获取安全资讯与漏洞情报

Google Chrome V8 引擎在处理特定内存操作时存在越界写入漏洞。攻击者可通过精心构造的恶意 HTML 页面诱导用户访问，进而触发越界写入，造成堆内存破坏。成功利用该漏洞后，攻击者可能实现远程代码执行，获取用户系统的控制权限，带来严重安全风险。该漏洞利用门槛较低，但需用户交互（如访问恶意网页）。目前未发现该漏洞在野利用，官方已及时发布修复补丁。

vBulletin 是广泛应用的商业论坛程序。2025年5月披露的 CVE-2025-48827 漏洞，源于 vBulletin 的 replaceAdTemplat API 在处理用户输入时缺乏必要的输入校验，导致攻击者可在无需登录的情况下，通过构造特定请求远程执行任意代码。漏洞门槛极低，利用后可完全控制服务器，严重威胁网站安全和数据完整性。

VMware vCenter Server 存在认证命令执行漏洞（CVE-2025-41225）。攻击者如具备创建或修改警报及执行脚本操作的权限，可利用该漏洞在 vCenter Server 上执行任意系统命令，进而可能获取服务器控制权或滥用系统资源。该漏洞无需用户交互，利用难度低，若被利用将严重危害虚拟化环境安全。

Google Chrome 浏览器在 Loader 模块处理特定请求时，未能正确执行来源认证安全策略。远程攻击者可通过诱导用户访问特制恶意链接，绕过浏览器的跨源安全机制，进而导致敏感信息被泄露。

DocsGPT 是一款基于 AI 的文档处理应用。在 CVE-2025-0868 漏洞中，攻击者可通过 /api/remote 接口利用 RedditPostsLoaderRemote 类的 load_data 方法中不安全的 eval 函数处理外部 JSON 数据，进而远程执行任意 Python 代码。该漏洞 EXP 已公开，利用门槛极低，攻击者无需授权即可执行恶意代码，导致服务器完全失陷。

Craft CMS 是一个灵活、用户友好的内容管理系统，用于创建自定义的数字网络体验。CVE-2025-32432 是一个反序列化漏洞，攻击者可通过构造恶意请求利用 generate-transform 端点触发反序列化，进而执行任意代码，完全控制目标服务器。此漏洞影响范围较广，风险较高。目前，官方已发布安全补丁，建议用户尽快升级到安全版本。

Redis是一个开源的内存数据结构存储系统，广泛应用于缓存、消息队列和实时分析等场景。默认配置下，Redis不限制普通客户端的输出缓冲区，允许其无限增长，导致服务崩溃或内存不可用。即使启用了密码认证，但未提供密码，客户端仍可通过"NOAUTH"响应导致缓冲区增长，最终耗尽系统内存。该漏洞利用难度低，攻击者无需权限和用户交互，具备较高的危害性。

Commvault-WebServer组件中存在路径遍历漏洞，攻击者可利用该漏洞上传恶意ZIP文件到服务器。文件被解析后可执行任意代码，导致服务器完全失陷。由于该漏洞的利用不需要认证，并且已公开相关PoC和ExP代码，因此其威胁程度极高，影响范围广泛。

PyTorch是一个广泛使用的开源机器学习框架，其中的torch.load()函数用于加载模型文件。 在受影响的版本中，torch.load()针对tar格式模型的兼容性处理存在安全漏洞。 即使使用安全配置参数weights_only=True，仍可能通过非安全的pickle反序列化触发任意代码执行，攻击者可利用该漏洞执行恶意代码。

FreeType 中存在越界写入漏洞。当尝试解析与 TrueType GX 和可变字体文件相关的字体子字形结构时，漏洞代码将一个有符号短整型值赋给无符号长整型，并添加静态值，导致堆缓冲区分配过小。随后，代码会相对于缓冲区越界写入多达 6 个有符号长整型数据。 攻击者可利用该漏洞上传恶意字体文件，触发任意代码执行或拒绝服务攻击。