ArrayOS 命令注入漏洞（CVE-2025-66644）

Array Networks ArrayOS AG 9.4.5.9 之前版本存在命令注入漏洞，该漏洞在 2025 年 8 月至 12 月期间已被实际利用。

Apache Tika XML外部实体注入漏洞(CVE-2025-66516)

Apache Tika是一个开源的内容分析工具集，用于提取和分析文件内容。该工具集支持多种文件格式，包括PDF、Office文档等。在Apache Tika的tika\-core、tika\-pdf\-module和tika\-parsers模块中存在一个严重的XML外部实体（XXE）漏洞，该漏洞允许攻击者通过精心构造的XFA文件嵌入在PDF中，利用XML外部实体注入攻击。

Next.js React Server Components 远程代码执行漏洞【PoC公开】

Next.js 是基于 React 的开源 Web 框架，用于构建 SSR、静态站点与混合渲染应用。 受影响版本中（最早于2024年5月开始集成React 19），Next.js App Router 将来自客户端的 RSC 序列化数据直接交由 ReactFlightReplyServer 反序列化，未对模型结构、引用路径与 Server Reference 元数据进行充分校验。攻击者可构造恶意 RSC请求，引导 parseModelString、getOutlinedModel、loadServerReference、initializeModelChunk 等解析链路进入异常状态，在模块加载与引用绑定阶段控制调用目标，最终在 Next.js 中可触发任意服务端代码执行。 Next.js 通过升级相关依赖并绑定至修复后的 RSC 解析入口，消除攻击者利用恶意 RSC请求实现代码执行的路径。

React Server Components 反序列化远程代码执行漏洞

React Server Components（RSC）是 React 19 的服务端渲染与组件流式传输机制，于 2024 年 12 月 5 日发布正式版本，用于在服务端解析组件与模型数据并输出渲染结果，广泛用于 Next.js、Vercel 与各类 Node.js 渲染服务。 受影响版本中，RSC 在处理 ReplyFlightStream 的反序列化数据时缺乏必要校验，攻击者可构造任意模型字段、循环结构、Server Reference 与 multipart/form\-data，诱使解析流程进入异常路径并触发模块加载与引用执行链，最终导致未授权代码执行。 修复版本中通过重构 ReactFlightReplyServer 的模型与引用解析逻辑，引入循环检测、受控错误传播与严格状态机，并以 ReactPromise 替代原监听机制。同时加强 multipart/form\-data 的异常处理，所有 bundler 的 server\-dom 模块统一加入错误截断逻辑，有效防止反序列化漏洞。

Windows Vim 路径劫持漏洞(CVE-2025-66476)

Windows Vim上存在不受控制的搜索路径漏洞，攻击者可通过在项目中放置伪装的可执行文件（如findstr.bat），当用户在 Vim 执行:grep等命令时触发恶意代码，实现远程命令执行。