Ollama 未授权访问漏洞

Ollama 是一个开源的便于本地部署和运行 Llama 3、Mistral、Gemma 等大型语言模型的工具。 据描述，由于 Ollama 的默认部署配置未强制启用身份认证机制，如果服务端口（默认11434）直接暴露于公网，则攻击者可直接访问高危接口，从而读取、下载或删除私有模型文件，并窃取敏感业务数据或滥用模型推理资源，如果 Ollama 以 Docker 部署，则攻击者可能通过恶意指令注入实现容器逃逸。 \- 模型管理接口（拉取/删除模型文件） \- 模型推理接口（执行任意 Prompt 指令） \- 系统配置接口（篡改服务参数）

NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)

NAKIVO Backup & Replication 存在任意文件读取漏洞，攻击者可利用STPreLoadManagement 类中的 getImageByPath方法，绕过路径验证并读取目标服务器上的任意文件（包括敏感配置文件、数据库、备份日志等）。

SuperMap-iServer /services 未授权访问漏洞

未授权访问漏洞是指攻击者未经过身份验证或绕过身份验证机制，就能够访问系统资源或执行敏感操作的安全漏洞。这种漏洞可能导致敏感信息泄露、数据篡改、服务中断等严重后果，给系统安全性带来极大威胁。

科立讯指挥调度平台弱口令漏洞

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

H2databases 远程代码执行漏洞(CVE-2021-42392)

H2database是一个用 Java 编写的可嵌入 Rdbms。 H2database 存在安全漏洞，该漏洞源于H2数据库的getConnection方法以驱动的类名和数据库的URL作为参数。攻击者可利用该漏洞传递JNDI驱动程序名称和指向LDAP或RMI服务器的URL，从而导致远程代码执行。