Vite 任意文件读取漏洞

Vite 是一个现代化的前端构建工具，旨在提供快速的开发服务器和优化的构建流程，广泛用于开发基于 JavaScript 和 TypeScript 的 Web 应用程序。 2025 年 3 月，Vite 官方发布安全补丁，修复了一个任意文件读取漏洞（CVE\-2025\-30208）。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制，读取服务器上的任意文件内容。由于该漏洞的利用需要特定的服务器配置，受影响的用户可根据实际情况评估风险并决定是否立即修复。 该漏洞源于 Vite 在处理带有特定查询参数的 URL 时，正则表达式和参数处理逻辑存在缺陷，导致安全检查被绕过。攻击者利用这一缺陷，通过精心构造的请求路径，访问服务器上不在允许访问列表中的文件。 影响版本： 6.2.0 <\= vite < 6.2.3 6.1.0 <\= vite < 6.1.2 6.0.0 <\= vite < 6.0.12 5.0.0 <\= vite < 5.4.15 vite < 4.5.10

Ingress NGINX Controller 远程代码执行漏洞

漏洞源于 Ingress NGINX Controller 的准入控制器在处理 Ingress 对象时，未对用户输入进行充分验证和清理。攻击者通过向准入控制器发送恶意的 AdmissionReview 请求，可以注入任意 NGINX 配置指令，并在配置验证阶段（使用 nginx \-t）触发代码执行。

VLLM Mooncake pickle反序列化漏洞（CVE-2025-29783）

vLLM是一个快速、易用的大模型推理服务引擎。其旧版Mooncake组件存在pickle反序列化漏洞，当vLLM配置使用了Mooncake作为分布式kvcache并将端口开放在外时，未经授权的远程攻击者可向Mooncake发送恶意的序列化数据，实现远程代码执行，导致服务器失陷。

Kubernetes ingress-nginx远程代码执行漏洞

Ingress NGINX 控制器是 Kubernetes 中核心的控制器，用于处理传入流量并将其路由到相关的 Kubernetes 服务，根据一组规则将流量转发到适当的 Pods。 受影响版本的 ingress\-nginx 控制器在处理传入的 AdmissionReview 请求时会根据模板文件和提供的 Ingress 对象生成一个临时的 NGINX 配置文件。然后使用 nginx \-t 命令测试临时配置文件的有效性，这一操作导致攻击者可借助 nginx 配置文件注入恶意代码。 修复版本通过禁用验证过程中的 nginx 配置测试来缓解该漏洞。

Fortinet FortiOS和FortiProxy 堆缓冲区下溢漏洞

FortiOS 和 FortiProxy 的管理界面接口中存在一处堆缓冲区下溢漏洞，远程且未经过授权的攻击者若能通过HTTP\(s\) 协议访问到 FortiOS 和 FortiProxy 管理台，则可能利用此漏洞在目标服务器上执行任意恶意代码，或者进行拒绝服务（DoS）攻击。 Fortinet受影响的产品版本包括： FortiOS 7.2.0 \- 7.2.3 ，FortiOS 7.0.0 \- 7.0.9 ，FortiOS 6.4.0 \- 6.4.11 ，FortiOS 6.2.0 \- 6.2.12 ，FortiOS 6.0 所有版本 ，FortiProxy 7.2.0 \- 7.2.2 ，FortiProxy 7.0.0 \- 7.0.8 ，FortiProxy 2.0.0 \- 2.0.11 ，FortiProxy 1.2 所有版本 ，FortiProxy 1.1 所有版本