目标: 1000 元,已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# ToTolink A3300r 命令注入漏洞 (CVE-2026-31168) ## 漏洞概述 在 ToTolink A3300r 路由器的 `catcgi.cgi` 文件中存在命令注入漏洞。攻击者可以通过精心构造的 HTTP 请求,利用 `recHour` 参数注入恶意命令。 ## 影响范围 * **厂商**: ToTolink * **产品**: A3300r * **受影响版本**: V…
### 漏洞概述 该网页截图展示了一个关于 `GrpcStatusDetailsHeader` 反序列化的问题,具体为从 `GrpcStatusDetailsHeader` 中检索 `GrpcRetryDelay` 的功能。此问题被标记为 #5980,并在 GitHub 上进行了讨论和修复。 ### 影响范围 - **影响组件**:`GrpcStatusDetailsHeader` 和 `Grpc…
# 漏洞概述 - **漏洞名称**: Unbounded `grpc-status-details-bin` parsing in OTLP/gRPC retry handling - **漏洞编号**: CVE-2024-40891 - **严重程度**: 中等 (CVSS v3 base metrics: 5.3 / 10) - **漏洞描述**: 在使用 OpenTelemetry Prot…
# ToTolink A3300r 命令注入漏洞总结 ## 漏洞概述 * **漏洞名称**: ToTolink A3300r 命令注入漏洞 * **CVE编号**: CVE-2026-31172 * **漏洞类型**: 命令注入 (Command Injection) * **漏洞成因**: 在 `cstecgi.cgi` 文件中,`sub_4100F0` 函数从请求包中获取 `user` 变量的…
# ToTolink A3300R 命令注入漏洞 (CVE-2026-31165) ## 漏洞概述 在 ToTolink A3300R 路由器的 `cste cgi` 模块中发现了一个命令注入漏洞。攻击者可以通过精心构造的 HTTP 请求触发该漏洞。 * **漏洞类型**:命令注入 (Command Injection) * **触发点**:`pppoeServiceName` 参数。 * **原…
# ToTolink A3300r 漏洞总结 ## 漏洞概述 - **漏洞类型**:命令注入(Command Injection) - **CVE编号**:CVE-2026-31175 - **描述**:在 `cstextgi.cgi` 中发现命令注入漏洞,攻击者可通过精心构造的包触发。 - **受影响函数**:`sub_410F00` 函数定义变量 `stunEnable`,从请求包中获取其值,…
# ToTolink A3300R 命令注入漏洞总结 ## 漏洞概述 * **漏洞类型**:命令注入 (Command Injection) * **漏洞位置**:`extcwg1.cgi` 中的 `sub_422380` 函数。 * **原理**:该函数从请求包中获取 `pppoeMtu` 变量的值,通过 `sprintf` 拼接后传递给 `CteSystem` 函数,最终调用 `exec` 执…
# ToTolink A3300r 命令注入漏洞 (CVE-2026-31171) ## 漏洞概述 * **漏洞类型**:命令注入 (Command Injection) * **受影响文件**:`cstcgi.cgi` * **漏洞原理**:`sub_4100F0` 函数从请求包中获取 `url` 变量的值,通过 `sprintf` 拼接后传递给 `CteSystem` 函数。`CteSyste…
# ToTolink A3300r 命令注入漏洞总结 ## 漏洞概述 * **漏洞名称**: ToTolink A3300r 命令注入漏洞 * **CVE编号**: CVE-2026-31174 * **漏洞类型**: 命令注入 (Command Injection) * **漏洞描述**: 在 `cste cgi` 文件中存在命令注入漏洞。`sub_4100F0` 函数从请求包中获取 `info…
# ToTolink A3300R 命令注入漏洞总结 ## 漏洞概述 * **漏洞名称**: ToTolink A3300R 命令注入 (CVE-2026-31160) * **漏洞类型**: 命令注入攻击 (Command Injection) * **受影响产品**: ToTolink A3300R * **受影响版本**: V17.0.0cu.S57_B20221024 * **漏洞描述**…
# ToTOLink A3300R 命令注入漏洞总结 ## 漏洞概述 * **漏洞类型**:命令注入 (Command Injection) * **CVE 编号**:CVE-2026-31181 * **漏洞描述**:在 `etc/cgi.cgi` 文件中存在命令注入漏洞。