DLink-路由器 formPingDiagnosticRun 远程命令执行漏洞

远程命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

恒生短信平台 businessRptDwn 任意文件读取漏洞

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

Zabbix SQL注入漏洞(CVE-2024-42327)

Zabbix 前端上具有默认用户角色或任何其他授予 API 访问权限的角色的非管理员用户帐户均可利用此漏洞。addRelatedObjects 函数中的 CUser 类中存在 SQLi，此函数由 CUser.get 函数调用，每个具有 API 访问权限的用户均可使用该函数。

7-Zip 代码执行漏洞

由于7\-Zip < 24.07 的版本对用户提供的数据缺乏验证导致在写入内存前发生整数下溢，攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压，从而执行任意代码

Apache Arrow R 包反序列化漏洞

Apache Arrow R 包是 Apache Arrow 项目的R语言组件，用于处理高性能的列式数据格式。 受影响的版本中，由于extension\_metadata\(\) 中直接调用 unserialize函数，导致反序列化漏洞。在读取 R 元数据时未进行类型或内容检查，允许恶意数据通过 x 参数触发任意代码执行。 攻击者可以通过构造恶意的 IPC 或 Parquet 文件在元数据中注入危险对象（如 promises、environments 等）。 修复代码通过新增 safe\_unserialize 和 safe\_r\_metadata 函数，确保反序列化操作仅限安全类型。