小红花·文摘

Adobe ColdFusion存在任意文件读取漏洞（CVE-2024-53961），攻击者可绕过限制读取敏感文件。受影响版本包括ColdFusion 2021 Update 17及2023 Update 11。建议用户尽快升级至安全版本以防护此漏洞。

绿盟科技技术博客 ·

绿盟科技CERT监测到MongoDB Mongoose存在搜索注入漏洞（CVE-2025-23061），攻击者可利用该漏洞实现代码注入。受影响版本包括8.0.0-rc0至8.9.5、7.0.0-rc0至7.8.4及6.13.6以下版本。建议用户尽快升级至安全版本。

绿盟科技技术博客 ·

Palo Alto Networks发布安全公告，修复PAN-OS中的身份验证绕过漏洞（CVE-2025-0108）。该漏洞允许攻击者访问管理界面并获取敏感数据。受影响的版本包括PAN-OS 10.1、10.2、11.1和11.2。用户应尽快升级至安全版本，或通过限制管理界面访问进行临时防护。

绿盟科技技术博客 ·

绿盟科技监测到Next.js存在权限绕过漏洞（CVE-2025-29927），攻击者可通过操作x-middleware-subrequest请求头绕过权限控制。受影响版本为11.1.4至15.2.2，建议用户尽快升级至安全版本或临时拦截相关请求以防护。

绿盟科技技术博客 ·

The New Stack ·

Timescale Blog ·

苹果推出内存完整性强制保护技术（MIE），旨在阻止iPhone内存漏洞，特别是针对间谍软件。MIE结合硬件与操作系统安全，提供持续保护，显著提升攻击难度，成为消费级操作系统的重要安全升级。

FreeBuf网络安全行业门户 ·

The Verge ·

OAuth 2.1是OAuth 2.0的安全升级版，旨在解决安全问题并简化实施。它移除了不安全的授权模式，强制使用PKCE以防止授权码拦截攻击，适用于多种应用场景，特别是机器对机器通信和用户交互。

蝈蝈俊 ·

用友U8Cloud存在任意文件上传漏洞，攻击者可绕过鉴权上传恶意脚本，影响多个版本。官方已发布修复版本，建议用户尽快升级以确保安全。

FreeBuf网络安全行业门户 ·

Palo Alto Networks的PAN-OS系统存在CVE-2025-4230命令注入漏洞，认证管理员可执行任意root命令，影响多个版本。建议立即升级至安全版本，并限制CLI访问以降低风险。

FreeBuf网络安全行业门户 ·

绿盟科技CERT监测到Apache Tomcat存在条件竞争代码执行漏洞（CVE-2024-50379），影响多个版本。攻击者可通过特定路径绕过校验，上传恶意JSP文件，导致远程代码执行。建议用户尽快升级至安全版本或临时禁用PUT方法以防护。

绿盟科技技术博客 ·

Spring ·

Devart Blog ·

Qdrant - Vector Database ·

Elastic Blog - Elasticsearch, Kibana, and ELK Stack ·

Percona Database Performance Blog ·

冯兄话吉博客 ·

蠎周刊 ·