一、Apache ActiveMQ NMS AMQP反序列化风险。

Apache ActiveMQ 是一款由 Apache 软件基金会开发的开源消息中间件，广泛应用于企业级消息队列、分布式系统与微服务架构中。

1. 风险内容

当与不受信任 AMQP 服务器交互时，客户端的二进制反序列化可被滥用，攻击者可能执行任意代码。但在某些条件下可被绕过，造成敏感数据泄露或服务器被控制。

2. 影响范围

    Apache ActiveMQ NMS AMQP Client <= 2.3.0

3. 修复建议

前往Apache ActiveMQ官网获取版本更新。

二、7-Zip目录穿越导致远程代码执行风险

    7-Zip 是一款开源的文件压缩和解压缩软件，广泛应用于日常文件压缩、加密和解压工作中。

1. 风险内容

    该漏洞源于 ZIP 文件中符号链接（symlink）的处理方式。攻击者可通过构造恶意 ZIP 文件，利用该目录遍历漏洞，导致程序访问未经授权的目录并执行恶意代码。同时，7-Zip 压缩工具还存在另一个类似漏洞（CVE-2025-11002），两个漏洞均允许远程攻击者在受影响的系统上执行任意代码。通过特制的 ZIP 文件，攻击者能够利用符号链接处理缺陷，促使程序访问本不应访问的目录，进而执行恶意代码。这两个漏洞的利用方式相似，均可导致系统安全风险，造成数据泄露或主机被控制。

2. 影响范围

7-Zip < 25.00

3. 修复建议

    前往7-Zip官网获取补丁。

三、Samba WINS 命令注入风险

1. 风险内容

当 Samba 配置了 wins hook 参数，并且 WINS 支持被启用时，Samba 在 WINS 名称变更时会执行该参数指定的程序。然而，Samba 未对传递给 wins hook 程序的名称进行有效验证，导致可以通过插入包含 shell 元字符的名称来执行任意命令，从而实现未经认证的远程代码执行，造成敏感数据泄露或服务器被控制。

2. 影响范围

3. 修复建议

    前往Samba官网获取补丁。

四、JumpServer 连接令牌泄漏风险

1. 风险内容

super-connection-token 接口未进行严格的权限验证。该接口返回了所有用户（包括管理员）创建的连接令牌，而非仅限于请求者本人的令牌。低权限攻击者可利用此漏洞获取高权限用户（如管理员）的连接令牌，从而冒充管理员身份访问和管理敏感资产，执行恶意操作，导致权限提升和未授权访问。

2. 影响范围

3. 修复建议

   前往JumpServer官网获取补丁。

五、Docker Compose 路径遍历风险

1. 风险内容

攻击者可以通过利用远程 OCI Compose 工件中的路径信息来覆盖本地文件。当 OCI 工件的某一层包含com.docker.compose.extends 或 com.docker.compose.envfile 等注释时，Docker Compose 会将来自 com.docker.compose.file 或 com.docker.compose.envfile 的攻击者提供的路径值与本地缓存目录连接，从而导致文件被写入到指定位置。这一漏洞影响了所有解析远程OCI Compose 工件的平台和工作流，包括 Docker Desktop、Linux 上的独立Compose二进制文件、CI/CD 执行器以及云开发环境等。即使用户仅运行类似docker compose config或docker compose ps这样只读的命令，攻击者仍然能够绕过缓存目录限制，覆盖机器上任意文件，带来严重的安全风险。

2. 影响范围

3. 修复建议

  前往Docker Compose官网获取补丁。

六、React Native CLI 远程命令执行风险

1. 风险内容

该漏洞源于 React Native CLI 中内置的 Metro Development Server 默认绑定的外部接口对用户输入的不当处理，未经身份验证的攻击者可通过发送 POST 请求来注入操作系统命令，从而 执行任意可执行文件。

2. 影响范围

3. 修复建议

 前往React Native CLI官网获取补丁。

  如遇上述网络安全风险，请及时前往对应官网获取补丁。