go-getter < 1.7.5 git命令注入漏洞

go\-getter 是一个 Golang 库，用于从 URL、文件系统及其他位置获取资源，支持通过git协议拉取仓库。 受影响版本中，由于 get\_git.go 文件未对 \`.git\` 目录中的文件进行校验，如果攻击者对克隆的 git 存储库可控，攻击者可诱导用户覆盖原有存储库中的 git config 文件，当用户更新该仓库时会触发远程代码执行。

GeoSolutionsGroup JAI-EXT Code Injection Vulnerability

GeoSolutionsGroup JAI\\-EXT, a component of GeoSolutions GeoServer, contains a code injection vulnerability that, when programs use jt\\-jiffle and allow Jiffle script to be provided via network request, could allow remote code execution.

用友U8Cloud 远程命令执行漏洞

暂无

大华ICC智能物联综合管理平台 任意文件上传漏洞

暂无

Ollama < 0.1.34 远程代码执行漏洞

Ollama 是用于快速启动llama等开源大模型的运行环境，服务默认监听本地11434端口。 受影响版本中，由于 server/modelpath.go 代码中未对用户可控的 digest 参数进行限制，/api/pull及/api/push接口存在路径穿越漏洞。 攻击者可通过/api/pull接口拉取包含恶意内容和digest 参数\\(如：../../\\)的模型，从而写入任意文件，通过写入 /etc/ld.so.preload 文件可执行任意代码。 攻击者可通过/api/push接口上传恶意模型，读取任意文件。