rarfile 4.2及更早版本存在符号链接提取漏洞CVE-2026-30039,攻击者可通过特制RAR存档创建指向绝对路径或逃逸目标目录的符号链接,导致解压后若链接被解引用可能泄露任意本地文件,主要影响rarfile组件,修复需验证符号链接目标是否在预期提取目录内。CVE-2025-55182(React2Shell)是一个React服务器组件中的关键安全漏洞,允许通过反序列化攻击实现远程代码执行,影响Next.js 15.1.0和React 19.2.0等组件,PoC涉及使用Docker实验室模拟漏洞环境,通过POST请求和Next-Action头进行利用,修复需升级到补丁版本。利用 sudo 的 --chroot 选项注入恶意 NSS 配置,加载恶意共享库实现本地权限提升到 root 的漏洞,PoC 包括 Python 脚本,影响 sudo 组件,修复需更新 sudo 版本。WinRAR 7.13之前版本存在路径遍历漏洞CVE-2025-8088,允许通过特制RAR文件在提取时利用路径遍历将恶意二进制文件放置到启动文件夹,实现持久化远程控制,PoC提供Python脚本生成恶意RAR文件,影响组件为WinRAR,修复需升级至7.13或更高版本。Python Ormar ORM 存在严重 SQL 注入漏洞,涉及未正确过滤用户输入,攻击者可利用此漏洞执行任意 SQL 命令;修复内容包括加强输入验证和参数化查询;受影响组件为 Ormar ORM 库;PoC 展示了如何通过特定输入触发注入;规则或安全价值在于强调 ORM 框架中安全编码实践的重要性。