SecEvery - Vulnerability Warning
2025-11-10
Milvus 是一款开源的向量数据库,专为处理海量向量数据而设计,广泛应用于人工智能、机器学习和大数据分析领域。远程未经身份验证的攻击者通过构造恶意的 gRPC 请求,可以绕过 Milvus Proxy 组件中的身份验证机制,进而获得对 Milvus 的完全管理权限,可能导致数据泄露、数据篡改或服务中断等严重后果。
2025-10-16
Spring Cloud Gateway是一个动态、有效的API网关,用于微服务架构。该漏洞源于官方对Spring Cloud Gateway 环境属性修改漏洞\(CVE\-2025\-41243\)补丁修复不完善,Spring Cloud Gateway 的 SpEL 表达式安全校验机制仍存在缺陷,攻击者可通过暴露的 Actuator 端点,读取目标系统上的环境变量、系统属性等敏感信息。
2025-09-12
在 \`libimagecodec.quram.so\` 中存在越界写漏洞,该漏洞在 SMR Apr\-2025 Release 1 之前存在,允许远程攻击者执行任意代码。
2025-10-22
BIND(Berkeley Internet Name Domain)是一个广泛使用的域名系统(DNS)服务器软件,用于将域名和IP地址相互映射,实现域名解析功能。该漏洞产生于BIND 9在处理应答记录时过于宽松,允许攻击者注入伪造数据至缓存中。
2025-11-08
Open WebUI是一个自托管的人工智能平台,设计为完全离线运行。该平台允许用户通过自定义提示与AI进行交互。在0.6.34及以下版本中,当启用“以富文本形式插入提示”功能时,由于未对提示内容进行清理即直接赋值给DOM的\`.innerHtml\`,导致存在DOM XSS漏洞。