文章总结： 文档汇总了近期高危漏洞情报，涵盖Zimbra文件包含、n8n命令执行CVE-2025-68668、致远A8SQL注入及ComfyUI-Manager未授权访问CVE-2025-67303。部分漏洞存在RCE风险且已有POC，建议尽快修复或升级组件。 综合评分： 70 文章分类： 威胁情报,漏洞预警,漏洞分析,WEB安全,漏洞POC

高危漏洞威胁情报合集 (2026-01-05~2026-01-07）

0xSecDebug

2026年1月7日 16:04 陕西

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的威胁情报群，便于师傅们可以及时获取最新的IOC

Zimbra Collaboration Suite 文件包含漏洞

• CVE编号: 暂无
• 危害定级: 严重
• 漏洞标签: 有Poc 有漏洞分析 有修复方案
• 披露日期: 2025-12-22
• 推送原因: 漏洞创建
• 信息来源: https://x.threatbook.com/v5/vulIntelligence

n8n Pyodide 命令执行漏洞(CVE-2025-68668)

• CVE编号: CVE-2025-68668
• 危害定级: 严重
• 漏洞标签: 关键漏洞技术细节公开奇安信CERT验证
• 披露日期: 2025-12-24
• 推送原因: 漏洞创建
• 信息来源:

漏洞描述

在n8n的Pyodide Python 代码节点中存在沙箱绕过漏洞，允许经过身份验证的用户通过创建或修改工作流来执行任意系统命令，从而获取服务器权限。

开源检索

暂未找到

致远A8协同办公软件 SQL注入漏洞

• CVE编号: 暂无
• 危害定级: 严重
• 漏洞标签: 有Poc有漏洞分析有修复方案
• 披露日期: 2026-01-04
• 推送原因: 漏洞创建
• 信息来源:

ComfyUI-Manager API 未授权访问漏洞（CVE-2025-67303）

• CVE编号: CVE-2025-67303
• 危害定级: 高危
• 漏洞标签:
• 披露日期: 2026-01-06
• 推送原因: 漏洞创建
• 信息来源:

漏洞描述

ComfyUI是一个开源的、基于节点的图像生成程序，用户能够使用它从文本生成图片。2026年1月，互联网上披露 CVE-2025-67303 ComfyUI-Manager API 未授权访问漏洞，由于ComfyUI-Manager 的数据与配置目录未受 ComfyUI 的 Web API 访问控制充分保护，导致攻击者可构造恶意请求并最终导致在服务器上实现远程代码执行。官方已发布  v3.38  版本，建议升级至最新版本。

修复方案

官方已发布  v3.38  版本，建议升级至最新版本。升级具体操作参考

参考链接

无

开源检索

暂未找到

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecDebug 《高危漏洞威胁情报合集 (2026-01-05~2026-01-07）》