关于 npm 包“axios”中的漏洞（CVE-2026-40175 等）

• Related Articles

• 关于针对 npm 包“axios”的供应链攻击

  npm 包「axios」已确认遭受供应链攻击。 ※以下内容参考了下述外部网站。 【概要】 2026年3月31日，作为广泛使用的 JavaScript HTTP 客户端库的 npm 包「axios」遭受了供应链攻击。 攻击者劫持了主要维护者的 npm 账户，并发布了包含恶意软件的以下两个版本： 受侵害版本：axios@1.14.1、axios@0.30.4 安全版本：axios@1.14.0（1.x 系列）、axios@0.30.3（0.x 系列） 【漏洞影响】 ...

• 关于Apache Tomcat CGI Servlet中的漏洞（CVE-2025-46701等）

  相关产品：SVF、invoiceAgent(本地版)/SPA、Dr.Sum、MotionBoard 在Apache Tomcat的CGI Servlet中，公开了一个与pathInfo的安全约束被绕过的漏洞（CVE-2025-46701等）。 【漏洞影响】 Apache Tomcat的CGI Servlet存在一个由于对大小写处理不当（CWE-178，CVE-2025-46701）导致的漏洞，攻击者可以绕过CGI Servlet映射的URL中pathInfo设置的安全约束。 【参考链接】 ...

• 关于 Apache Commons FileUpload 中多个漏洞（CVE-2025-48976、CVE-2025-48988等）

  关于 Apache Commons FileUpload 中多个漏洞（CVE-2025-48976、CVE-2025-48988等）的公开说明 · 由于对多部分（multipart）标头的资源分配限制不足，可能导致服务拒绝（DoS）状态（CVE-2025-48976） · 由于资源分配缺乏限制或调整，可能导致服务拒绝（DoS）状态（CVE-2025-48988） 【参考（外部链接）】 IPA（信息处理推进机构） JVN（Japan Vulnerability Notes）： ...

• 关于Apache Tomcat漏洞（CVE-2023-46589）

  产品：SVF、invoiceAgent（旧SPA）、Dr.Sum、MotionBoard 内容 Apache Tomcat 包含一个请求走私漏洞 (CVE-2023-46589)。由于Tomcat未能正确解析HTTP Trailer标头，超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求，从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制，未经授权访问敏感数据等。 【受漏洞影响的Tomcat版本】 Apache Tomcat ...

• 关于Spring Framework路径遍历漏洞（CVE-2024-38816）

  Spring Framework中的漏洞（CVE-2024-38816等）已被公开。 【漏洞影响】 攻击者可以通过操纵文件或路径的值，进行路径遍历攻击，访问目标文件系统Spring应用程序有权访问的任意文件，从而导致数据泄露。 【参考网址】 https://blog.csdn.net/weixin_40986713/article/details/142938365 影响内容 关于 SVF 产品的影响 由于未使用“Spring Framework”，因此本漏洞不会对我方造成影响。 关于 ...