目标: 1000 元 · 已筹: 1310 元
反序列化
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# 漏洞总结 ## 漏洞概述 **漏洞名称**:Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) **漏洞描述**:Apache ActiveMQ 是一个开源的消息代理服务器,支持多种协议。该漏洞存在于 `org.apache.activemq.command.ActiveMQQueue` 类中,由于未对用户输入进行充分验证,攻击者可以通过构造恶意的 JMS 消息…
# 漏洞总结 ## 漏洞概述 **漏洞名称**:Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) **漏洞描述**:Apache ActiveMQ 是一个开源的消息代理和消息系统。在 ActiveMQ 5.x 版本中,存在一个远程代码执行漏洞。攻击者可以通过构造恶意的 JMS 消息,利用 ActiveMQ 的 OpenWire 协议中的漏洞,在目标系统上执行任意代…
# 漏洞总结:Netgate pfSense CE 远程代码执行漏洞 ## 漏洞概述 该公告披露了两个独立的认证远程代码执行(RCE)漏洞,均存在于 Netgate pfSense Community Edition 中。这两个漏洞均被归类为“预期行为”,因此厂商未发布补丁。 1. **CVE-2025-69690**:通过不安全的反序列化(Unsafe Deserialization)导致的 R…
# 漏洞总结:Stored XSS via XssHtmlFilter Bypass #38 ## 漏洞概述 SpringBlade 的 `/api/blade-desk/notice/submit` 接口存在存储型跨站脚本(XSS)漏洞。攻击者利用 JSON Unicode 转义序列(`\uXXXX`)完全绕过 `XssHtmlFilter` 过滤器,将任意 JavaScript 注入到 `co…
### 关键信息 - **漏洞编号**: TYPO3-EXT-SA-2025-008 - **受影响的扩展**: "Front End User Registration" (sr_feuser_register) - **漏洞类型**: - Remote Code Execution (RCE) - Insecure Direct Object Reference (IDOR) - **严重性*…
## 漏洞关键信息总结 ### 漏洞概述 | 项目 | 内容 | |:---|:---| | **漏洞名称** | Denial of Service (CPU Exhaustion) via crafted array-like objects | | **CVE编号** | CVE-2024-34064 | | **严重程度** | Moderate (5.9/10) | | **漏洞类型**…
# CVE 公告:Kiota 代码生成字面量注入漏洞 ## 漏洞概述 Kiota 版本在 **1.31.1 之前** 存在代码生成字面量注入漏洞。该漏洞影响多个写入端点(例如:序列化/反序列化键、路径/查询参数映射、URL 模板元数据、枚举/属性元数据和默认值生成)。 当恶意值从 OpenAPI 描述中被发出并进入生成的源代码,且未进行适当的上下文转义时,攻击者可以破坏字符串字面量并向生成的客户端…
# python jsonpickle 2.0.0 - Remote Code Execution ## 漏洞概述 jsonpickle 模块用于将对象序列化为字符串,并在稍后恢复数据。如果反序列化恶意数据,将执行任意 Python 命令。该漏洞存在于 `loadrepr` 函数中,该函数会 `eval` 包含 `"py/repr"` 的每个序列化字符串。 ## 影响范围 - **平台**: 多个…
### 关键漏洞信息 #### 漏洞概述 - **公告ID**: APSB25-15 - **发布日期**: 2025年4月8日 - **优先级**: 1 Adobe发布了针对ColdFusion 2025、2023和2021版本的安全更新,修复了可能导致任意文件系统读取、任意代码执行和安全功能绕过的严重和重要漏洞。 #### 影响的版本 | 产品 | 更新编号 | 平台 | |---------…
### 关键信息 #### 漏洞概述 - **CVE ID**: CVE-2025-50461 - **漏洞类型**: 远程代码执行 (RCE) 通过不安全的模型反序列化在 VeriL 中 - **状态**: 预留,尚未正式发布 #### 影响的仓库 - **项目**: volcengine/veril - **受影响版本**: <= v0.4.0 - **文件**: scripts/model_…
### 关键漏洞信息 #### 漏洞概述 - **CVE编号**: 多个CVE编号,包括CVE-2022-41856、CVE-2022-41857等。 - **描述**: IBM Concert Software中存在多个安全漏洞,涉及未预期的访问控制问题、HTTP头注入、跨站脚本(XSS)、SQL注入、命令执行、文件包含、路径遍历、反序列化、代码注入、配置错误、加密问题、信息泄露等。 #### …
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。