赛克艾威-漏洞预警

SecEvery - Vulnerability Warning

Milvus Proxy 身份认证绕过漏洞(CVE-2025-64513)

北京赛克艾威科技有限公司

2025-11-10

Milvus 是一款开源的向量数据库,专为处理海量向量数据而设计,广泛应用于人工智能、机器学习和大数据分析领域。远程未经身份验证的攻击者通过构造恶意的 gRPC 请求,可以绕过 Milvus Proxy 组件中的身份验证机制,进而获得对 Milvus 的完全管理权限,可能导致数据泄露、数据篡改或服务中断等严重后果。

Spring Cloud Gateway 表达式注入漏洞(CVE-2025-41253)

北京赛克艾威科技有限公司

2025-10-16

Spring Cloud Gateway是一个动态、有效的API网关,用于微服务架构。该漏洞源于官方对Spring Cloud Gateway 环境属性修改漏洞\(CVE\-2025\-41243\)补丁修复不完善,Spring Cloud Gateway 的 SpEL 表达式安全校验机制仍存在缺陷,攻击者可通过暴露的 Actuator 端点,读取目标系统上的环境变量、系统属性等敏感信息。

libimagecodec.quram.so越界写漏洞(CVE-2025-21042)

北京赛克艾威科技有限公司

2025-09-12

在 \`libimagecodec.quram.so\` 中存在越界写漏洞,该漏洞在 SMR Apr\-2025 Release 1 之前存在,允许远程攻击者执行任意代码。

BIND 9 缓存污染漏洞(CVE-2025-40778)

北京赛克艾威科技有限公司

2025-10-22

BIND(Berkeley Internet Name Domain)是一个广泛使用的域名系统(DNS)服务器软件,用于将域名和IP地址相互映射,实现域名解析功能。该漏洞产生于BIND 9在处理应答记录时过于宽松,允许攻击者注入伪造数据至缓存中。

Open WebUI 任意代码执行漏洞(CVE-2025-64495)

北京赛克艾威科技有限公司

2025-11-08

Open WebUI是一个自托管的人工智能平台,设计为完全离线运行。该平台允许用户通过自定义提示与AI进行交互。在0.6.34及以下版本中,当启用“以富文本形式插入提示”功能时,由于未对提示内容进行清理即直接赋值给DOM的\`.innerHtml\`,导致存在DOM XSS漏洞。