Sonatype报告指出，网络安全面临漏洞评分体系滞后问题，现有评分无法满足快速开发需求，导致高风险漏洞被忽视。预计到2025年，64%的开源组件缺乏CVSS评分，评分延迟影响响应效率，加剧安全团队的信任危机。现代软件开发需要实时风险洞察，而非依赖过时评分。

2025年11月24日，npm包md-to-pdf被曝出高危漏洞（CVE-2025-65108），攻击者可通过恶意元数据执行任意JavaScript代码。使用该包处理不可信Markdown的应用存在风险，用户应立即升级至安全版本。

戴尔科技发布安全公告，警告其Storage Center和Storage Manager软件存在多个高危漏洞，允许远程攻击者绕过身份验证，未经授权访问敏感功能。最严重的漏洞CVE-2025-43995评分为9.8，影响DSM 20.1.21版本。戴尔已发布修复版本2020 R1.22以解决这些问题。

流行的JavaScript包Happy DOM存在严重安全漏洞CVE-2025-61927，攻击者可逃逸Node.js虚拟机执行任意代码。建议升级至v20版本并禁用不受信任的JavaScript评估，以防止数据泄露和代码执行风险。

NVIDIA近期发布安全更新，修复多个高危漏洞，影响Windows、Linux及云游戏组件。关键漏洞包括DLL加载路径和权限提升，CVSS评分高达8.2。用户应立即更新驱动以降低风险。

Nagios Log Server发现两个严重漏洞（CVE-2025-44823和CVE-2025-44824），影响2024R1.3.2之前版本。前者允许认证用户获取明文API密钥，后者使只读用户能停止Elasticsearch服务，导致监控失效。建议管理员立即升级以降低风险。

SillyTavern团队发布安全公告，警告其Web界面存在高危漏洞CVE-2025-59159，攻击者可远程控制实例，窃取聊天记录并注入恶意代码。该漏洞评分为9.7，已在1.13.4版本中修复，用户需手动启用主机验证以确保安全。

Redis修复了四个严重安全漏洞（CVE-2025-46817、CVE-2025-46818、CVE-2025-46819、CVE-2025-49844），可能导致远程代码执行和拒绝服务。建议用户升级至最新版本并限制Lua脚本访问以提高安全性。

微软修复了Azure Entra ID中的高危漏洞CVE-2025-55241，该漏洞允许攻击者仿冒任意用户身份，包括全局管理员。研究表明，该漏洞源于执行者令牌与Azure AD Graph API的缺陷，导致跨租户攻击。尽管微软迅速推出了修复方案，但安全专家警告此事件暴露了云身份系统的信任问题，强调需要建立独立可观测性以降低风险。

研究员Dirk-jan Mollema披露了Microsoft Entra ID中的严重漏洞（CVE-2025-55241），CVSS评分为10分。该漏洞源于不安全的“Actor tokens”和Azure AD Graph API的验证缺陷，攻击者可模拟其他租户用户身份，甚至全局管理员，获取Microsoft 365和Azure资源。微软已迅速修复此漏洞。

开源AI平台FlowiseAI存在高危漏洞CVE-2025-58434，攻击者可在未认证状态下接管任意账户。该漏洞源于密码重置机制，攻击者可通过邮箱获取重置令牌直接修改密码。建议采取临时防护措施，如限制敏感信息返回和启用多因素认证。

LangChainGo存在高危漏洞CVE-2025-9556，CVSS评分9.8，攻击者可利用Gonja模板引擎进行任意文件读取，导致服务端模板注入。开发者应立即升级至最新版本以修复该漏洞。

安全研究员Salah Chafai披露，cJSON库存在高危漏洞CVE-2025-57052，CVSS评分9.8。攻击者可利用畸形JSON指针绕过边界检查，导致内存越界、崩溃或权限提升。漏洞源于decode_array_index_from_pointer函数的逻辑错误，修复方法为修正循环条件判断。受影响的软件包括嵌入式设备和Web API。

一款月下载量超过3600万的流行Python库被发现存在CVSS评分为10.0的远程代码执行漏洞，可能导致服务拒绝或系统完全控制。

H2O-3平台发现高危漏洞CVE-2025-6507，攻击者可通过不安全的JDBC连接实现远程代码执行和未授权文件访问。受影响版本为3.47.0.99999，已在3.46.0.8中修复。建议用户立即升级以降低风险。

安全研究人员发现ADOdb中的高危SQL注入漏洞（CVE-2025-54119），CVSS评分为10.0，影响5.22.10之前版本的SQLite3驱动。该漏洞源于对表名参数的不当处理，攻击者可注入任意SQL。建议开发者立即升级至5.22.10版本，或严格控制传入参数。