Langflow code 代码执行漏洞（CVE-2025-3248）

LangFlow是一个针对LangChain的GUI,它采用了反应流设计,提供了一种轻松的方式,通过拖放组件和聊天框来实验和原型化流程,将llm嵌入到您的应用程序中。2025年4月，互联网上披露CVE\-2025\-3248 Langflow code 代码执行漏洞，攻击者可在无需登陆的情况下执行代码，控制服务器。

Code-Projects Blood Bank Management System 注入漏洞

Code\-Projects Blood Bank Management System是Code\-Projects开源的一个血库管理系统。 Code\-Projects Blood Bank Management System 1.0版本存在注入漏洞，该漏洞源于对参数hospital的错误操作会导致SQL注入。

CrushFTP 服务器端认证绕过漏洞(CVE-2025-31161)

CrushFTP 存在服务器端认证绕过漏洞。该漏洞源于 HTTP 组件的 AWS4\-HMAC\-SHA256 认证方法中存在竞态条件。攻击者可以通过构造特殊的 HTTP Authorization 请求头，在无需密码的情况下临时认证为任意用户（包括管理员账户），从而绕过正常认证机制。由于大多数用户选择默认管理员用户名（如 crushadmin），这使得漏洞利用变得极为简单，攻击者可以轻松获得系统完全控制权。

Interlib图书馆集群管理系统 showPhoto SQL注入漏洞

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

GLPI 未授权SQL注入漏洞

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。