一、Apache Struts2XML注入漏洞

1. 风险内容

    该漏洞源于 XWork 在解析 XML 配置文件时，未对 XML 外部实体进行充分校验与限制，导致攻击者可通过构造恶意 XML内容触发外部实体解析。成功利用后，可能造成敏感数据泄露、拒绝服务（DoS）以及服务器端请求伪造（SSRF）等安全影响。

2. 影响范围

3. 修复建议

   如有发现，请于2026年1月31日前上报信息中心获取安全修复链接。

二、MindsDB 未授权路径遍历漏洞

1. 风险内容

    该漏洞源于 REST API 在处理 JSON 请求体中的文件路径参数时，未对用户可控路径进行充分校验，导致攻击者在无需任何身份认证的情况下，可构造包含绝对路径的请求，进而访问服务器任意位置的文件。该漏洞可能被用于读取系统敏感文件或应用配置文件，从而对服务器安全造成威胁。

2. 影响范围

    MindsDB < 25.11.1

3. 修复建议

  联系信息中心获取版本更新链接。

三、Apache Kyuubi 目录访问控制绕过漏洞

1. 风险内容

    由于服务器端在处理本地路径时缺乏必要的路径规范化校验，攻击者只要能够通过 Kyuubi 前端协议访问服务，即可绕过kyuubi.session.local.dir.allow.list 配置限制，访问或使用未被允许列表包含的本地文件资源。该问题可能导致本地敏感数据被非法读取，破坏系统原有的访问控制边界，增加数据泄露与合规风险。

2. 影响范围

    Apache Kyuubi >= 1.10.3

3. 修复建议

    联系信息中心获取版本更新链接。

四、opencode-ai 未认证 HTTP 服务导致任意命令执行风险

1. 风险内容

         该漏洞源于 OpenCode 在启动过程中会自动开启一个默认监听本地 4096 及以上端口的 HTTP 服务，但该服务未设置任何身份认证或访问控制机制。同时，服务端启用了宽松的 CORS 配置，允许任意来源的请求访问敏感接口。攻击者可通过暴露的会话管理、终端交互及文件读取接口，在无需认证的情况下执行任意系统命令或读取本地文件。漏洞既可被本地恶意进程利用，也可被网页端脚本触发，在特定浏览器环境下形成“路过式”攻击。当启用 mDNS 并绑定至 0.0.0.0 时，攻击面进一步扩展至整个局域网，对用户系统安全构成高风险威胁。

2. 影响范围

    opencode-ai < 1.0.216

3. 修复建议

   联系信息中心获取版本更新链接。

五、n8n Python 任务执行器沙箱逃逸导致任意代码执行风险

1. 风险内容

   受影响版本中，攻击者可利用字符串格式化与异常处理机制，绕过 n8n 对 Python 代码块（Python Native Code）所实施的沙箱限制，进而执行不受限制的任意 Python 代码。该漏洞可被具备基础权限的已认证用户触发，通过 Code 节点在“Internal”执行模式下直接在宿主系统上实现任意代码执行，最终可能导致 n8n实例被完全接管。若实例运行于“External”执行模式（如官方Docker 部署），恶意代码仅在 Sidecar 容器内执行，风险相对降低，但仍构成严重安全隐患。

2. 影响范围

    n8n < 1.123.14

       2.0.0 <= n8n < 2.3.5

        2.4.0 <= n8n < 2.4.2

3. 修复建议

  联系信息中心获取版本更新链接。

六、RustFS gRPC 身份认证绕过风险

1. 风险内容

  该漏洞源于 RustFS 的 gRPC 认证使用了硬编码的静态令牌'rustfs rpc'，该令牌在源代码库中公开，客户端和服务器端均为硬编码，不可配置且没有令牌轮换机制，对所有 RustFS 部署均有效。攻击者可以利用此公开的静态令牌进行身份验证，并执行包括数据销毁、策略操纵和集群配置更改在内的特权操作。

2. 影响范围

  Apache Kyuubi >= 1.10.3

3. 修复建议

 联系信息中心获取版本更新链接。