获取安全资讯与漏洞情报

CVE-2025-27818 是影响 Apache Kafka Client 的高危反序列化漏洞。攻击者如能控制 Kafka Connect 客户端，并通过 SASL JAAS 配置或基于 SASL 的安全协议创建或修改连接器配置，可利用 LdapLoginModule 相关参数，触发任意代码执行。该漏洞原理为配置参数未加安全校验，导致恶意输入被反序列化进而执行任意代码。

GeoServer 是一款遵循 OGC 标准的开源地理信息服务器。CVE-2025-30220 是 GeoServer 及 GeoNetwork 所依赖的 GeoTools 组件中的 XML External Entity (XXE) 漏洞。攻击者可构造特定 XML 请求，通过 XXE 注入在受影响服务器中解析外部实体，导致敏感信息（如服务器配置文件、环境变量等）泄漏，甚至进一步攻击内网服务。该漏洞源自 GeoTools 对 XML 输入未做严格的实体处理，GeoServer 和 GeoNetwork 均受影响。

MCP Inspector 是一款用于测试和调试 MCP 服务器的开发人员工具。在 CVE-2025-49596 漏洞中，由于未对访问权限进行有效校验，攻击者可在未授权的情况下直接访问敏感接口，通过构造恶意请求实现任意命令执行，进而完全控制目标服务器。该漏洞利用门槛低，风险极高，攻击者可远程执行系统命令，造成数据泄露、服务中断等严重危害。

该漏洞源于 LdapLoginModule 配置的反序列化缺陷，攻击者若能控制 Kafka Connect 客户端的配置（如 SASL JAAS 配置或基于 SASL 的安全协议参数），可通过恶意配置触发远程代码执行。漏洞利用门槛低，已公开利用代码（POC），一旦被利用可造成严重影响，包括主机被完全控制、横向攻击等风险。

Google Chrome V8 引擎存在越界读写漏洞（CVE-2025-5419）。攻击者可诱导用户访问恶意网页，利用该漏洞实现对 V8 引擎内存的越界访问，可能导致堆内存破坏。成功利用后，攻击者可绕过浏览器沙箱保护，造成浏览器崩溃、敏感信息泄露，甚至实现远程代码执行（RCE），完全控制受害者设备。目前已检测到该漏洞存在野外利用，风险极高，建议用户高度重视。

Roundcube Webmail 在处理 program/actions/settings/upload.php 文件时，未对 _from 参数进行充分校验，导致经过身份认证的攻击者可利用该参数触发 PHP 反序列化漏洞，进而实现远程代码执行。

Google Chrome V8 引擎在处理特定内存操作时存在越界写入漏洞。攻击者可通过精心构造的恶意 HTML 页面诱导用户访问，进而触发越界写入，造成堆内存破坏。成功利用该漏洞后，攻击者可能实现远程代码执行，获取用户系统的控制权限，带来严重安全风险。该漏洞利用门槛较低，但需用户交互（如访问恶意网页）。目前未发现该漏洞在野利用，官方已及时发布修复补丁。

vBulletin 是广泛应用的商业论坛程序。2025年5月披露的 CVE-2025-48827 漏洞，源于 vBulletin 的 replaceAdTemplat API 在处理用户输入时缺乏必要的输入校验，导致攻击者可在无需登录的情况下，通过构造特定请求远程执行任意代码。漏洞门槛极低，利用后可完全控制服务器，严重威胁网站安全和数据完整性。

VMware vCenter Server 存在认证命令执行漏洞（CVE-2025-41225）。攻击者如具备创建或修改警报及执行脚本操作的权限，可利用该漏洞在 vCenter Server 上执行任意系统命令，进而可能获取服务器控制权或滥用系统资源。该漏洞无需用户交互，利用难度低，若被利用将严重危害虚拟化环境安全。

Google Chrome 浏览器在 Loader 模块处理特定请求时，未能正确执行来源认证安全策略。远程攻击者可通过诱导用户访问特制恶意链接，绕过浏览器的跨源安全机制，进而导致敏感信息被泄露。