安全漏洞

CVE-2025-6554 是一个存在于 Google Chrome V8 JavaScript 引擎中的类型混淆（Type Confusion）漏洞。类型混淆是一类常见的内存破坏漏洞，当程序错误地将一种数据类型解释为另一种类型时，可能导致不安全的内存操作,攻击者可在受害者的系统上执行任意代码。

漏洞源于V8 TurboFan编译器在执行存储-存储消除优化时对动态索引加载的错误处理，导致别名关系误判，错误地消除了关键存储操作，进而导致内存访问越界。攻击者可以通过构造特制的HTML页面，诱导用户访问，触发恶意JavaScript代码执行，利用该漏洞实现远程代码执行和沙箱逃逸，最终完全控制受害者设备。

Apache Struts 代码执行漏洞(CVE-2023-50164)，攻击者可以控制文件上传参数执行路径遍历，在某些情况下可以上传恶意文件，从而执行任意代码。

Apache OFBiz 是一款用于企业流程自动化的开源产品。它包括ERP、CRM、电子商务、供应链管理和制造资源计划的框架组件和业务应用程序。 Apache OFBiz 在 18.12.10 版本之前存在远程代码执行漏洞。由于 xml-RPC 已经不再维护，经过身份认证的攻击者可以利用 xml-RPC 进行远程代码执行利用，从而控制服务器。

近期Google公布了HTTP/2协议漏洞 CVE-2023-44487。
攻击者可以利用该漏洞发起低成本超大规模的攻击（http2-rapid-reset-ddos-attack）。攻击者利用这个方法从 8 月份开始对谷歌云平台的客户发起攻击，其中攻击者在某次攻击中在 1 秒内发出了高达 3.98 亿个请求，这也是目前有记录以来的每秒请求数最高的一次攻击。

描述： cURL 是一款广泛应用的多功能开源命令行工具，它使用 URL 语法传输数据，支持包括 SSL、TLS、HTTP、FTP、SMTP 在内的多种网络协议。libcurl 是 …