以修复漏洞。

泛微e-cology9 远程命令执行漏洞

暂无

泛微OA E-cology getHendledWorkflowRequestList SQL注入漏洞

暂无

用友 U8cloud ReleaseRepMngAction接口 SQL注入漏洞

暂无

Django 自定义Storage子类存在路径遍历漏洞

Django 是Python编写的开源Web应用框架，generate\_filename 方法是 django.core.files.storage.Storage 类中用于生成文件名的方法。 受影响版本中，如果开发者重写 django.core.files.storage.Storage 的 generate\_filename 方法时未对文件名进行校验则会导致路径遍历漏洞。 攻击者可利用该漏洞构造恶意的文件名\(如：../\)，当目标系统调用 save\(\) 方法保存文件时可读取或修改系统上的敏感文件。