rce

研究人員發現FastCGI函式庫存在高風險漏洞CVE-2025-23016，攻擊者可藉由觸發整數溢位造成堆積溢位，進而控制應用程式流程並執行任意程式碼，對嵌入式系統帶來嚴重的安全威脅

Erlang/OTP SSH函式庫被發現存在CVSS 10.0漏洞，允許未驗證用戶遠端執行程式碼，更有研究者以人工智慧成功重建攻擊程式，官方建議用戶盡快修補

Java網路應用程式框架Apache MINA發布安全性更新，主要是針對危險程度達到滿分的漏洞CVE-2024-52046進行修補，Apache基金會指出，IT人員要緩解漏洞不光要套用更新，還要依照指示修改相關組態

上週Apache基金會發布Java應用框架Struts 6.4.0版，修補重大層級的遠端執行任意程式碼（RCE）漏洞CVE-2024-53677，本週資安研究機構SANS警告，他們偵測到嘗試利用這項漏洞的跡象，呼籲IT人員要儘速採取行動因應

當前備份市場領導者之一的Veeam，於12月初發布旗下備份監控工具的2個漏洞，並釋出修補

D-Link傳出旗下生命週期結束（EOL）的VPN路由器存在漏洞，並表明他們將不會進行修補，呼籲用戶儘速更換設備，但除此之外，這次他們並未公布漏洞的CVE編號，僅表明是記憶體緩衝區溢位弱點

晶片製造廠商Microchip在微控制器當中使用的進階軟體框架（Advanced Software Framework，ASF）有資安漏洞CVE-2024-7490，此弱點屬於可用於遠端執行任意程式碼（RCE）的重大層級漏洞，並指出攻擊者有機會讓ASF當機，並遠端執行程式碼

資安業者Rapid7公布上週修補的ERP系統OFBiz漏洞CVE-2024-45195，並指出該漏洞能夠被用來繞過今年Apache基金會修補的3項弱點