在 Ruby 2.6.7、2.7.x 至 2.7.3 和 3.x 至 3.0.1 中发现了一个问题。当 StartTLS 失败并返回未知响应时，Net::IMAP 不会引发异常，这可能允许中间人攻击者通过利用客户端和注册表之间的网络位置来阻止 StartTLS 命令来绕过 TLS 保护，又名“StartTLS 剥离攻击”。

在 Ruby 2.6.7、2.7.x 至 2.7.3 和 3.x 至 3.0.1 中发现了一个问题。恶意 FTP 服务器可以使用 PASV 响应来欺骗 Net::FTP 连接回给定的 IP 地址和端口。这可能使 curl 提取有关其他私有且未公开的服务的信息（例如，攻击者可以进行端口扫描和服务横幅提取）。

在 6.3.1 之前的 RDoc 3.11 到 6.x 中，随着 Ruby 到 3.0.1 分发，可以通过 | 执行任意代码和文件名中的标签。

cpython 存在环境问题漏洞，攻击者可利用该漏洞使用分号(;)分隔查询参数，导致恶意请求被缓存为完全安全的请求。

在 libcurl 处理以前使用的连接的方式中发现了一个漏洞，没有考虑“颁发者证书”并且不区分大小写地比较所涉及的路径。此漏洞允许 libcurl 使用错误的连接。此漏洞的最大威胁是机密性。

libexif 0.6.22之前版本中存在安全漏洞，该漏洞源于程序在处理Canon EXIF MakerNote数据时没有限制大小值。攻击者可利用该漏洞使程序消耗大量计算时间来解码EXIF数据，导致服务中断。

在 xdg-utils-1.1.0-rc1 和更新版本的 xdg-email 组件中发现了一个漏洞。在处理 mailto: URI 时，xdg-email 允许在传递给 Thunderbird 时通过 URI 谨慎添加附件。攻击者可能会向受害者发送一个 URI，该 URI 会自动将敏感文件附加到新电子邮件。如果受害者用户没有注意到添加了附件并发送了电子邮件，这可能会导致敏感信息泄露。已经确认这个问题背后的代码在 xdg-email 中而不是在 Thunderbird 中。

libmaxminddb 1.4.3之前版本存在安全漏洞，该漏洞源于在maxminddb.c中的转储条目数据列表中有一个基于堆的缓冲区overread。

Linux kernel 存在安全漏洞，攻击者可利用该漏洞通过Linux内核的sco send frame()函数强制使用已释放的内存区域，从而触发拒绝服务，并运行任意代码。

在读取特制的 ZIP 存档或派生格式时，可以进行 Apache Ant 构建以分配大量内存，从而导致内存不足错误，即使是小输入也是如此。这可用于中断使用 Apache Ant 的构建。 ZIP 档案中常用的派生格式是例如 JAR 文件和许多办公文件。 1.9.16 和 1.10.11 之前的 Apache Ant 受到影响。

在读取特制的 TAR 存档时，可以进行 Apache Ant 构建以分配大量内存，最终导致内存不足错误，即使是小输入也是如此。这可用于中断使用 Apache Ant 的构建。 1.9.16 和 1.10.11 之前的 Apache Ant 受到影响。

在 python-pip 中发现了一个缺陷，它处理 git 引用中的 Unicode 分隔符的方式。远程攻击者可能会利用此问题在存储库上安装不同的修订版。此漏洞的最大威胁是数据完整性。

Apache Maven 将遵循依赖项的项目对象模型 (pom) 中定义的存储库，这可能会让某些用户感到惊讶，如果恶意行为者接管该存储库或能够将自己插入到伪装的位置，则会导致那个存储库存在风险。 Maven 正在更改 3.8.1+ 中的默认行为，默认情况下不再遵循 http（非 SSL）存储库引用。参考网址中提供了更多详细信息。如果您当前正在使用存储库管理器来管理构建使用的存储库，则您不会受到遗留行为中存在的风险的影响，也不会受到此漏洞和默认行为更改的影响。有关存储库管理的更多信息，请参阅此链接：https://maven.apache.org/repository-management.html

0.60.8 之前的 GNU Aspell 中的 libaspell.a 在 common/getdata.cpp 中的 acommon::unescape 中有一个基于堆栈的缓冲区，通过隔离的 \ 字符进行了重读。

Hunspell是一款开源的拼写检查器。Hunspell中存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。