Apache Parquet Avro格式反序列漏洞

Apache Parquet Java是一个开源的工具，用于优化大规模数据处理。其中parquet\-avro模块用于转换parquet格式与avro数据格式。 在parquet\-avro 1.15.0 及之前的版本中，AvroConverters.java中的FieldStringableConverter方法未对传入的stringableClass对象进行校验操作，导致在将parquet文件转换为avro的过程中可实例化任意类并调用构造方法，攻击者可利用该特性传入恶意parquet文件，执行任意代码。 修复版本通过checkSecurity函数来实现白名单限制，对传入的stringableClass对象进行校验，只允许受信任包下的stringableClass对象通过，限制反序列化的恶意类加载。

JeeWMS iconController.do 任意文件上传漏洞

命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

Vite开发服务器任意文件读取漏洞（CVE-2025-31125）

Vite是一个现代前端构建工具，为Web项目提供更快、更精简的开发体验。它主要由两部分组成：具有热模块替换（HMR）功能的开发服务器，以及使用Rollup打包代码的构建命令。CVE\-2025\-31125 中攻击者可构造恶意请求绕过相关校验，遍历读取系统上的文件。

Crushftp 认证绕过漏洞（CVE-2025-2825）

CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件。CVE\-2025\-2825 中，攻击者可构造恶意请求绕过身份认证，从而调用后台相关功能。

Kubernetes ingress-nginx controller auth-url 配置注入漏洞（CVE-2025-24514）

2025年3月，Kubernetes 官方披露 CVE\-2025\-24514 ingress\-nginx controller auth\-url 配置注入漏洞。具有Ingress资源写权限的攻击者可以通过Nginx Ingress社区提供的auth\-url Annotation向Nginx注入配置，从而在ingress\-nginx controller上下文中执行任意代码，并进一步获取整个集群维度的Secrets。