一、漏洞简介

​ nacos 是一个开源的微服务发现、管理、配置平台， /nacos/v1/cs/ops/data/removal接口可以未授权访问，此接口可以执行用户上传文件的任意SQL语句，导致RCE漏洞。

本文首发于 t00ls

漏洞描述

​ GeoServer 是一个地理空间数据开源服务器软件，在调用GeoTools库 API 解析特性类型的属性/属性名称时，若将攻击者恶意构造的属性名传递给commons-jxpath组件并作为XPath表达式解析时，可造成任意代码执行。