目标: 1000 元 · 已筹: 1336 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
### 漏洞概述 - **漏洞编号**:CVE-2026-55957 - **漏洞描述**:Apache Tomcat 中的 JNDIRealm 和 GSSAPI 认证绑定存在认证绕过漏洞。如果为默认 servlet 指定了安全约束,则作为约束一部分配置的任何方法省略都将被忽略。 - **严重程度**:重要 ### 影响范围 - **受影响版本**: - Apache Tomcat 11.0.0-…
### 漏洞概述 - **漏洞名称**: CVE-2026-54475 - **漏洞描述**: Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ 存在临时目的地所有权接管漏洞。 - **严重程度**: 重要 ### 影响范围 - **受影响版本**: - Apache ActiveMQ Broker (org.apache.a…
### 漏洞概述 - **CVE编号**: CVE-2026-52760 - **漏洞类型**: 存储型跨站脚本(Stored XSS) - **描述**: Apache ActiveMQ 和 Apache ActiveMQ Web Console 存在一个存储型跨站脚本漏洞。该漏洞允许经过身份验证的生产者发送包含恶意 JavaScript 的消息,当管理员在 Web 控制台中浏览队列时,恶意代码…
### 漏洞概述 - **CVE编号**: CVE-2026-49432 - **漏洞名称**: Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ Stomp: STOMP negative content-length enables denial of service - **严重程度**: 重要 - **描述**: Apache Ac…
### 漏洞概述 - **CVE编号**: CVE-2026-49434 - **漏洞类型**: Improper Input Validation vulnerability - **描述**: 在Apache ActiveMQ Broker中,攻击者可以通过发布或修改LDAP中的条目来实例化被拒绝的传输,从而获取攻击者URL并启动第二个BrokerService。 ### 影响范围 - **受…
### 漏洞概述 - **漏洞名称**: CVE-2026-53917 - **漏洞类型**: 无界内存分配(Unbounded memory allocation) - **漏洞描述**: 在Apache ActiveMQ中,通过发送一个带有大编码大小值的OpenWire消息,可以导致Broker出现OOM(Out of Memory)并崩溃。OpenWire消息属性映射在没有大小验证的情况下被…
### 漏洞概述 - **CVE编号**: CVE-2026-50750 - **漏洞类型**: 拒绝服务(DoS)漏洞,具体为内存溢出(OOM) - **描述**: 在Apache ActiveMQ Broker中,未认证的攻击者可以通过发送重复的BrokerInfo命令而不发送ConnectionInfo,导致Broker崩溃并产生OOM。 ### 影响范围 - **受影响版本**: - Ap…
### 漏洞概述 **CVE-2026-50734**: Apache ActiveMQ Client, Apache ActiveMQ, Apache ActiveMQ All: 预认证OpenWire内存分配DoS(拒绝服务)漏洞。 ### 影响范围 - **Apache ActiveMQ Client (org.apache.activemq:activemq-client)**: 版本低于…
### 漏洞概述 - **漏洞名称**: CVE-2026-53404 Apache Tomcat - Bad ornext processing in RewriteValve - **严重程度**: 低 - **描述**: 如果请求匹配了OR链中的第一个条件,后续的non-OR条件将被跳过,导致重写成功。 ### 影响范围 - **受影响版本**: - Apache Tomcat 11.0.0…
### 漏洞概述 - **CVE编号**: CVE-2026-49877 - **漏洞名称**: Apache ActiveMQ: Authenticated web users retain admin access by default in the Web Console - **严重程度**: 重要 - **描述**: Apache ActiveMQ 中存在一个不正确的授权漏洞。