SecEvery - Vulnerability Warning
2025-11-11
Windows任务主机进程是微软Windows操作系统中用于管理任务计划程序任务的一个关键组件。该进程在文件访问前未能正确解析链接,允许已授权的攻击者在本地提升权限。
2025-09-17
WatchGuard Fireware OS 中的缓冲区外写入漏洞可能导致远程未认证攻击者执行任意代码。此漏洞影响配置了动态网关对等方的移动用户 VPN(使用 IKEv2)以及分支机构 VPN(使用 IKEv2)。该漏洞影响 Fireware OS 11.10.2 至 11.12.4\_Update1、12.0 至 12.11.3 以及 2025.1。
2025-11-06
该漏洞源于与procfs写入重定向相关的符号链接跟踪问题。本地用户可以创建一个精心构造的指向系统关键文件的符号链接,并以应用程序的权限覆盖该文件。
2025-11-10
Milvus 是一款开源的向量数据库,专为处理海量向量数据而设计,广泛应用于人工智能、机器学习和大数据分析领域。远程未经身份验证的攻击者通过构造恶意的 gRPC 请求,可以绕过 Milvus Proxy 组件中的身份验证机制,进而获得对 Milvus 的完全管理权限,可能导致数据泄露、数据篡改或服务中断等严重后果。
2025-10-16
Spring Cloud Gateway是一个动态、有效的API网关,用于微服务架构。该漏洞源于官方对Spring Cloud Gateway 环境属性修改漏洞\(CVE\-2025\-41243\)补丁修复不完善,Spring Cloud Gateway 的 SpEL 表达式安全校验机制仍存在缺陷,攻击者可通过暴露的 Actuator 端点,读取目标系统上的环境变量、系统属性等敏感信息。