VLLM Mooncake pickle反序列化漏洞（CVE-2025-29783）

vLLM是一个快速、易用的大模型推理服务引擎。其旧版Mooncake组件存在pickle反序列化漏洞，当vLLM配置使用了Mooncake作为分布式kvcache并将端口开放在外时，未经授权的远程攻击者可向Mooncake发送恶意的序列化数据，实现远程代码执行，导致服务器失陷。

Kubernetes ingress-nginx远程代码执行漏洞

Ingress NGINX 控制器是 Kubernetes 中核心的控制器，用于处理传入流量并将其路由到相关的 Kubernetes 服务，根据一组规则将流量转发到适当的 Pods。 受影响版本的 ingress\-nginx 控制器在处理传入的 AdmissionReview 请求时会根据模板文件和提供的 Ingress 对象生成一个临时的 NGINX 配置文件。然后使用 nginx \-t 命令测试临时配置文件的有效性，这一操作导致攻击者可借助 nginx 配置文件注入恶意代码。 修复版本通过禁用验证过程中的 nginx 配置测试来缓解该漏洞。

Fortinet FortiOS和FortiProxy 堆缓冲区下溢漏洞

FortiOS 和 FortiProxy 的管理界面接口中存在一处堆缓冲区下溢漏洞，远程且未经过授权的攻击者若能通过HTTP\(s\) 协议访问到 FortiOS 和 FortiProxy 管理台，则可能利用此漏洞在目标服务器上执行任意恶意代码，或者进行拒绝服务（DoS）攻击。 Fortinet受影响的产品版本包括： FortiOS 7.2.0 \- 7.2.3 ，FortiOS 7.0.0 \- 7.0.9 ，FortiOS 6.4.0 \- 6.4.11 ，FortiOS 6.2.0 \- 6.2.12 ，FortiOS 6.0 所有版本 ，FortiProxy 7.2.0 \- 7.2.2 ，FortiProxy 7.0.0 \- 7.0.8 ，FortiProxy 2.0.0 \- 2.0.11 ，FortiProxy 1.2 所有版本 ，FortiProxy 1.1 所有版本

Fortinet FortiSandbox 安全漏洞

Fortinet FortiSandbox是美国飞塔（Fortinet）公司的一款APT（高级持续性威胁）防护设备。该设备提供双重沙盒技术、动态威胁智能系统、实时控制面板和报告等功能。 Fortinet FortiSandbox 存在安全漏洞，该漏洞源于处理HTTP请求时FortiSandbox的概要文件解析器中存在边界错误。攻击者可利用该漏洞通过发送精心构建的HTTP请求，触发基于堆栈的缓冲区溢出，并在目标系统上执行任意代码。

ComfyUI-Manager customnode/install 远程代码执行漏洞（CVE-2024-21574）

ComfyUI\-Manager是Dr.Lt.Data个人开发者的一款增强 ComfyUI 可用性的扩展程序。其旧版本customnode/install接口存在远程代码执行漏洞，未经授权的远程攻击者可以利用该接口安装任意的python包，攻击者可制作一个含有恶意代码的python包安装到ComfyUI\-Manager所在的服务器中，导致服务器失陷。