ragflow web_crawl SSRF漏洞（CVE-2024-12450）

ragflow是一款用于构建和管理 RAG（检索增强生成）应用的工具，其旧版本web\_crawl接口存在一个SSRF漏洞，已获得登录权限的远程攻击者，可以利用该漏洞访问服务器所处的内网环境，或者读取系统内的任意文件，导致敏感信息泄漏，并有可能实现远程代码执行。

三汇SMG网关管理软件 9-12ping.php 远程代码执行漏洞

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

Code-Projects Blood Bank Management System 安全漏洞

Code\-Projects Blood Bank Management System是Code\-Projects开源的一个血库管理系统。 Code\-Projects Blood Bank Management System 1.0版本存在安全漏洞，该漏洞源于会导致SQL注入。

Keytop On-street parking payment system 授权问题漏洞

Keytop On\-street parking payment system是中国科拓（Keytop）公司的一个停车收费系统。 Keytop On\-street parking payment system 2.7.1版本存在授权问题漏洞，该漏洞源于身份验证不当。

Open WebUI 任意文件上传漏洞（CVE-2024-8060）

Open WebUI是一个可扩展可独立部署的AI平台，其旧版本/audio/api/v1/transcriptions接口存在一个任意文件上传漏洞，已获得登录权限的攻击者可利用该漏洞向系统内的任意位置写入文件，如系统程序、配置文件等，有可能导致服务器失陷。