GNU Mailman信息泄露漏洞(CVE-2025-43919)

GNU Mailman 2.1.39，作为 cPanel（和 WHM）的一部分，允许未认证的攻击者通过 /mailman/private/mailman（即私有存档认证端点）的 username 参数使用 ../ 目录遍历读取任意文件。

H2O-3 JDBC 反序列化漏洞(CVE-2025-6507)

在 H2O\-3 的 JDBC 连接处理逻辑中，由于反序列化不安全的数据，攻击者可通过插入参数之间的空格绕过正则表达式过滤机制，进而触发漏洞。攻击者可利用该漏洞，通过发送特制的 JDBC URL，实现远程代码执行和任意文件读取，最终可完全控制受影响的 H2O\-3 实例。

Sitecore 多款产品拒绝服务漏洞(CVE-2025-53690)

反序列化不可信数据漏洞存在于 Sitecore Experience Manager \(XM\)，Sitecore Experience Platform \(XP\) 中，允许代码注入。此问题影响 Experience Manager \(XM\): 通过 9.0; Experience Platform \(XP\): 通过 9.0。

Web 部署远程代码执行漏洞

Microsoft Web Deploy（msdeploy）是一款用于在Web服务器上进行应用程序和配置部署的工具。它支持通过HTTP\(S\)端点（msdeploy.axd）或Web Deploy Agent服务（msdeployagentservice）进行远程部署。Web Deploy允许用户同步文件、网站、证书、数据库等资源，并支持创建和应用部署包。该工具广泛用于将Web应用程序、IIS配置及其他资源打包并迁移到目标环境，具有高灵活性和扩展性。2025年9月4日，启明星辰集团VSRC监测到一个影响Microsoft Web Deploy的远程代码执行（RCE）漏洞，存在于msdeploy.axd和msdeployagentservice端点。该漏洞源于Web Deploy服务在处理HTTP头部数据时，未安全地反序列化Base64和GZip解码后的内容。攻击者可通过构造恶意请求头（如MSDeploy.SyncOptions），在Web部署过程中利用该漏洞执行恶意代码，从而远程执行系统命令并获取服务器控制权限，漏洞评分8.8分，漏洞级别高危。

Django SQL 注入漏洞

Django是一个高级的Python Web框架，用于快速开发安全、可维护的网站。它鼓励遵循“DRY”（Don't Repeat Yourself）原则，提供了丰富的内置功能，如自动化的管理界面、数据库模型、URL路由、表单处理、验证、认证等。Django是一个全栈框架，适合开发从简单应用到复杂系统的各种Web项目。其设计注重可重用性、快速开发和高效的数据库操作，使开发者能够专注于业务逻辑而非底层代码。2025年9月4日，启明星辰集团VSRC监测到Django框架中的一项高危SQL注入漏洞。该漏洞源于FilteredRelation功能在处理列别名时，未对通过kwargs传递给QuerySet.annotate\(\)或QuerySet.alias\(\)的字典进行充分验证。攻击者可以构造恶意字典，利用字典展开特性，将恶意输入注入SQL查询的列别名部分，从而绕过常规SQL注入防护。成功利用后，攻击者可读取、修改或删除数据库中的敏感数据，甚至执行任意SQL命令，导致数据泄露或完全控制数据库。漏洞评分7.1分，漏洞级别高危。