深信服运维安全管理系统远程命令执行漏洞(CVE-2025-12916)

该漏洞源于 portal\_login、/protocol/session 等接口对请求参数校验不严，存在命令注入漏洞。未经身份验证的攻击者可利用此漏洞执行任意系统命令，最终获取服务器控制权限。

AstrBot 远程代码执行漏洞(CVE-2025-55449)

AstrBot 是 AstrBotDevs 开发的一款开源大型语言模型聊天机器人及开发框架，支持多平台部署和插件扩展。 该漏洞源于 AstrBot 使用了固定的 JWT 签名密钥，攻击者可利用该密钥伪造任意有效的 JWT 认证令牌，完全绕过身份验证机制。成功绕过认证后，攻击者可访问插件管理接口，通过上传恶意的 Python 插件文件实现远程代码执行。

Fortinet FortiWeb 身份认证绕过漏洞(CVE-2025-64446)

该漏洞源于 fwbcgi 组件完全信任请求中 HTTP\_CGIINFO 的用户身份信息，而未能进行有效的身份验证。攻击者通过构造特定的请求冒充管理员用户执行恶意操作，从而获得设备的完全控制权。

东方通 TongWeb 应用服务器 ejbserver 远程代码执行漏洞(QVD-2025-44295)

TongWeb应用服务器是北京东方通科技股份有限公司开发的企业级Java应用服务器产品，支持Java EE规范，提供EJB、JMS、Web Service等企业级应用服务。 漏洞源于EJB远程服务默认开启并对外暴露ejbserver接口，该接口在进行反序列化操作时缺乏严格的安全校验机制，未能有效过滤和验证序列化数据中的恶意代码。攻击者可通过网络直接访问该接口，利用Java反序列化机制中的缺陷执行任意代码。

Triofox身份认证绕过漏洞(CVE-2025-12480)

Triofox 在 16.7.10368.56560 版本之前的版本存在权限控制不当漏洞，即使设置完成后仍可访问初始设置页面。