【漏洞通告】Apache Struts XML外部实体注入漏洞(CVE-2025-68493)

一、组件介绍Apache Struts 是一个免费的开源 MVC 框架，用于创建优雅的现代 Java Web 应用程序。它支持约定优于配置，可使用插件架构进行扩展，并附带支持 REST、AJAX 和 JSON 的插件。二、漏洞描述2026年1月14日，深瞳漏洞实验室监测到一则Apache-Struts组件存在XML外部实体注入（XXE）漏洞的信息，漏洞编号：CVE-2025-68493，漏洞威胁等级：高危。Apache Struts 存在XML外部实体注入漏洞，XWork-Core 组件在解析XML配置文件时，未对XML外部实体进行充分校验与限制，...

​【漏洞通告】FortiWeb 路径遍历漏洞和GeoServer XML外部实体注入漏洞

一、FortiWeb 路径遍历漏洞(CVE-2025-64446)1.漏洞分析a)组件介绍FortiWeb是一个网页应用防火墙（WAF）是可保护托管的Web 应用程序的攻击‌。b)漏洞描述2025年11月17日，深瞳漏洞实验室发现一则FortiWeb组件存在目录遍历漏洞的信息，漏洞编号：CVE-2025-64446，漏洞威胁等级：高危。FortiWeb 存在路径遍历漏洞，部分 CGI 接口访问控制存在缺陷，攻击者无需进行身份验证，也无需伪造 HTTP 头，仅通过构造特定的 HTTP/HTTPS 请求即可实现目录遍历。...

【漏洞通告】Redis Lua脚本远程代码执行漏洞(CVE-2025-49844)

一、组件介绍Redis 是一个开源（BSD 许可）的内存数据结构存储，用作数据库、缓存、消息代理和流引擎。Redis 提供数据结构，例如 字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。Redis 内置了复制、Lua 脚本、LRU 驱逐、事务和不同级别的磁盘持久性，并通过Redis Sentinel和Redis Cluster自动分区提供高可用性。二、漏洞描述2025年10月9日，深瞳漏洞实验室监测到一则Redis组件存在代码执行漏洞的信息，...

【漏洞通告】Google Chrome V8 类型混淆漏洞(CVE-2025-10585)

一、        组件介绍Google Chrome是一款由Google公司开发的网页浏览器，该浏览器基于其他开源软件撰写，包括WebKit，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。二、        漏洞描述2025年9月18日，深瞳漏洞实验室监测到一则谷歌-Chrome组件存在类型混淆漏洞的信息，漏洞编号：CVE-2025-10585，漏洞威胁等级：高危。Google Chrome V8 存在类型混淆漏洞，Chrome V8引擎对 JavaScript 对象类型的错误处理，...

【漏洞通告】NetScaler ADC和NetScaler Gateway内存溢出漏洞(CVE-2025-7775)

一、        组件介绍Citrix NetScaler ADC 是企业级应用交付平台，集负载均衡、SSL 卸载、WAF、流量可视化与全球服务器负载均衡于一体；Citrix NetScaler Gateway是美国思杰系统公司的一套安全的远程接入解决方案。该方案可为管理员提供应用级和数据级管控功能，以实现用户从任何地点远程访问应用和数据。二、        漏洞描述NetScaler ADC/Gateway 存在内存溢出漏洞，因设备代码对特定配置下的内存缓冲区未做严格边界校验，导致攻击者可远程发送恶意请求触发内存溢出，...

【紧急漏洞通告】Redis HyperLogLog越界写入致代码执行漏洞CVE-2025-32023

一、 漏洞描述Redis hyperloglog存在越界写入漏洞，经过身份验证的用户构造恶意字符串在hyperloglog操作上触发堆栈/堆越界写入，从而导致远程代码执行。二、 影响范围目前受影响的Redis版本：8.0.0≤redis<8.0.37.4-rc1≤redis<7.4.57.2.0≤redis<7.2.102.8.0≤redis<6.2.19三、 解决方案官方已发布最新版本修复该漏洞，建议受影响用户将redis更新到以下版本。redis 8.0升级至 8.0.3 及以上版本redis 7.2升级至 7.2.10 及以上版本redis ...

【漏洞通告】Craft CMS 远程代码执行漏洞和Ivanti EPMM 未授权远程代码执行漏洞

一、     Craft CMS 远程代码执行漏洞(CVE-2025-32432)1.     漏洞分析a)     组件介绍Pixel & Tonic-Craft CMS 是一个流行的内容管理系统（CMS），它专注于为设计师和开发人员提供灵活的工具，以便他们可以创建精美的网站和数字体验‌。b)     漏洞描述2025年4月28日，深瞳漏洞实验室监测到一则Pixel & Tonic-Craft CMS组件存在代码执行漏洞的信息，漏洞编号：CVE-2025-32432，漏洞威胁等级：严重。Craft CMS存在一个严重的安全漏洞，...

【风险提示】关于防范Google Chrome沙箱逃逸高危漏洞的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，Google Chrome存在沙箱逃逸高危漏洞，可被恶意利用导致信息泄露、代码执行等危害。Google Chrome是谷歌公司开发的网页浏览器，用于快速浏览、搜索互联网内容。由于其沙箱机制在与Windows操作系统内核交互时存在逻辑错误，攻击者可利用该漏洞绕过沙箱隔离机制，窃取敏感信息，甚至远程执行恶意代码等。受影响版本为Google Chrome（Windows）< 134.0.6998.177。...

【风险提示】关于防范Outlaw恶意软件的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Outlaw恶意软件持续活跃，其主要攻击目标为Linux系统，可能导致敏感信息泄露、业务中断、系统受控等风险。Outlaw是一种针对Linux系统的恶意软件程序，最早发现于2018年。该恶意软件利用目标系统的弱口令或默认凭据缺陷，通过SSH爆破的方式获得访问权限，然后下载并执行带有shell脚本、挖矿木马、后门木马的压缩包文件dota3.tar.gz，在感染一台主机后，Outlaw会通过本地子网扫描和SSH爆破扩大感染范围，...

【风险提示】关于防范Auto-color恶意软件的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Auto-color恶意软件持续活跃，其主要攻击目标为Linux系统，尤其是教育及政府相关用户，可能导致敏感信息泄露、业务中断等风险。该恶意软件一般通过网络钓鱼、漏洞利用等方式传播，并以常见词汇（如“door”或“egg”）伪装其初始可执行文件。一旦受到感染并运行后，攻击者便可进行系统信息收集、生成反向shell、创建或修改文件、运行程序等恶意行为。在攻击过程中，...