Fortra GoAnywhere MFT代码执行漏洞(CVE-2025-10035)

在 Fortra 的 GoAnywhere MFT 的许可证 Servlet 中存在反序列化漏洞，允许具有有效伪造许可证响应签名的攻击者反序列化任意由攻击者控制的对象，可能导致命令注入。

Cisco IOS 和IOS XE SNMP 远程代码执行漏洞

Cisco IOS（Internetwork Operating System）是思科公司为其路由器和交换机设备开发的操作系统，广泛应用于企业和服务提供商的网络设备中。IOS XE是IOS的升级版本，基于Linux内核，具备更高的可扩展性、灵活性和更强的网络虚拟化能力。IOS XE支持更复杂的应用和服务，提供更强的安全性和可管理性，适用于高性能的网络设备，如Cisco Catalyst 9000系列交换机。两者都支持丰富的网络协议、管理工具和安全功能，是现代网络设备的核心操作系统。2025年9月26日，启明星辰集团VSRC监测到一个影响Cisco IOS和IOS XE软件的SNMP（简单网络管理协议）缓冲区溢出漏洞。攻击者可以通过精心构造的SNMP数据包，利用该漏洞在受影响设备上发起远程攻击，导致拒绝服务（DoS）或远程代码执行（RCE）。对于低权限的认证远程攻击者，若拥有有效的SNMPv2c只读社区字符串或SNMPv3用户凭证，可能导致设备重启，从而触发DoS；对于高权限的攻击者，若拥有SNMPv1/v2c只读社区字符串或SNMPv3凭证，并且具备管理员或特权15凭证，则可能以roo...

用友U8Cloud NCCloudGatewayServlet 命令执行漏洞(QVD-2025-37484)

该漏洞源于 NCCloudGatewayServlet 在处理用户请求时 token 验证使用默认值并且反射调用缺少限制，导致攻击者可注入任意命令从而获取服务器权限。

Spring Cloud Gateway 环境属性修改漏洞(CVE-2025-41243)

该漏洞源于 Spring Cloud Gateway 的 SpEL 表达式​​安全校验机制存在缺陷​，攻击者可通过暴露的 Actuator 端点，通过修改系统属性（如禁用 restrictive\-property\-accessor）来读取环境变量等敏感信息。

Chrome V8 类型混淆远程执行漏洞

Google Chrome 是由谷歌开发的跨平台网页浏览器，以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目，支持现代网页标准，具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码，增强浏览器的安全性。它还提供了同步功能，允许用户在多个设备间同步书签、历史记录等数据。此外，Chrome定期更新，修复已知漏洞并增强功能，是全球使用最广泛的浏览器之一。2025年9月18日，启明星辰集团VSRC监测到Chrome V8引擎出现类型混淆漏洞；攻击者可通过构造恶意网页诱导用户访问，进而操纵内存布局并触发任意代码执行。谷歌已确认该漏洞在野被利用。漏洞评分8.7，漏洞级别高危。