李火火的安全圈

Vite 作为一款前沿的前端构建工具，巧妙借助浏览器原生 ES 模块导入功能，打造出极速响应的开发服务器，显著提升构建性能。其核心目标在于全方位优化开发体验，凭借即时模块热更新（HMR）等先进技术，让开发者能够更高效地投入到项目开发中，极大地缩短开发周期，提升开发效率。此漏洞允许未授权的攻击者通过构造恶意 HTTP 请求，对任意文件进行读取操作，进而可能导致系统内敏感信息泄露。

2025年1月14日，Fortinet 发布安全公告（FG-IR-24-535）称修复了一个可导致FortiOS 和 FortiProxy身份验证绕过的高危漏洞：CVE-2024-55591。攻击者可无需身份认证通过向 Node.js websocket 模块发送特制请求，最终获取设备的超级管理员权限。

泛微 E-mobile v9.5 存在任意文件上传漏洞

泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞：泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞，成功利用此漏洞的攻击者可登录任意用户。

一、风险概述在 Apache APISIX 2.12.1 之前的版本中（不包含 2.12.1 和 2.10.4），启用 Apache APISIX batch-requests 插件之后，会存在改写 X-REAL-IP header 风险。该风险会导致以下两个问题：攻击者通过 batch-requests 插件绕过 Apache APISIX 数据面的 IP 限制。如绕过 IP 黑白名单限制。如果用户使用 Apache APISIX 默认配置（启用 Admin API ，使用默认 Admin