目标: 1000 元 · 已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# GitHub 安全漏洞总结 ## 漏洞概述 **漏洞标题**: Exec approvals: reject shell init-file script matches (#58369) **漏洞类型**: 安全策略绕过 **影响组件**: GitHub CLI (gh) 的 exec approvals 功能 **修复状态**: 已修复 (Commit 0c83754) ## 影响范围 该…
# 漏洞总结 ## 漏洞概述 OpenClaw 平台存在一个**越权访问漏洞**(CVE-2024-45678)。攻击者可以通过构造特定的请求,绕过权限验证机制,访问其他用户的私有数据或执行未授权的操作。 ## 影响范围 - 所有使用 OpenClaw 平台的用户 - 特别是那些在平台中存储敏感信息的用户 ## 修复方案 1. **加强权限验证**:在服务器端增加更严格的权限检查逻辑,确保每个请求…
# 漏洞信息总结 ## 漏洞概述 - **CVE编号**: CVE-2026-3893 - **CVSS评分**: 9.4 (CRITICAL) - **漏洞描述**: The Carlson VASCO-B GNSS Receiver lacks an authentication mechanism, allowing an attacker with network access to ex…
# [Security]RCE in NodeAgent due to a fixed-prefix weak authentication mechanism(o2oa ` 请求并排队执行。 5. 命令调度器包括 `restart` 作为接受的命令,重启从磁盘执行启动脚本。 ## 影响范围 未认证的攻击者如果可达 HTTP 服务和 NodeAgent 端口,可以以 O2OA 服务账户的权限执行任…
# Pizzafy Ecommerce System 1.0 SQL注入漏洞总结 ## 漏洞概述 * **漏洞类型**:基于错误的SQL注入 (Error-Based SQL Injection) * **受影响版本**:Pizzafy Ecommerce System 1.0 * **漏洞位置**:`/pizzafy/admin/ajax.php?action=delete_category` …
# CVE-2026-3893 漏洞总结 ## 漏洞概述 * **漏洞编号**:CVE-2026-3893 * **漏洞标题**:Carlson Software VASCO-B GNSS Receiver Missing Authentication for Critical Function(Carlson Software VASCO-B GNSS 接收器关键功能缺少身份验证) * **发布…
# CVE-2026-38949 总结 ## 漏洞概述 - **漏洞名称**:HTMLy v3.1.1 中的存储型跨站脚本(Stored XSS)漏洞,导致管理员账户接管。 - **漏洞类型**:存储型跨站脚本(Stored XSS) - **漏洞描述**:在HTMLy v3.1.1版本中,通过图像发布功能的内容字段注入恶意JavaScript代码。由于输入验证不当,恶意代码被存储并在管理员查看恶…
# Jeecg Boot SQL注入漏洞总结 ## 漏洞概述 * **漏洞编号**:#9491 * **漏洞类型**:SQL注入 (SQL Injection) * **受影响版本**:Jeecg Boot <= v3.9.1 * **漏洞位置**:`/sys/dict/loadDict/{dictCode}` 接口 * **漏洞成因**:后端代码将用户传入的 `keyword` 参数直接拼接到 …
# JeecgBoot SQL注入漏洞总结 ## 漏洞概述 JeecgBoot 存在 SQL 注入漏洞。攻击者可通过构造特殊的 `keyword` 参数,绕过原有的 SQL 注入过滤机制,从而执行恶意 SQL 语句。 ## 影响范围 - **受影响文件**:`jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionU…
# 漏洞总结:O2OA 认证 SSRF 漏洞 ## 漏洞概述 **标题**:Authenticated SSRF in `/x_file_assemble_control/jaxrs/file/upload/with/url` via unrestricted fileUrl fetching (O2OA Content-Type: application/json Cookie: { "file…
### 漏洞概述 该漏洞涉及对主机授权函数的修复,具体为检查令牌的有效性。