目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 35032+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
Vim C语言补全插件任意Ex命令执行漏洞详情
github.com · 2026-07-10

### 漏洞概述 - **漏洞名称**: 任意Ex命令执行(Arbitrary Ex Command Execution) - **漏洞描述**: 在使用C语言omni-completion时,通过构造一个特殊的tag文件,可以在完成struct/union成员时执行任意Ex命令。 - **解决方案**: 在将类型字段插入到vimgrep模式之前,对其进行转义,以防止其关闭模式并启动新命令。 ##…

Read more
Vim CVE-2026-59858 C语言自动补全任意代码执行漏洞
github.com · 2026-07-10

### 漏洞概述 **漏洞名称**: Arbitrary Code Execution via C Omni-Completion in Vim < 9.2.0735 **发布日期**: 2026年6月26日 **严重程度**: Medium **CVE ID**: CVE-2026-59858 **描述**: Vim 的 C 自动补全脚本 `runtime/autoload/complete.v…

Read more
CVSS 4.4
GitHub Codespaces Jupyter Server URL验证绕过漏洞分析
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及对Jupyter Server URL的验证问题。具体来说,代码中存在对Jupyter Server URL的验证逻辑,但验证过程可能存在缺陷,导致某些情况下无法正确识别和验证URL的有效性。 ### 影响范围 - **影响模块**:`internal/codespaces/rpc/invoker.go` 和 `internal/codespaces/rpc/invok…

Read more
CVSS 4.4
CVE-2024-55831: GitHub CLI codespace jupyter 远程代码执行漏洞
github.com · 2026-07-10

### 漏洞概述 - **漏洞名称**:通过 `gh codespace jupyter` 连接到恶意 Codespace 可能导致用户计算机上的命令执行。 - **漏洞描述**:GitHub CLI 中存在一个安全漏洞,当用户使用 `gh codespace jupyter` 命令连接到恶意 Codespace 时,可能会允许远程代码执行。该命令通过启动用户浏览器中的 URL 来打开 Jupyt…

Read more
思源笔记 Asset.render DOM XSS至RCE漏洞分析(CVE-2026-5985)
github.com · 2026-07-10

### 漏洞概述 **标题**: Store XSS To RCE via Asset.render **描述**: 在SiYuan的Asset.render()方法中存在一个DOM-based跨站脚本(XSS)漏洞,允许攻击者执行任意JavaScript代码。当受害者点击一个恶意的链接时,由于Electron渲染器启用了nodeIntegration和contextIsolation为false…

Read more
思源笔记文件上传XSS漏洞分析及修复建议
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及在 `app/src/asset/index.ts` 文件中,对用户上传的文件路径进行不安全的处理,导致潜在的 XSS(跨站脚本攻击)风险。具体而言,代码中使用了 `Lute.EscapeHTMLStr` 函数来转义 HTML 字符串,但未能完全防止恶意脚本的注入。 ### 影响范围 - **受影响文件**:`app/src/asset/index.ts` - **受影…

Read more
CVSS 6.5
GHSA-px3c-cf92-9g83: 未授权读取私有搜索条件漏洞
github.com · 2026-07-10

# 漏洞概述 - **漏洞名称**: Publish-mode Reader can exfiltrate private saved-search Criteria via /api/storage/getCriteria (missing publish-access filter) - **漏洞编号**: GHSA-px3c-cf92-9g83 - **严重程度**: 中等 (6.5 / 1…

Read more
CVSS 6.5
内核发布访问权限验证缺陷致未授权访问漏洞修复分析
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及在 `kernel/api/storage.go` 和 `kernel/model/publish_access.go` 文件中的代码变更。主要问题在于对发布访问权限的过滤和验证逻辑存在缺陷,可能导致未授权访问或数据泄露。 ### 影响范围 - **文件**: `kernel/api/storage.go` 和 `kernel/model/publish_access.…

Read more
CVSS 4.9
Go内核路径敏感字符处理漏洞修复方案
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及对路径中敏感字符的处理不当,可能导致安全绕过或信息泄露。具体而言,代码在处理路径时未能正确识别和过滤敏感字符,从而可能引发安全问题。 ### 影响范围 - **受影响文件**:`kernel/util/path.go` - **影响函数**:`IsSensitivePath` 和 `IsSubPath` ### 修复方案 1. **增加敏感字符检查**:在 `IsSen…

Read more
CVSS 4.9
思源笔记 globalCopyFiles 路径遍历泄露敏感文件漏洞
github.com · 2026-07-10

### 漏洞概述 **漏洞名称**: Incomplete IsSensitivePath denylist: globalCopyFiles reads home-dir credential dotfiles (~/.git-credentials, ~/.netrc, ~/.pgpass, ~/.kube/config, ~/.docker/config.json, ~/.gnupg) in…

