安全情报专区 29734+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源，已自动清洗 + 中英双语呈现，持续更新。

筛选

仅 KEV

已验证 PoC

CVSS 3.8

Capgo控制台: 2FA策略绕过漏洞(CVSS 4.9)

github.com · 2026-06-20

### 漏洞概述 - **漏洞标题**：Bug Report: Improper 2FA Implementation — User Can Enforce Team 2FA Without Enabling Own 2FA - **报告者**：RAVI - **严重程度**：Medium-High - **类别**：Security Misconfiguration / Authenticati…

精品

CVSS 8.3

GitHub/SUPA SSO账户合并身份伪装漏洞(GHSA-wq6d)

github.com · 2026-06-20

### 漏洞概述 - **漏洞名称**: User-controlled public.users.email can poison SSO account merge and attach victim SSO identity to attacker account - **漏洞ID**: GHSA-wq6d-ffwf-gqww - **严重程度**: High - **CVE ID**: 无…

CVSS 7.5

Supabase RPC未授权信息泄露：组织存在性与计费状态枚举

github.com · 2026-06-20

### 漏洞概述 - **漏洞名称**：未认证的 org 存在性 + 计费状态披露通过 Supabase RPC 是 `is_trial_org` / `is_paying_org`（公共 `sb_publishable` 密钥） - **漏洞描述**：未认证调用者可以使用公共 `sb_publishable_*` 密钥调用 Supabase PostgreSQL RPC 端点，以确定某个 `or…

CVSS 8.3

Capgo SSO账号合并漏洞(CVE-2026-56215)漏洞公告

www.vulncheck.com · 2026-06-20

### 漏洞概述 - **漏洞名称**: Capgo - Account Merge via Poisoned public.users.email in SSO Provisioning - **严重程度**: 高 - **发布日期**: 2026年6月19日 - **CVE编号**: CVE-2026-56215 - **CWE编号**: CWE-639 Authorization Bypas…

精品

CVSS 9.8

WordPress插件branda-white-labeling弱加密漏洞分析

plugins.trac.wordpress.org · 2026-06-20

### 漏洞概述该漏洞涉及WordPress插件`branda-white-labeling`中的`signup-password.php`文件。具体问题是密码处理逻辑存在缺陷，可能导致密码未正确加密或存储。 ### 影响范围 - **插件名称**: `branda-white-labeling` - **文件路径**: `trunk/inc/modules/login-screen/signu…

精品

CVSS 9.8

WordPress Brandu White Labeling 弱加密漏洞分析

plugins.trac.wordpress.org · 2026-06-20

### 漏洞概述该网页截图展示了一个WordPress插件“Brandu White Labeling”的源代码文件，具体路径为 `tags/3.4.29/inc/modules/login-screen/signup-password.php`。文件中存在一个潜在的安全漏洞，涉及密码加密和解密函数的实现。 ### 影响范围 - **插件版本**：Brandu White Labeling 3.…

CVSS 6.5

WordPress Bit integrations插件未授权SSRF漏洞通报

www.wordfence.com · 2026-06-20

# Bit integrations <= 2.8.7 - Unauthenticated Server-Side Request Forgery via Form Field Upload Mapping ## 漏洞概述 Bit integrations – Form Integration, Webhook, Spreadsheets, CRM, LMS & Email Automation …

CVSS 4.9

Advanced Order Export For WooCommerce SQL注入漏洞(CVE-2026-11360)

www.wordfence.com · 2026-06-20

### 漏洞概述 - **漏洞名称**: Advanced Order Export For WooCommerce <= 4.0.10 - Authenticated (Shop Manager+) SQL Injection via 'sort_direction' Parameter - **CVE ID**: CVE-2026-11360 - **CVSS评分**: 4.9 (Medium…

CVSS 6.5

Supabase Capgo Org-scoped API Key跨租户RLS绕过漏洞

github.com · 2026-06-20

### 漏洞概述 - **漏洞名称**：Org-scoped read API key can read other tenants' webhook secrets and delivery logs via Supabase PostgREST (cross-tenant RLS/scoping bypass) - **描述**：一个具有只读模式并限制到特定组织（ORG_A）的Capgo AP…

CVSS 7.5

Supabase 未授权 RPC 计费日志篡改漏洞

github.com · 2026-06-20

### 漏洞概述 **漏洞名称**: Unauthenticated Supabase RPC `public.record_build_time` allows cross-tenant creation and tampering of billing build logs (integrity + billing abuse) **漏洞描述**: - Supabase PostgREST R…