默认情况下…
# 漏洞概述 ## 漏洞名称 Apache ActiveMQ 5.x 远程代码执行漏洞 ## 漏洞描述 Apache ActiveMQ 5.x 版本存在远程代码执行漏洞。攻击者可以通过构造恶意请求,利用该漏洞在目标服务器上执行任意代码。 ## 影响范围 - Apache ActiveMQ 5.x 版本 ## 修复方案 - 升级到最新版本的 Apache ActiveMQ。 - 如果无法立即升级,建…
### 漏洞概述 - **漏洞名称**: CVE-2026-50229 Apache Tomcat - XXS in number guess example - **严重程度**: 低 - **描述**: 由于通配符属性映射在某些属性中导致,这些属性本应是内部使用的,但被暴露给客户端,允许进行XXS攻击。 ### 影响范围 - **受影响版本**: - Apache Tomcat 11.0.0-…
### 漏洞概述 在 `HTTP::Session` 模块的 0.54 版本中,存在一个安全漏洞。该漏洞涉及 session ID 的生成方式,从使用 `MD5` 和 `SHA1` 改为使用 `Crypt::URandom` 生成随机字节,并通过 `SHA1` 进行哈希处理。尽管输出格式保持不变,但新的实现方式提高了安全性。 ### 影响范围 - **受影响版本**:`HTTP::Session`…
### 漏洞概述 - **CVE编号**: CVE-2025-23351 - **描述**: NVIDIA Connect 和 BlueField 在命令接口中存在一个漏洞,本地用户通过虚拟函数(VF)访问可能通过精心构造的输入导致越界写入。成功利用此漏洞可能导致设备上的任意代码执行。 ### 影响范围 - **受影响产品**: NVIDIA Connect 和 BlueField - **CVS…
### 漏洞概述 - **CVE编号**: CVE-2023-40477 - **描述**: RARLAB WinRAR Recovery Volume 存在数组索引远程代码执行漏洞。该漏洞允许远程攻击者在受影响的 RARLAB WinRAR 安装上执行任意代码。用户交互是必需的,因为目标必须访问恶意页面或打开恶意文件。 - **具体缺陷**: 问题存在于恢复卷的处理过程中,由于对用户提供的数据缺…
### 漏洞概述 - **CVE编号**: CVE-2026-24244 - **描述**: NVIDIA Megatron Bridge for Linux 存在一个漏洞,攻击者可以利用该漏洞反序列化不受信任的数据。成功利用此漏洞可能导致代码执行、权限提升、数据篡改和信息泄露。 ### 影响范围 - **受影响产品**: NVIDIA Megatron Bridge for Linux - **…
### 漏洞概述 - **CVE编号**: CVE-2026-24240 - **描述**: NVIDIA Megatron Bridge for Linux 存在一个漏洞,攻击者可以利用该漏洞反序列化不受信任的数据。成功利用此漏洞可能导致代码执行、权限提升、数据篡改和信息泄露。 - **CVSS 3.x 评分**: 7.8 HIGH - **向量**: CVSS:3.1/AV:L/AC:L/PR…
### 漏洞概述 - **CVE编号**: CVE-2026-24243 - **描述**: NVIDIA Megatron Bridge for Linux 存在一个漏洞,攻击者可能利用该漏洞反序列化不受信任的数据。成功利用此漏洞可能导致代码执行、权限提升、数据篡改和信息泄露。 - **CVSS 3.x 评分**: 7.8 HIGH - **向量**: CVSS:3.1/AV:L/AC:L/PR…
### 漏洞概述 - **CVE编号**: CVE-2026-24242 - **描述**: NVIDIA Megatron Bridge for Linux 存在一个漏洞,攻击者可以利用该漏洞进行服务器端请求伪造(SSRF)。成功利用此漏洞可能导致信息泄露。 - **CVSS评分**: - **NIST评分**: 未提供 - **CNA评分**: 7.8(高危) - **向量**: CVSS:3…
### 漏洞概述 - **CVE编号**: CVE-2026-24264 - **描述**: NVIDIA Triton Inference Server for Linux 存在一个漏洞,攻击者可以通过处理高度压缩的数据导致不当处理,成功利用此漏洞可能导致拒绝服务(DoS)。 - **CVSS 3.x 评分**: - **NIST**: 基础评分未提供 - **CNA (NVIDIA Corpo…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。