Linux kernel代码执行漏洞(CVE-2024-50264)

在 Linux 内核中： vsock/virtio：vsk\-\>trans 中发生悬空指针初始化 在环回通信期间，vsk\-\>trans 中可能会创建悬空指针，这可能会导致释放后使用情况。此问题通过将 vsk\-\>trans 初始化为 NULL 来解决。

Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞(CVE-2024-49113)

该漏洞产生的原因是Windows LDAP客户端在处理 Netlogon Remote Protocol \(NRPC\) 和 LDAP 客户端交互时，未能正确处理特制的 LDAP 响应。攻击者通过向目标服务器发送恶意 RPC 请求诱骗目标服务器向攻击者发送 LDAP 查询，从而导致信息泄露和服务器崩溃等危害。

OpenWrt Attended SysUpgrade 命令注入漏洞

OpenWrt 的 Attended SysUpgrade（ASU）服务中存在命令注入漏洞和弱哈希漏洞。该命令注入漏洞源于 Imagebuilder 在构建过程中未能正确处理用户提供的软件包名称，导致攻击者可以将任意命令注入构建过程，生成恶意固件镜像。同时，由于 SHA\-256 哈希被截断至12个字符，降低了哈希的复杂性，增加了哈希碰撞的可能性，使得攻击者可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像，从而影响已交付版本的完整性。

帆软 WebReport plugin_logdb JDBC 漏洞

反序列化漏洞主要发生在应用程序未对用户输入的序列化字符串进行充分检查的情况下，攻击者可以通过构造恶意的序列化数据来进行攻击，从而控制应用程序的行为，执行任意代码，访问或修改敏感数据，甚至可能导致整个系统的控制权被攻陷。

MetInfo /app/system/entrance.php 任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。