精品

CVSS 9.4

Critical OTP Bypass Vulnerability Report

github.com · 2026-06-20

### 漏洞概述 **标题**: Bug Report: OTP Bypass — Leads to Email Verification Bypass & Unauthorized 2FA Enablement **描述**: - **报告者**: Nancy - **严重性**: Critical - **类别**: Authentication Bypass / OTP Verificati…

精品

CVSS 9.4

Cap-go OTP验证绕过漏洞（CVE-2026-56073）

www.vulncheck.com · 2026-06-20

### 漏洞概述 - **漏洞名称**: Cap-go - OTP Bypass via Response Manipulation in Email Verification - **CVE编号**: CVE-2026-56073 - **CWE编号**: CWE-345 Insufficient Verification of Data Authenticity - **CVSS评分**: 9…

CVSS 4.9

CapGo 组织超级管理员认证逻辑漏洞导致账户锁定

github.com · 2026-06-20

### 漏洞概述 - **漏洞名称**：Vulnerability Report: Improper Backend Authentication After Enforcing Password Policy — Organization Lockout - **报告者**：Penetest - **严重程度**：Critical - **分类**：Authentication Logic Fl…

精品

CVSS 9.1

Cappo认证逻辑缺陷：2FA配置错误导致账户锁定

github.com · 2026-06-20

### 漏洞概述 **标题**: Critical Vulnerability :- 2Fa Misconfiguration lead to Lockout the victim !! **描述**: - **漏洞报告**: 2FA Misconfiguration Leading to Permanent Victim Lockout - **报告者**: Penetest - **严重性**…

精品

CVSS 10.0

CVE-2026-45480: Azure AD特权提升漏洞通报

msrc.microsoft.com · 2026-06-20

### 漏洞概述 - **漏洞名称**: Azure Active Directory Elevation of Privilege Vulnerability - **CVE编号**: CVE-2026-45480 - **发布日期**: 2026年6月18日 - **分配CNA**: Microsoft - **漏洞描述**: 该漏洞需要特权提升，最大严重程度为“Critical”。 ### …

Authelia Basic Auth LDAP用户名规范化缺失导致暴力破解绕过

github.com · 2026-06-20

### 漏洞概述 **标题**: Missing Username Canonicalization in Basic Auth when using LDAP **CVE ID**: CVE-2026-47203 **严重程度**: 中等 (6.3 / 10) **发布日期**: 3周前 **影响版本**: >= 4.38.0, <= 4.39.19 **修复版本**: 4.39.20 ### …

精品

CVSS 6.5

Kestra inputFiles 任意文件写入漏洞 (CVE-2024)

github.com · 2026-06-20

### 漏洞概述 **漏洞名称**: inputFiles accepts traversal filenames for worker file writes **描述**: Kestra 的 `inputFiles` 属性允许用户通过未经验证的执行或 webhook 数据中的文件名，使用 `../` 路径段在工作目录外创建或覆盖文件。这可能导致任意文件写入，进而可能引发代码执行等更严重的后果。…

Authelia域名匹配逻辑缺陷及修复方案

github.com · 2026-06-20

### 漏洞概述该漏洞涉及 `authelia` 项目中的域名匹配功能，具体为大小写不敏感的域名匹配问题。此问题在使用通配符或用户/组段域名时尤为明显。 ### 影响范围 - **文件**: `internal/authorization/access_control_domain.go` - **函数**: `AccessControlDomainMatcher` - **问题**: 域名匹配…

Authelia访问控制规则域名规范化缺失绕过漏洞

github.com · 2026-06-20

### 漏洞概述 **漏洞名称**: Edge Case Access Control Rule Domain Miss Due to Lack of Canonicalization **漏洞ID**: GHSA-j748-h363-wqj8 **发布日期**: 3周前 **严重程度**: 低 **CVSSv4 Baseline Score**: 2.4 **CVSSv4 Weighted Sc…

CVSS 7.1

libde265堆缓冲区溢出漏洞及POC

github.com · 2026-06-20

### 漏洞概述在 `de265_image_get_buffer` 函数中，由于 SPS（序列参数集）维度整数溢出，导致堆缓冲区溢出。具体表现为： - 一个精心构造的 H.265 比特流，具有大的 SPS 维度和 16 位比特深度，会导致 `de265_image_get_buffer()` 中的签名整数溢出。 - 溢出后的值通过所有前端验证检查，但随后的 `fill_image()` 调用计…

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源？邮件告诉我们，每周新接 1-2 个。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

安全情报专区 29734+

目标达成感谢每一位支持者 — 我们达成了 100% 目标！