目标: 1000 元 · 已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# 漏洞总结:sourcecodedoster Pharmacy Sales and Inventory System V1.0 SQL注入 ## 漏洞概述 * **产品名称**: Pharmacy Sales and Inventory System V1.0 * **漏洞类型**: SQL Injection (SQL注入) * **受影响文件**: `/ajax.php?action=del…
# CVE-2026-30345 - CTFd Zipfile Import Arbitrary File Write ## 漏洞概述 CTFd v3.8.1-18-gb5a18c4 的 Admin 导入功能中存在一个 Zip Slip 漏洞,允许攻击者写入任意文件。 ## 影响范围 - **受影响产品代码库**: CTFd - 3.8.1-18-gb5a18c4 - **受影响组件**: CTF…
### 漏洞概述 该页面提供了Aranda File Server的发布说明,列出了之前版本中修复的漏洞和实现的功能。 ### 影响范围 - **受影响版本**:Aranda File Server的多个版本,具体包括8.3.12、8.3.11、8.3.10、8.3.9、8.3.8、8.3.7、8.3.6、8.3.5、8.3.4、8.3.3、8.3.2、8.3.1、8.3.0、8.2.4、8.2.…
### 漏洞概述 该漏洞涉及在升级过程中限制 AJAX 请求,并转义安装程序配置写入操作。具体包括: - 限制 `ajax.php` 在安装程序动作时的行为,当 `INSTALL_BLOCK` 缺失时。 - 在写入 `config.php` 之前转义安装程序配置值。 ### 影响范围 - 该漏洞影响 OpenCATS 系统的安装和升级过程。 - 攻击者可能通过未转义的配置值进行注入攻击,导致系统配…
# 漏洞总结 ## 漏洞概述 OpenCATS 存在安全漏洞,允许攻击者在升级过程中通过 AJAX 请求执行未授权操作,并可能导致配置写入漏洞。 ## 影响范围 - 升级模式激活时,`INSTALL_BLOCK` 缺失。 - `ajax.php` 仅允许安装程序 AJAX 操作(`install.*`),其他 AJAX 请求被拒绝。 - 安装程序配置写入 `modules/install/ajax…
# Mozilla 安全公告 2026-36 漏洞总结 ## 漏洞概述 Mozilla 基金会发布安全公告,修复了 Firefox ESR 140.10.1 中的多项安全漏洞,包括信息泄露、沙箱逃逸及内存安全漏洞。 ## 影响范围 * **受影响产品**:Firefox ESR 115.35.1, Firefox ESR 140.10.1, Thunderbird ESR 140.10.1, Fi…
# Mozilla Foundation Security Advisory 2026-35 ## 漏洞概述 Mozilla 发布了安全公告,修复了 Firefox 150.0.1 和 Thunderbird 150.0.1 中的多项安全漏洞。 ## 影响范围 * **Firefox ESR 115.35.1** * **Firefox ESR 140.10.1** * **Firefox 150…
# OpenCATS 未认证远程代码执行漏洞 (CVE-2026-27760) ## 漏洞概述 OpenCATS 安装程序的 AJAX 端点存在配置注入漏洞。攻击者可以通过向 `modules/install/ajax/ui.php` 发送未经处理的请求,将恶意 PHP 代码注入到 `config.php` 文件中。 * **漏洞成因**:安装程序在处理数据库配置时,调用 `CATSUtility…
# OpenCATS 配置文件修改漏洞总结 ## 漏洞概述 OpenCATS 的 `CATSUtility.php` 文件中存在一个配置文件修改漏洞。攻击者可以通过构造特定的 GET 请求参数,修改 `config.php` 配置文件中的设置项。 ## 影响范围 - 受影响文件:`lib/CATSUtility.php` - 受影响函数:`changeConfigSetting($name, $v…
# Mozilla Foundation Security Advisory 2026-37 ## 漏洞概述 * **发布日期**: 2026年4月28日 * **影响等级**: 高 (High) / 严重 (Critical) * **受影响产品**: Firefox ESR, Thunderbird ESR ### 1. CVE-2026-7320: 信息泄露 * **描述**: 由于音频/视…
# 漏洞总结 ## 漏洞概述 - **漏洞名称**: 创建 `~/.local` 目录时权限限制不足 - **漏洞描述**: 允许所有用户写入 `~/.local` 目录,攻击者可以利用此漏洞在 `~/.local/share` 子目录中安装恶意的 `.desktop` 文件。 - **报告者**: Michał Majchrowicz - **补丁作者**: Michał Majchrowicz…
# 漏洞总结:matlab-mcp-server 任意文件写入漏洞 ## 漏洞概述 * **漏洞名称**:Arbitrary File Write Vulnerability in matlab-mcp-server * **CVE ID**:CVE-22 (Improper Limitation of a Pathname to a Restricted Directory) * **漏洞类型*…
# 漏洞总结:sourcecodeder Pharmacy Sales and Inventory System V1.0 XSS 漏洞 ## 漏洞概述 * **漏洞类型**:跨站脚本攻击 (XSS) * **受影响产品**:Pharmacy Sales and Inventory System Project V1.0 * **漏洞位置**:`/index.php?page=supplier` …
# 漏洞总结:matlab-mcp-server 任意文件写入漏洞 ## 漏洞概述 * **漏洞名称**:Arbitrary File Write Vulnerability in matlab-mcp-server #18 * **漏洞编号**:CVE ID Request * **漏洞类型**:CWE-22 (Improper Limitation of a Pathname to a Res…
# 漏洞概要 - **漏洞编号**: #802911 - **漏洞标题**: WilliamCloudQi matlab-mcp-server Commit a88f6b59bf5f36f725e8628029f7f6dd0d9913ca Path Traversal - **漏洞类型**: 任意文件写入漏洞 (CWE-22) - **状态**: 已确认 (Confirmed) - **提交时间*…
# 漏洞总结:Creative Ad Agent SDK 服务端路径遍历漏洞 ## 漏洞概述 - **漏洞类型**:路径遍历(Path Traversal) - **CVE ID**:CVE-2026-XXXX(待分配) - **CWE ID**:CWE-22 - **影响组件**:`server/sdk-server.ts` - **触发路径**:`/images/:sessionId/:fil…
### 漏洞概述 - **项目名称**: Pharmacy Sales and Inventory System Project V1.0 - **漏洞类型**: 跨站脚本攻击 (XSS) - **受影响文件**: `/index.php?page=product` - **漏洞原因**: 攻击者可以通过参数 `id` 注入恶意脚本代码,系统未对输入进行适当的编码或过滤,导致恶意脚本在受害者浏览器…
### 漏洞概述 - **漏洞编号**: CVE-2026-7309 - **漏洞描述**: 在 OpenShift Container Platform 构建系统中发现了一个不完整的修复。`buildconfigs/instantiate API` 仍然接受任意环境变量名称(包括 `LD_PRELOAD`, `PATH`, `BUILD_RUNTIME`, `DOCKER_CONFIG`, `h…
# 漏洞总结:DV0x creative-ad-agent Path Traversal ## 漏洞概述 - **漏洞编号**:Submit #802887 - **漏洞类型**:路径遍历漏洞 (Path Traversal, CWE-22) - **受影响组件**:Creative Ad Agent SDK server - **具体位置**:`/server/sdk-server.ts` 中的…
# 漏洞总结:Pizzafy Ecommerce System SQL注入漏洞 ## 漏洞概述 * **受影响版本**:Pizzafy Ecommerce System 1.0 * **漏洞类型**:SQL注入(基于报错) * **严重程度**:HIGH * **漏洞状态**:未修补 * **漏洞端点**:`/pizzafy/view_prod.php?id=3` * **描述**:在 `sele…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。