目标: 1000 元 · 已筹: 1325 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
### 漏洞概述 该漏洞涉及WordPress插件Presto Player中的`Shortcodes.php`文件。具体而言,漏洞位于`parseAttributes`函数中,该函数用于解析短代码属性。问题在于,当`$atts['custom_field']`存在时,代码会尝试获取自定义字段的值,但并未正确处理可能的空值情况,导致潜在的安全风险。 ### 影响范围 - **受影响版本**:Pre…
### 漏洞概述 该漏洞涉及 `presto-player` 插件中的 `Shortcodes.php` 文件,具体位于 `4.1.4/inc/Services/Shortcodes.php`。漏洞可能存在于短代码处理逻辑中,导致潜在的安全风险。 ### 影响范围 - **插件名称**: presto-player - **受影响版本**: 4.1.4 - **文件路径**: `4.1.4/inc…
### 漏洞概述 该漏洞涉及WordPress插件Presto Player的`video.php`模板文件。具体漏洞位于`/tags/4.1.4/templates/video.php`文件中,文件大小为2.3 KB。 ### 影响范围 - **插件名称**: Presto Player - **版本**: 4.1.4 - **文件路径**: `/tags/4.1.4/templates/vid…
### 漏洞概述 该网页截图显示了一个名为“quiz-master-next”的WordPress插件的源代码文件 `class-qsm-quiz-api.php`。文件中存在一个潜在的安全漏洞,具体表现为在 `register_rest_route` 函数中,API 路由的权限检查不够严格,可能导致未授权访问。 ### 影响范围 - **插件版本**:quiz-master-next 10.3.…
### 漏洞概述 该漏洞涉及WordPress插件“Quiz Master Next”中的API端点,具体为`/wp-json/qmn/v1/quiz-results/{id}`和`/wp-json/qmn/v1/quiz-questions`。攻击者可以通过构造特定的请求,绕过身份验证,获取敏感信息或执行未授权操作。 ### 影响范围 - **插件名称**: Quiz Master Next -…
### 漏洞概述 该漏洞涉及 `quiz-master-next` 插件中的 `class-qsm-quiz-api.php` 文件。漏洞存在于 `register_rest_route` 函数中,具体是在处理 REST API 请求时,未对用户输入进行充分验证和过滤,导致潜在的安全风险。 ### 影响范围 - **插件版本**:`quiz-master-next` 10.3.5 - **文件路径…
### 漏洞概述 该网页截图显示了一个名为“Quiz Master Next”的WordPress插件的源代码文件。文件中存在一个潜在的安全漏洞,具体表现为在函数 `register_rest_route` 中,API 端点 `/quiz-master-next/v1/quiz_results/{id}` 和 `/quiz-master-next/v1/quiz_questions` 的权限验证逻…
### 漏洞概述 该网页截图显示了一个名为 `class-qsm-quiz-api.php` 的文件,其中包含一个潜在的漏洞。漏洞主要涉及 API 请求中的参数验证和处理逻辑,可能导致未授权访问或数据泄露。 ### 影响范围 - **影响版本**:该漏洞存在于 `quiz-master-next/trunk/php/classes/class-qsm-quiz-api.php` 文件中。 - **…
### 漏洞概述 该网页截图显示了一个名为 `Eszf_Ajax_Handler.php` 的文件,其中包含一个潜在的漏洞。漏洞主要涉及 AJAX 请求处理,具体在 `eszf_filter_product_args_ajax` 和 `eszf_filter_product_result_ajax` 函数中。 ### 影响范围 - **受影响文件**:`Eszf_Ajax_Handler.php`…
### 漏洞概述 该网页截图显示了一个WordPress插件目录中的文件 `client-qckply_data.php`,该文件存在潜在的安全漏洞。具体漏洞类型未明确说明,但根据代码内容推测,可能涉及SQL注入或数据泄露风险。 ### 影响范围 - **受影响插件**:`quick-playground` - **受影响文件**:`tags/1.2/client-qckply_data.php`…
### 漏洞概述 该漏洞涉及WordPress插件目录中的一个文件 `client-qckply_data.php`,位于 `quick-playground/trunk/` 目录下。漏洞类型为安全错误(security bug fix),文件大小为3.0 KB。 ### 影响范围 该漏洞影响使用 `quick-playground` 插件的WordPress网站。具体影响范围取决于插件的使用情况…
### 漏洞概述 该网页截图展示了一个名为 `class-qsm-quiz-api.php` 的文件,其中包含一个潜在的漏洞。漏洞主要涉及 API 请求中的参数验证和数据处理问题。 ### 影响范围 - **API 端点**:`/wp-json/qsm/v1/quiz-results` 和 `/wp-json/qsm/v1/quiz-questions` - **受影响的功能**:获取测验结果和获…
### 漏洞概述 该网页截图显示了一个名为 `sp-client-document-manager` 的 WordPress 插件的源代码文件 `ajax.php`。文件中存在多个安全漏洞,包括目录遍历、未授权访问控制和保存类别漏洞。 ### 影响范围 - **目录遍历**:攻击者可以通过构造特定的请求路径,访问服务器上的任意文件。 - **未授权访问控制**:某些功能模块没有进行适当的权限验证,…
### 漏洞概述 该漏洞存在于 `simple-seo-slideshow/trunk/simplesideshow.php` 文件中,具体涉及 `SimpleSEOslideshowWidget` 类的 `form` 方法。问题在于未对用户输入进行适当的验证和清理,导致可能存在跨站脚本攻击(XSS)的风险。 ### 影响范围 - **受影响版本**:Simple SEO Slideshow 插件…
### 漏洞概述 该网页截图展示了一个名为 `Post.php` 的 PHP 文件,属于 `squirrly-seo` 插件的一部分。文件中存在一个潜在的安全漏洞,具体表现为在处理附件数据时,未对输入进行充分的验证和过滤,可能导致恶意代码注入或数据泄露。 ### 影响范围 - **受影响版本**:12.4.16 及更早版本 - **影响组件**:`squirrly-seo` 插件中的 `Post.…
### 漏洞概述 该漏洞涉及 `squirrly-seo` 插件中的 `Post.php` 文件,具体在 `12.4.17` 版本中。漏洞主要与安全相关,包括: - **安全漏洞**:阻止暴露主 API 令牌在 Live Assistant 前端配置中。 - **安全漏洞**:限制对研究端点的访问。 - **安全漏洞**:验证并验证 JSON-LD 数据为 JSON。 - **安全漏洞**:始终对…
### 漏洞概述 该漏洞涉及 `squirrly-seo` 插件的 `Post.php` 文件,具体在 `12.4.17` 版本中。漏洞主要与安全相关,包括: 1. **安全漏洞**:阻止暴露主 API 令牌在 Live Assistant 前端配置中。 2. **安全漏洞**:限制 `sra_custom` 到允许的端点列表。 3. **安全漏洞**:`savePost` 白名单检查主密钥并验证…
### 漏洞概述 该网页截图显示了一个名为 `PostGridRenderer.php` 的文件,属于 `unlimited-elementor-inner-sections-by-boomdevs` 插件。文件中存在一个潜在的安全漏洞,具体涉及对用户输入的处理不当,可能导致跨站脚本攻击(XSS)或其他安全问题。 ### 影响范围 - **插件名称**: unlimited-elementor-i…
### 漏洞概述 该网页截图显示了一个名为“unlimited-elementor-inner-sections-by-boomdevs”的WordPress插件的源代码文件`PostGridRenderer.php`。文件中存在一个潜在的安全漏洞,具体表现为在渲染帖子卡片时,未对用户输入进行适当的过滤和转义,可能导致跨站脚本攻击(XSS)。 ### 影响范围 - **受影响版本**:该漏洞存在于…
### 漏洞概述 该网页截图显示了一个WordPress插件“wp-applicantstack-jobs-display”的代码文件,具体路径为 `trunk/wp-applicantstack-jobs-display.php`。文件中存在一个潜在的安全漏洞,涉及对API请求的处理。 ### 影响范围 - **插件版本**:1.1.3 - **受影响的功能**:插件通过API获取并显示工作列表…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。