一、Axios Header 注入导致云元数据泄露风险

1. 风险内容

  该漏洞存在于 lib/adapters/http.js 组件中，由于 Axios 在合并请求配置时未对 Header 值进行 CRLF 字符校验，且会继承被污染的 Object.prototype 属性，导致 Prototype Pollution 可被利用为“Gadget”。攻击者可通过第三方依赖中的原型污染漏洞注入恶意 Header，进而构造请求走私（Request Smuggling）流量，实现对 AWS IMDSv2 等云元数据服务的访问，窃取 IAM 凭证或执行远程代码。该漏洞可能绕过云安全边界控制，导致云环境完全失陷。

2. 影响范围  

3. 修复建议

  联系信息中心获取版本更新链接。

二、Apache ActiveMQ 远程代码执行风险

1. 风险内容

  该漏洞源于系统通过/api/jolokia/暴露 Jolokia JMX-HTTP 接口，并且默认访问策略允许对 org.apache.activemq:* MBeans 执行 exec 操作。由于对输入的 discovery URI 参数缺乏有效校验，攻击者可构造恶意 brokerConfig 参数，触发 ResourceXmlApplicationContext 加载远程 Spring XML 配置。在 Spring 初始化阶段会提前实例化 Bean，攻击者可借助 Runtime.exec()等方法实现任意代码执行。该漏洞仅需认证用户权限即可利用，一旦成功利用可完全控制 Broker 所在 JVM，导致系统被接管、数据泄露甚至横向移动风险，可能违反数据安全及合规要求，对企业消息系统安全造成严重影响。

2. 影响范围  

3. 修复建议

  联系信息中心获取版本更新链接。

三、Apache Tomcat 集群加密绕过导致远程代码执行风险

1. 风险内容

  该漏洞源于官方在修复 CVE-2026-29146 时引入的回归问题。具体表现为 EncryptInterceptor.messageReceived()方法中异常处理逻辑发生错误调整，使得原本应在解密失败时丢弃数据的逻辑变为无条件继续执行。攻击者可以构造未加密的恶意 Tribes协议数据包，通过 TCP 端口发送至目标节点。当解密失败时，系统仅记录错误日志，但仍将原始数据继续传递至后续处理流程。最终数据进入反序列化逻辑（ObjectInputStream.readObject），若存在可利用的 Gadget 链，则可实现远程代码执行。

2. 影响范围  

3. 修复建议

 联系信息中心获取版本更新链接。