Google Chrome 媒体流释放后重用漏洞

Google Chrome 是由谷歌开发的跨平台网页浏览器，以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目，支持现代网页标准，具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码，增强浏览器的安全性。它还提供了同步功能，允许用户在多个设备间同步书签、历史记录等数据。此外，Chrome定期更新，修复已知漏洞并增强功能，是全球使用最广泛的浏览器之一。2025年7月31日，启明星辰集团VSRC监测到Chrome浏览器存在一个高危漏洞（CVE\-2025\-8292），源于Media Stream组件中的use\-after\-free内存释放后使用错误。攻击者可通过构造特定媒体流操作诱发释放后访问，造成内存破坏，进而可能实现浏览器崩溃或远程代码执行，漏洞评分8.8分，漏洞级别高危。

Linux 内核拒绝服务漏洞 (CVE-2025-38089)

该漏洞是由于对\`rqstp\-\>rq\_accept\_statp\` 指针，可以保留为 NULL，并且在错误处理代码路径中取消引用。远程攻击者可以通过向存在漏洞的 NFS 发送特制的 RPC 请求服务器导致空指针取消引用并崩溃。

1Panel代理证书验证绕过导致任意命令执行漏洞

1Panel 是一个开源、现代化的 Linux 运维管理面板，提供图形化界面用于部署网站、管理服务器和运行服务。 受影响版本中，Agent 端 TLS 认证策略为 tls.RequireAnyClientCert，仅要求提供证书但不验证其可信性。攻击者可通过自签名证书绕过 TLS 校验，并伪造CN字段为panel\_client，绕过应用层校验。最终攻击者可伪造证书进行未授权命令执行接口调用，导致远程命令执行漏洞。 修复版本将认证策略改为 tls.RequireAndVerifyClientCert，并加载根证书作为信任锚，强制验证客户端证书合法性，防止伪造证书攻击。

form-data安全特性绕过漏洞(CVE-2025-7783)

使用不充分随机值的漏洞在 \`form\-data\` 中允许 HTTP 参数污染（HPP）。此漏洞与程序文件 \`lib/form\_data.Js\` 相关。 此问题影响 \`form\-data\`: < 2.5.4, 3.0.0 \- 3.0.3, 4.0.0 \- 4.0.3.

Apache Tomcat 认证绕过漏洞(CVE-2025-49125)

Apache Tomcat是一个开源的Web服务器和Servlet容器，广泛应用于Web应用的部署和管理。该漏洞产生于使用PreResources或PostResources挂载在Web应用程序根目录之外的位置时，攻击者可能通过一个非预期的路径访问这些资源。该路径可能没有受到预期路径相同的安全约束保护，从而允许绕过这些安全约束。