2025年12月3日，时隔4年，安全圈又一个通杀环境的核弹漏洞被公开，CVSS评分10.0，影响范围React 19+全版本，Next.js 15/16，无条件默认环境RCE漏洞，史称React2shell。 该漏洞由安全研究员 Lachlan Davidson 于 2025 年 11 月 29...

Linux内核首次出现Rust代码相关的CVE漏洞（CVE-2025-68260），影响Android Binder的Rust驱动。该漏洞为竞争条件，源于不安全的Rust代码，可能导致系统崩溃。尽管存在内存损坏风险，但尚未证实能导致远程代码执行，反映出Rust在内核开发中的挑战与局限。

2025年11月24日，vLLM披露了高危漏洞CVE-2025-62164，影响0.10.2及后续版本。攻击者可通过恶意提示导致服务器崩溃或执行任意代码。漏洞源于Completions API的验证不足，建议受影响组织立即升级并审计接口。

2025年11月24日，npm包md-to-pdf被曝出高危漏洞（CVE-2025-65108），攻击者可通过恶意元数据执行任意JavaScript代码。使用该包处理不可信Markdown的应用存在风险，用户应立即升级至安全版本。

Django凭借其“全功能”特性和成熟的对象关系映射（ORM）系统，从初创企业的SaaS后端到财富500强级平台均有应用。

WordPress的Simple User Registration插件存在权限提升漏洞，攻击者可绕过身份验证注册为管理员。该漏洞源于对用户元数据限制不足，利用特定POST参数可绕过角色校验，造成安全隐患。

CVE-2024-24780是Apache IoTDB中的严重远程代码执行漏洞，攻击者可通过不受信任的URI注册恶意函数，影响版本1.0.0至1.3.3，CVSS评分为9.8，修复版本为1.3.4及以上。

Fortinet 警告其 FortiWeb 产品存在中等严重性漏洞 CVE-2025-58034，CVSS 评分为 6.7。攻击者需先进行身份验证才能利用该漏洞执行未授权命令。多个版本已修复，但 Fortinet 选择静默修复，引发争议，可能影响防御者应对安全威胁。

Updated Nov. 28, 2025: In the timeline, the time reported for 2025-11-04 was corrected from 19:14 UTC to 15:59 UTC. Along with the release of Grafana Enterprise 12.3, we are releasing updated...

谷歌于2025年11月17日发布紧急更新，修复Chrome中的两个高危混淆漏洞CVE-2025-13223和CVE-2025-13224。CVE-2025-13223为0Day漏洞，攻击者可通过特制网站入侵用户系统。建议所有Chrome用户立即更新以防范风险。

CVE-2025-49132 — Pterodactyl Panel 未授权远程代码执行漏洞深度研究报告

Erlang/OTP在高并发场景中广泛使用，但其标准组件存在CVE-2025-32433漏洞，攻击者可绕过认证执行任意命令，影响嵌入式设备和测试环境。该漏洞源于ssh_channel.erl模块未有效校验通道请求，可能导致系统命令执行和数据窃取等严重后果。

CVE-2024-56731是Gogs中的严重远程命令执行漏洞，攻击者可通过符号链接绕过安全检查，删除关键文件并注入恶意代码，最终控制服务器。受影响版本为Gogs <= 0.13.2，修复版本为Gogs >= 0.13.3，建议立即升级以防止攻击。