Nacos 是一个动态服务发现、配置和管理的平台，可用于构建云原生应用程序。该项目受影响版本存在硬编码漏洞。由于Nacos鉴权时采用默认的token.secret.key，远程攻击者可自行构造JwtToken绕过密钥认证进入后台，进而操控系统。

漏洞简述3月1日，VMware发布了针对Spring Cloud Gateway的漏洞通告，当actuator端点开启并对外暴露时，攻击者可以构造恶意请求实现远程任意代码执行。Spring Cloud Gateway是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。Actuator是Spring Boot生态中的应用监控组件，提供了通过http访问监控运行状态的能力。

Apache Druid 是一个高性能的数据分析引擎。Kafka Connect模块曾出现JNDI注入漏洞(CVE-2023-25194)，近期安全研究人员发现Apache Druid由于支持从 Kafka 加载数据的实现满足其利用条件，攻击者可通过修改 Kafka 连接配置属性进行 JNDI 注入攻击，进而在服务端执行任意恶意代码。Apache Druid通过部署在内网，用户可对其开启身份认证机

Apache Kafka Connect 是Kafka中用于和其他数据系统传输数据的服务，其独立运行版本可以在Kafka发布包中通过bin/connect-standalone.sh启动，默认会在8083端口开启HTTP REST API服务，可对连接器（Connector）的配置进行操作

oogle Chrome V8是Google开源的JavaScript和WebAssembly引擎，被用在Chrome和Node.js等浏览器和平台中。该项目受影响版本存在类型混淆漏洞，攻击者可通过诱导用户打开恶意链接来触发此漏洞，可能导致浏览器崩溃或执行任意代码。由于该漏洞的影响范围较广，建议用户及时更新 Google Chrome V8 版本以修复该漏洞。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、H

OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ，使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的，这可能会导致拒绝服务。其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。EJS 是开源的 JavaScript 模板引擎，允许在HTML代码中使用JavaScript代码块，closeDeli

OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ，使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的，这可能会导致拒绝服务。其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数

Thymeleaf 是用于构建动态的 Web 应用程序的 Java 模板引擎，Spring Boot Admin 是开源的管理和监控 Spring Boot 应用程序的Web UI。