WinRAR 目录遍历漏洞

WinRAR是一款广泛使用的文件压缩和解压缩软件，支持多种压缩格式，如RAR、ZIP、TAR和7z。它提供强大的数据压缩功能，能够显著减小文件体积，同时还支持加密、分卷压缩和自解压功能。WinRAR采用图形用户界面，操作简单，广泛应用于个人和企业文件管理。它在Windows系统上表现出色，并可通过命令行进行高级操作。2025年8月5日，启明星辰集团VSRC监测到WinRAR中的一个目录遍历漏洞，允许攻击者通过特制的压缩文件将文件提取到指定的路径，从而在用户启动时执行恶意程序。该漏洞影响WinRAR 7.12及更早版本，攻击者可利用此漏洞将恶意可执行文件提取到Windows启动文件夹，实现在用户登录时自动执行，进而获得远程代码执行权限。该漏洞已被俄罗斯黑客组织RomCom用于定向钓鱼攻击，传播后门病毒。漏洞评分8.4分，漏洞级别高危。

NVIDIA Container Toolkit初始化漏洞 (CVE-2025-23266)

NVIDIA Container Toolkit for all platforms contains a vulnerability in some hooks used to initialize the container, where an attacker could execute arbitrary code with elevated permissions. A successful exploit of this vulnerability might lead to escalation of privileges, data tampering, information disclosure, and denial of service.

Windows 文件资源管理器敏感信息泄露漏洞(CVE-2025-50154)

Windows 文件资源管理器是一款集成在Windows操作系统中的文件管理工具，用于浏览、管理文件和文件夹。该漏洞由于在处理敏感信息时未能正确实施保护措施，导致未授权的攻击者可以在网络上进行欺骗攻击。

Linux Kernel 缓冲区溢出漏洞(CVE-2023-6931)

Linux Kernel 性能事件系统组件中的堆越界写入漏洞可被利用来实现本地权限提升。 perf\_event 的 read\_size 可能会溢出，导致堆越界增量或写入 perf\_read\_group\(\)。

GoldenDict 文件操作漏洞 (CVE-2025-53964)

GoldenDict 1.5.0 和 1.5.1 存在一个暴露的危险方法，当用户添加一个特制的词典并搜索该词典中包含的任何术语时，允许读取和修改文件。