此修复旨在增强系统的安全性,防止未授权的访问和操作。 ### 影响范围 - **受影响的文件**: - `controllers/hosts.go` - `controllers/node.go` - `logic/jwts.go` - `pro/controllers/auto_relay.go` - `pro/contr…
### 漏洞概述 **CVE-2026-38651: JWT Verification Bypass in Netmaker Allows Unauthenticated Access to Host Endpoints** Netmaker 是一个开源的 WireGuard 网络管理平台。在 v1.4.0 版本中,`VerifyHostToken` 函数存在 JWT 验证绕过漏洞。该函数在验证主…
# CVE-2026-38948 漏洞总结 ## 漏洞概述 * **漏洞名称**:FUEL CMS 1.5.2 存储型跨站脚本 (Stored XSS) 导致管理员账户接管 * **CVE ID**:CVE-2026-38948 * **严重程度**:7.1 High * **漏洞类型**:存储型跨站脚本 (Stored XSS) * **利用原理**:经过身份验证的低权限用户可以在资产上传功能中…
# 漏洞总结:Cista v0.15 反序列化内存地址泄露 ## 漏洞概述 在 Cista v0.15 及更低版本中,存在不安全的反序列化问题。当反序列化不受信任的输入时,由于 `cista::raw` 序列化器缺乏足够的检查,可能导致内存地址泄露。攻击者可以通过修改偏移量(如从 -8 到 0)使指针指向自身,从而在打印时泄露其自身地址。 ## 影响范围 - **受影响版本**:Cista v0.…
# CVE-2026-38651: Netmaker JWT 验证绕过漏洞总结 ## 漏洞概述 Netmaker v1.4.0 存在 JWT 验证逻辑缺陷。`VerifyHostToken` 函数仅检查 token 是否为空,未验证签名有效性或过期时间,导致攻击者可伪造任意 JWT 获取未授权访问。 ## 影响范围 - **受影响版本**:Netmaker v1.4.0 - **严重程度**:Cr…
# 漏洞总结:HPX v1.11.0 反序列化类型混淆 ## 漏洞概述 在 HPX v1.11.0 及更低版本中发现了一个不安全的反序列化漏洞。当反序列化不同类型的共享指针时,由于缺乏足够的类型检查,可能导致**类型混淆(Type Confusion)**。 该漏洞的根源在于 `serialize_pointer_tracked` 函数中,当遇到已存在的指针 ID 时,代码会直接进行浅拷贝(Sha…
# D-Link DIR-825m v1.1.12 缓冲区溢出漏洞总结 ## 漏洞概述 * **漏洞名称**:D-Link Router DIR-825m v1.1.12 - Buffer Overflow in /boafrm/formVpnConf1gSetup * **漏洞类型**:缓冲区溢出 (Buffer Overflow) * **受影响产品**:D-Link DIR-825m * *…
# 漏洞总结:Pharmacy Sales and Inventory System V1.0 SQL注入 ## 漏洞概述 * **受影响产品**:Pharmacy Sales and Inventory System V1.0 * **漏洞类型**:SQL注入 (SQL injection) * **漏洞文件**:`/ajax.php?action=save_expired` * **漏洞参数*…
# CVE-2025-67223: Aranda Service Desk 访问控制错误与信息泄露 ## 漏洞概述 在 Aranda Service Desk (Aranda File Server - AFS 模块) 的文件管理模块中发现了一个关键漏洞。系统以可预测的名称(例如 `YYYYMMDD.log`)将每日活动日志存储在公共目录 (`/AFS/logs/`) 中,且没有任何访问限制。 *…
# D-Link DIR-825m v1.1.12 缓冲区溢出漏洞总结 ## 漏洞概述 * **漏洞名称**:Buffer Overflow in /boafrm/formWanConfig1gSetup * **漏洞类型**:缓冲区溢出 (Buffer Overflow) * **受影响产品**:D-Link DIR-825m * **受影响版本**:Firmware v1.1.12 * **漏…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。