杭州吉拉科技精益价值流管理系统 AjaxHandler.ashx 任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

Ollama 未授权访问漏洞

Ollama 是一个开源的便于本地部署和运行 Llama 3、Mistral、Gemma 等大型语言模型的工具。 据描述，由于 Ollama 的默认部署配置未强制启用身份认证机制，如果服务端口（默认11434）直接暴露于公网，则攻击者可直接访问高危接口，从而读取、下载或删除私有模型文件，并窃取敏感业务数据或滥用模型推理资源，如果 Ollama 以 Docker 部署，则攻击者可能通过恶意指令注入实现容器逃逸。 \- 模型管理接口（拉取/删除模型文件） \- 模型推理接口（执行任意 Prompt 指令） \- 系统配置接口（篡改服务参数）

SuperMap-iServer /services 未授权访问漏洞

未授权访问漏洞是指攻击者未经过身份验证或绕过身份验证机制，就能够访问系统资源或执行敏感操作的安全漏洞。这种漏洞可能导致敏感信息泄露、数据篡改、服务中断等严重后果，给系统安全性带来极大威胁。

NAKIVO Backup & Replication 任意文件读取漏洞（CVE-2024-48248）

NAKIVO Backup & Replication是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。近日官方修复 CVE\-2024\-48248 NAKIVO Backup & Replication任意文件读取漏洞，攻击者可利用STPreLoadManagement类中的getImageByPath方法，绕过路径验证并读取目标服务器上的任意文件。

NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)

NAKIVO Backup & Replication 存在任意文件读取漏洞，攻击者可利用STPreLoadManagement 类中的 getImageByPath方法，绕过路径验证并读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。