Read more
CVSS 4.9
Go内核函数路径遍历绕过漏洞修复分析
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及对敏感路径的检查逻辑,具体是在 `kernel/util/path.go` 文件中。漏洞允许攻击者通过构造特定的路径来绕过敏感路径的检查,从而访问或修改敏感文件。 ### 影响范围 - **受影响文件**: `kernel/util/path.go` - **受影响函数**: `IsSensitivePath` 和 `IsSensitivePathNo` - **影响场…

Read more
CVSS 7.5
思源笔记 siyuan-note SQL注入漏洞分析及修复指南
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及在 `siyuan-note` 项目中,对 SQL 查询语句的构建过程中存在潜在的安全问题。具体表现为在构建 SQL 查询时,未对用户输入进行充分的过滤和转义,可能导致 SQL 注入攻击。 ### 影响范围 - **影响模块**:`kernel/api/search.go`、`kernel/model/embedding.go`、`kernel/model/search…

Read more
CVSS 7.5
思源笔记 (Siyuan) SQL注入漏洞 (CVE-2025-58634) 详情及POC
github.com · 2026-07-10

### 漏洞概述 **漏洞名称**: SQL Query in Block Search Exposes Hidden Published Document Content **漏洞描述**: Siyuan的块搜索端点将攻击者控制的`paths[]`值拼接到非SQL搜索模式的SQL谓词中。通过Siyuan的发布服务,未认证的访客被转发到内核,使用读者-角色令牌,可以到达`POST /api/sea…

Read more
Zen Browser URL加载权限绕过漏洞及修复代码分析
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及在 `ZenGlanceManager.js` 和 `ZenViewSplitter.js` 文件中,对 URL 加载权限的检查存在缺陷。具体表现为: 1. 在 `ZenGlanceManager.js` 中,`#isGlanceLoadAllowed(data)` 方法未能正确验证 URL 的加载权限。 2. 在 `ZenViewSplitter.js` 中,`ope…

Read more
CVSS 5.3
账户绑定与重置接口安全修复指南
github.com · 2026-07-10

### 漏洞概述 该网页截图展示了一个关于账户绑定端点的漏洞修复。主要问题在于使用POST请求进行账户绑定时,未对重置响应进行规范化处理,导致潜在的安全风险。 ### 影响范围 - **账户绑定端点**:涉及 `/api/oauth/email/bind` 和 `/api/oauth/wechat/bind` 端点。 - **密码重置端点**:涉及 `/api/oauth/email/reset`…

Read more
Zen浏览器1.21.5b版本安全更新公告
github.com · 2026-07-10

### 漏洞概述 - **漏洞名称**: 未明确具体名称,但涉及多个安全问题和功能修复。 - **发布日期**: 2026-07-02 - **版本**: 1.21.5b ### 影响范围 - **受影响组件**: - 溢出插件(overflowing addons) - macOS 系统对话框(Save 和 Open 面板) - 键盘快捷键(copy, paste, undo, redo) ##…

Read more
CVSS 5.3
CVE-2026-4432: 邮箱/微信绑定接口CSRF漏洞修复
github.com · 2026-07-10

### 漏洞概述 **标题**: The binding of user email addresses has a CSRF vulnerability **描述**: - **摘要**: 邮件和微信账号绑定端点使用GET请求进行状态更改操作。在会话cookie可以跨站发送的部署中,攻击者可以在用户浏览器中触发跨站导航,以绑定攻击者控制的邮箱或OAuth身份。 - **受影响的端点**: - `…

Read more
CVSS 7.7
SSRF防护加固修复细节:验证逻辑、IP过滤及权限提升
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及对未认证和用户级别端点的SSRF(服务器端请求伪造)保护的加固。具体包括: 1. **在获取M3图像URL之前添加ValidateURLWithNoSetting检查**:在`RelayProxyJourneyImage`(未认证端点)中。 2. **在获取视频URL之前添加ValidateURLWithNoSetting检查**:在`VideoProxy`(用户控制端…

Read more
CVSS 7.7
Gogs/Gitea SSRF绕过漏洞:未解析主机名致IP过滤失效
github.com · 2026-07-10

### 漏洞概述 **漏洞名称**: SSRF Protection Bypass via Unresolved Hostname in Notification URLs **漏洞描述**: 默认的SSRF保护配置未对主机名应用IP过滤。当`ApplyFilterForDomain`被禁用时,URL验证检查了域名的allowlist规则,但未解析主机名并验证其IP地址。认证用户可以配置Webho…

Read more
CVSS 7.3
Discourse MFA名称XSS漏洞修复分析
github.com · 2026-07-10

### 漏洞概述 该漏洞涉及在删除确认对话框中转义第二因素名称的问题。具体来说,当用户尝试删除某个第二因素时,如果该因素的名称包含特殊字符,这些字符可能会被错误地渲染为HTML元素,从而导致潜在的安全风险。 ### 影响范围 - **受影响文件**: - `frontend/discourse/app/controllers/preferences/second-factor.js` - `tes…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。