恒生短信平台 businessRptDwn 任意文件读取漏洞

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

7-Zip 代码执行漏洞

由于7\-Zip < 24.07 的版本对用户提供的数据缺乏验证导致在写入内存前发生整数下溢，攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压，从而执行任意代码

Apache Arrow R 包反序列化漏洞

Apache Arrow R 包是 Apache Arrow 项目的R语言组件，用于处理高性能的列式数据格式。 受影响的版本中，由于extension\_metadata\(\) 中直接调用 unserialize函数，导致反序列化漏洞。在读取 R 元数据时未进行类型或内容检查，允许恶意数据通过 x 参数触发任意代码执行。 攻击者可以通过构造恶意的 IPC 或 Parquet 文件在元数据中注入危险对象（如 promises、environments 等）。 修复代码通过新增 safe\_unserialize 和 safe\_r\_metadata 函数，确保反序列化操作仅限安全类型。

PHP反序列化漏洞

反序列化漏洞主要发生在应用程序未对用户输入的序列化字符串进行充分检查的情况下，攻击者可以通过构造恶意的序列化数据来进行攻击，从而控制应用程序的行为，执行任意代码，访问或修改敏感数据，甚至可能导致整个系统的控制权被攻陷。

世邦IP网络对讲广播系统 addmediadatapath.php 任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。