绿盟科技CERT监测到Elastic Kibana存在原型污染漏洞（CVE-2025-25014），攻击者可利用该漏洞实现任意代码执行。受影响版本包括8.3.0至8.17.5及8.18.0、9.0.0。建议用户及时升级至8.17.6及以上版本，或禁用Machine Learning和Reporting功能以进行临时防护。

Zero Day Initiative（ZDI）披露了7-Zip中的两个高危漏洞（CVE-2025-11001和CVE-2025-11002），攻击者可利用特制ZIP文件实现任意代码执行。漏洞已在7-Zip 25.00版本中修复，用户应尽快升级以降低风险。

三星发布安卓安全更新，修复高危漏洞CVE-2025-21043（CVSS评分8.8），该漏洞可能导致安卓13至16版本的任意代码执行，攻击代码已在野外出现。

苹果公司发布安全更新，修复高危零日漏洞CVE-2025-43300，该漏洞影响ImageIO框架，可能导致任意代码执行。攻击者可通过修改DNG文件进行定向攻击。CISA已将其列为重大安全风险，用户应尽快更新设备以防范攻击。

谷歌Chrome发布安全更新，修复六个高危漏洞，可能导致任意代码执行。更新版本为139.0.7258.127/.128，适用于Windows、Mac和Linux。主要漏洞包括libaom库的堆缓冲区溢出、V8引擎的竞态条件和ANGLE的越界写入。用户应手动更新以确保安全。

CVE-2024-0044是Android框架中的高危漏洞，允许攻击者在特定条件下执行任意代码。尽管2024年3月发布了补丁，但该漏洞在2024年10月被发现可以绕过补丁，原因是原补丁未能有效验证安装包名称。此漏洞影响Android 12-13设备，2024年10月1日之前的安全补丁级别设备仍存在风险。

开源人工智能框架LangChain存在两个安全漏洞，可能允许攻击者执行任意代码和访问敏感数据。建议更新到最新修补版本以确保应用安全。

开源人工智能框架LangChain存在两个安全漏洞，可能允许攻击者执行任意代码和访问敏感数据。建议更新到修补版本以确保应用安全。

2023年12月至2024年1月期间，Spreadsheet::ParseExcel和Spreadsheet::ParseXLSX报告了漏洞。Spreadsheet::ParseExcel存在任意代码执行漏洞，Spreadsheet::ParseXLSX存在拒绝服务漏洞和XML外部实体攻击漏洞。这些漏洞可能被中国支持的威胁行为者利用。

该文章介绍了Apache Struts的文件上传漏洞，攻击者可通过控制上传参数导致目录穿越并执行任意代码。文章详细介绍了漏洞的影响范围、环境搭建步骤和漏洞利用方法。漏洞解析部分分析了上传文件的基础路径和文件保存问题。文章提供了官方POC和相关代码分析链接。

开源个人云软件CasaOS存在两个严重安全漏洞，可实现任意代码执行并接管易受攻击的系统。这两个漏洞已在0.4.4版本中解决。攻击者可绕过身份验证限制，获得管理权限。安全研究员建议不应该依赖于应用层识别IP地址进行安全决策。

Apache Airflow Spark Provider插件存在反序列化漏洞，攻击者可通过构造参数?autoDeserialize=true连接恶意Spark服务器，造成任意代码执行。升级apache-airflow-providers-apache-spark到4.1.3或更高版本可解决该漏洞。

绿盟科技CERT监测到nginxWebUI存在远程命令执行漏洞，风险包括权限绕过和任意代码执行。受影响版本为nginxWebUI <= 3.5.0，建议尽快升级到nginxWebUI >= 3.6.0。可使用WAF进行防护，避免将系统暴露在互联网上，并使用强密码降低远程命令执行风险。绿盟科技不对此安全公告提供保证或承诺，使用者对使用此公告所提供信息造成的后果负责。未经绿盟科技允许，不得修改或用于商业目的。

VulnCheck研究人员发现PaperCut服务器存在CVE-2023-27350漏洞，可被利用执行任意代码，且可绕过所有当前安全检测。PaperCut已发布解决漏洞问题的系统版本，建议用户升级。

绿盟科技CERT监测发现vm2中存在沙箱逃逸漏洞，攻击者可绕过沙箱保护执行任意代码。受影响范围为vm2 <= 3.9.15，已发布安全版本修复该漏洞，建议尽快升级版本进行防护。