Apache ActiveMQ jolokia 代码执行漏洞（CVE-2026-34197）

Apache ActiveMQ 是一个开源的多协议消息代理服务器。2026年4月，官方披露 CVE\-2026\-34197 ActiveMQ Jolokia 远程代码执行漏洞。由于 允许对 ActiveMQ MBeans 执行 exec 操作。攻击者可通过Web 控制台默认暴露的 Jolokia JMX\-HTTP bridge 操作ActiveMQ MBeans，调用 addNetworkConnector 或 addConnector 方法，构造包含 brokerConfig 参数的 discovery URI从而ResourceXmlApplicationContext 加载远程恶意 Spring XML 配置文件，并最终导致代码执行。

Vite WebSocket 任意文件读取漏洞(CVE-2026-39363)

Vite开发服务器 WebSocket中的fetchModule方法未实施server.fs访问控制，导致攻击者可通过WebSocket连接并读取服务器上的任意文件。

Fortinet FortiClientEMS 远程代码执行漏洞 (CVE-2026-35616)

Fortinet FortiClientEMS 7.4.5 至 7.4.6 中存在一个不正确的访问控制漏洞，可能允许未经身份验证的攻击者通过精心构造的请求执行未经授权的代码或命令。

Google Chrome Dawn Use-After-Free漏洞

Google Chrome 是由谷歌开发的跨平台网页浏览器，以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目，支持现代网页标准，具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码，增强浏览器的安全性。它还提供了同步功能，允许用户在多个设备间同步书签、历史记录等数据。此外，Chrome定期更新，修复已知漏洞并增强功能，是全球使用最广泛的浏览器之一。2026年4月2日，启明星辰安全应急响应中心（VSRC）监测到Google Chrome Dawn Use\-After\-Free漏洞。该漏洞源于程序在释放内存后仍继续使用已失效指针，导致内存访问异常。攻击者在已突破renderer process沙箱的前提下，可通过构造恶意HTML页面触发该漏洞，从而实现任意代码执行或突破安全边界。该漏洞已被确认在野利用，表明其具备较高攻击价值与现实威胁。一旦被成功利用，可能导致用户终端被完全控制、敏感数据泄露，甚至成为攻击跳板，进而违反数据安全与隐私保护相关合规要求，对企业及个人用户构成严重安全风险。

Vim 代码执行漏洞(CVE-2026-34982)

Vim是从vi发展出来的一个文本编辑器。其代码补完、编译及错误跳转等方便编程的功能特别丰富，在程序员中被广泛使用。 该漏洞源于 complete、guitabtooltip 和 printheader 三个选项缺少 P\_MLE 安全标志，导致脚本中的表达式可被用于注册任意命令。攻击者可以通过诱导用户打开特制文件，执行任意代码，从而导致获取系统控制权，可能导致数据泄露、系统破坏等严重后果。