攻击者可以通过精心构造的包触发漏洞。 * **技术细节**:`sub_4100FD` 函数定义了变量 `stunServer…
# ToTolink A3300r 命令注入漏洞总结 ## 漏洞概述 * **漏洞类型**:命令注入 (Command Injection) * **CVE 编号**:CVE-2026-31178 * **受影响产品**:ToTolink A3300r * **受影响版本**:V17.0.0cu.557_B20221024 * **漏洞详情**:在 `extcgi.cgi` 中发现命令注入漏洞。攻…
# ToTolink A3300r 命令注入漏洞总结 ## 漏洞概述 * **漏洞名称**: ToTolink A3300r 命令注入漏洞 * **CVE编号**: CVE-2026-31177 * **漏洞类型**: 命令注入 (Command Injection) * **受影响产品**: ToTolink A3300r * **受影响版本**: V17.0.0c57_B20221024 * …
# ToTolink A3300r 命令注入漏洞总结 ## 漏洞概述 * **漏洞名称**:ToTolink A3300r 命令注入漏洞 * **CVE编号**:CVE-2026-31176 * **漏洞类型**:命令注入 (Command Injection) * **受影响组件**:`cstecgi.cgi` * **漏洞原理**:`sub_410F00` 函数从请求包中获取 `stun_us…
# ToTolink A3300R 命令注入漏洞总结 ## 漏洞概述 * **漏洞名称**: ToTolink A3300R 命令注入漏洞 (CVE-2026-31179) * **漏洞类型**: 命令注入 (Command Injection) * **受影响产品**: ToTolink A3300R * **受影响版本**: V17.0.0.c57_B20221024 * **漏洞描述**: …
# ToTolink A3300R 命令注入漏洞总结 ## 漏洞概述 * **漏洞类型**:命令注入 (Command Injection) * **CVE 编号**:CVE-2026-31159 * **受影响文件**:`cstecgi.cgi` * **漏洞原理**:攻击者可以通过精心构造的 HTTP 请求,在 `cstecgi.cgi` 中触发命令注入。该漏洞涉及函数 `sub_40E920…
# 漏洞总结:Kofax Capture 未授权文件读写及 SMB 强制认证漏洞 ## 漏洞概述 * **漏洞标题**:Tungsten Automation - Kofax Capture Unauthenticated File Read/Write and SMB coercion via .NET HTTP Remoting * **CVE ID**:CVE-2026-23751 * **…
# Unisys WebPerfect Image Suite 漏洞总结 ## 漏洞 1:.NET Remoting 远程代码执行 - **CVE ID**: CVE-2026-39906 - **披露日期**: 2026年4月23日 - **影响版本**: 3.0.3960.22810, 3.0.3960.22604 - **漏洞概述**: 利用.NET Remoting技术,通过修改Remot…
# Jzhicms v2.5.4 SQL注入漏洞总结 ## 漏洞概述 Jzhicms v2.5.4 后台产品编辑模块存在 SQL 注入漏洞。攻击者通过修改 `body` 参数中的图片链接,利用 `stripslashes` 函数去除反斜杠的特性,构造恶意 SQL 语句,最终导致数据库信息泄露。 ## 影响范围 * **受影响版本**:Jzhicms v2.5.4 * **受影响模块**:后台产品编…
# DOMPurify 安全修复总结 ## 漏洞概述 DOMPurify 库存在多个安全漏洞,主要涉及: - **标签/属性注入**:攻击者可能通过构造恶意输入绕过过滤机制 - **配置污染**:`ADD_TAGS` 和 `ADD_ATTR` 配置项可能被利用导致跨调用泄漏 - **属性覆盖**:`FORBID_ATTR` 优先级问题可能导致安全属性被覆盖 ## 影响范围 - 所有使用 DOMPu…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。