绿盟科技CERT监测到VMware vCenter Server存在命令执行漏洞(CVE-2025-41225)，攻击者可利用该漏洞执行任意命令。受影响版本为vCenter Server 8.0 U3e及以下，建议用户及时升级以防护。

Apache Tomcat 存在命令执行漏洞（CVE-2025-24813），影响多个版本。该漏洞允许攻击者通过不完整的PUT请求上传恶意文件并执行任意代码。建议更新补丁以修复该漏洞。

Spring框架存在高危命令执行漏洞，建议使用JDK 9及以上版本的企业尽快处理。攻击者可通过构造数据包修改日志文件实现远程代码执行。官方未发布新版本，可采用临时方案进行防护。

文件包含漏洞是由于程序在引用文件时，没有对用户可控的文件名进行严格校验，导致操作了预想之外的文件，可能导致文件泄漏和恶意代码注入。利用方法是直接将用户输入的文件名作为参数传入include函数中，没有对其进行过滤，从而造成文件包含漏洞。预防方法包括设置allow_url_include为Off、限制路径、验证被包含的文件是否在白名单中等。命令执行漏洞是由于程序调用外部命令时，没有对用户输入进行过滤，导致命令执行漏洞。常见的命令执行方法包括使用分号、管道符、逻辑与或等。防御方法包括不执行外部命令、使用escapeshellarg函数处理参数、使用safe_mode_exec_dir执行可执行文件等。代码执行漏洞是由于程序在将字符串转化为代码时，没有考虑用户是否能控制该字符串，导致漏洞。常见的函数包括eval、assert、preg_replace等。防御方法包括使用json保存数组、严格处理用户数据、使用addslashes转义字符串等。CSRF漏洞是一种跨站请求伪造的攻击方法，攻击者利用用户在已登录的网站上执行非本意的操作。防御方法包括增加Token验证、不在客户端保存敏感信息、增加验证码等。JSONP漏洞是由于jsonp接口的来源验证存在漏洞，导致攻击者可以获取用户的信息。防御方法包括正确输出http头、避免跨域数据传输、对敏感数据获取进行权限