Spring Cloud Gateway 表达式注入漏洞(CVE-2025-41253)

Spring Cloud Gateway是一个动态、有效的API网关，用于微服务架构。该漏洞源于官方对Spring Cloud Gateway 环境属性修改漏洞\(CVE\-2025\-41243\)补丁修复不完善，Spring Cloud Gateway 的 SpEL 表达式安全校验机制仍存在缺陷，攻击者可通过暴露的 Actuator 端点，读取目标系统上的环境变量、系统属性等敏感信息。

libimagecodec.quram.so越界写漏洞(CVE-2025-21042)

在 \`libimagecodec.quram.so\` 中存在越界写漏洞，该漏洞在 SMR Apr\-2025 Release 1 之前存在，允许远程攻击者执行任意代码。

BIND 9 缓存污染漏洞(CVE-2025-40778)

BIND（Berkeley Internet Name Domain）是一个广泛使用的域名系统（DNS）服务器软件，用于将域名和IP地址相互映射，实现域名解析功能。该漏洞产生于BIND 9在处理应答记录时过于宽松，允许攻击者注入伪造数据至缓存中。

Open WebUI 任意代码执行漏洞(CVE-2025-64495)

Open WebUI是一个自托管的人工智能平台，设计为完全离线运行。该平台允许用户通过自定义提示与AI进行交互。在0.6.34及以下版本中，当启用“以富文本形式插入提示”功能时，由于未对提示内容进行清理即直接赋值给DOM的\`.innerHtml\`，导致存在DOM XSS漏洞。

Apache HTTP Server 远程执行代码漏洞(CVE-2014-0226)

在2.4.10之前，Apache HTTP Server中的mod\_status模块中的竞争条件允许远程攻击者通过精心编制的请求，触发模块/generator/mod\_status.c中的status\_handler函数内的不正确的记分板处理，从而导致拒绝服务（基于堆的缓冲区溢出缓冲区），或者获取敏感的凭据信息，或者执行任意代码。