DataEase JNDI注入漏洞

DataEase是一款开源的数据可视化与分析平台，支持多种数据源接入，提供报表、看板、可视化大屏等功能，帮助用户实现数据查询、分析与展示。它支持JDBC、API等多种数据连接方式，适用于BI报表、数据分析及可视化场景。2025年8月26日，启明星辰集团VSRC监测到DataEase Desktop存在DataEase JNDI注入漏洞\(CVE\-2025\-57773\)。由于DB2数据源参数缺乏有效校验，攻击者可通过构造恶意JDBC URL（如jdbc:db2://…;clientRerouteServerListJNDIName\=rmi://<恶意服务器\>），触发JNDI远程加载，并结合commons\-collections 4.x与aspectjweaver\(<1.9.4\)的Gadget链实现反序列化攻击，从而达到任意文件写入或远程代码执行的目的，最终可能完全控制服务器，同时Dataease Desktop还存在Dataease JDBC逻辑绕过漏洞\(CVE\-2025\-57772\)，由于CalciteProvider\#getConnection方法中存在JDBC类型校验缺陷，攻击者可通...

Docker Desktop 未授权访问导致容器逃逸漏洞

Docker Desktop 是官方提供的 桌面版 Docker 环境，用于在 Windows 和 macOS 系统上运行和管理 Docker 容器。 受影响版本的 Docker Desktop 在内部虚拟机网络（默认 192.168.65.7:2375）上暴露了未鉴权的 Docker Engine API。攻击者可在容器内直接调用该 API 执行管理指令，并通过创建挂载主机文件系统的特权容器，实现容器逃逸和主机接管。

macOS 越界写入漏洞(CVE-2025-43300)

macOS 是苹果公司开发的操作系统，广泛用于个人电脑和移动设备，提供用户友好的界面和强大的功能。该漏洞由于边界检查不充分导致越界写入问题，攻击者通过处理恶意图像文件可能引发内存损坏。

GitLab CE/EE OmniAuth 硬编码漏洞(CVE-2022-1162)

14.7.7 之前的 GitLab CE/EE 版本 14.7、14.8.5 之前的 14.8 和 14.9.2 之前的 14.9 中，使用了 OmniAuth功能时（如 OAuth、LDAP、SAML）注册的帐户设置了硬编码密码，从而允许攻击者可能通过该硬编码进行登录导致权限提升。

Trend Micro Apex One命令执行漏洞(CVE-2025-54948)

Trend Micro Apex One（本地部署）管理控制台中的一个漏洞可能允许未经身份验证的远程攻击者上传恶意代码并在受影响的安装上执行命令。