Vite开发服务器任意文件读取漏洞（CVE-2025-31125）

Vite是一个现代前端构建工具，为Web项目提供更快、更精简的开发体验。它主要由两部分组成：具有热模块替换（HMR）功能的开发服务器，以及使用Rollup打包代码的构建命令。CVE\-2025\-31125 中攻击者可构造恶意请求绕过相关校验，遍历读取系统上的文件。

Crushftp 认证绕过漏洞（CVE-2025-2825）

CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件。CVE\-2025\-2825 中，攻击者可构造恶意请求绕过身份认证，从而调用后台相关功能。

Kubernetes ingress-nginx controller auth-url 配置注入漏洞（CVE-2025-24514）

2025年3月，Kubernetes 官方披露 CVE\-2025\-24514 ingress\-nginx controller auth\-url 配置注入漏洞。具有Ingress资源写权限的攻击者可以通过Nginx Ingress社区提供的auth\-url Annotation向Nginx注入配置，从而在ingress\-nginx controller上下文中执行任意代码，并进一步获取整个集群维度的Secrets。

Kubernetes Ingress-nginx mirror-target和mirror-host 配置注入漏洞（CVE-2025-1098）

Ingress\-nginx是Kubernetes集群内服务对外暴露的访问接入点，用于承载集群内服务访问流量。其小于1.12.1的旧版本中，mirror\-target 和 mirror\-host配置项存在一个配置注入漏洞，已获得Ingress\-nginx访问权限的远程攻击者，可以向Ingress\-nginx提交配置，实现在Ingress\-nginx所在容器执行任意代码，导致该容器被攻击者控制，并可能导致集群内的Secrets泄漏。

Kubernetes ingress-nginx auth secret file 目录遍历漏洞（CVE-2025-24513）

2025年3月，Kubernetes 官方披露 CVE\-2025\-24513 Kubernetes ingress\-nginx auth secret file 目录遍历漏洞（CVE\-2025\-24513）。Nginx Ingress Controller不对Ingress资源写权限持有者提交的输入数据进行充分验证与过滤。攻击者可利用此漏洞构造恶意请求，将非法数据注入配置文件的生成路径中，从而触发容器内的目录遍历漏洞。该漏洞可能导致拒绝服务，或者与其他漏洞结合使用，导致集群内有限Secrets实例的泄露。