汉王e脸通综合管理平台 uploadBlackListFile.do 任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

Commvault SSRF 致代码执行漏洞（CVE-2025-34028）

Commvault Command Center 是 Commvault 提供的一款用于集中管理和监控整个数据保护环境的 Web管理界面。2025年4月，互联网上披露CVE\-2025\-34028，攻击者可利用deployWebpackage.do接口的SSRF造成远程代码执行，控制服务器。官方已发布安全更新，建议升级至最新版本。

browser-use WebUI pickle反序列化漏洞

browser\-use WebUI是基于browser\-use的AI Agent应用。2025年4月，互联网上披露其旧版接口update\_ui\_from\_config存在一个pickle反序列化漏洞，未经授权的远程攻击者可以利用该接口发送恶意的序列化数据，实现在服务端执行任意代码，导致服务器失陷。

SAP Netweaver metadatauploader 代码执行漏洞（CVE-2025-31324）

CVE\-2025\-31324中，SAP NetWeaver Visual Composer Metadata Uploader 存在未授权漏洞，攻击者可构造恶意请求触发反序列化写入恶意文件，执行任意代码，控制服务器。

锐捷网络-EWEB系统 ipam.php 任意文件读取漏洞

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。