目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 32105+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
Gitea v1.25.5 权限检查绕过及路径编码绕过漏洞
github.com · 2026-07-04

### 漏洞概述 在Gitea v1.25.5版本中,存在多个安全相关的问题,主要包括: 1. **工具链更新**:将Go工具链更新至1.25.6版本。 2. **路径编码绕过**:防止通过反斜杠编码路径进行重定向绕过。 3. **权限检查问题**:修复了多个权限检查相关的漏洞,包括: - 获取发布草稿权限检查 - 用户更改其他用户主要邮箱的bug - OAuth2授权码过期和重用处理 - 仓库创…

Read more
Gitea 1.25.5 多漏洞安全公告 (CVE-2026-25779等)
blog.gitea.com · 2026-07-04

### 漏洞概述 Gitea 1.25.5 版本发布,包含多个安全修复和稳定性改进。以下是关键漏洞的详细信息: 1. **CVE-2026-25779**: 防止通过反向斜杠编码路径的重定向绕过。 2. **CVE-2026-27660**: 修复发布草稿权限检查。 3. **CVE-2026-27657**: 修复用户可更改他人主要电子邮件地址的问题。 4. **CVE-2026-26232**…

Read more
Gitea组织权限API可见性检查缺陷修复
github.com · 2026-07-04

### 漏洞概述 - **标题**: Fix org permission API visibility checks for hidden members and private orgs (#36798) #36841 - **描述**: 修复了 `HasOrgOrUserVisible` 函数中错误的参数,该函数用于检查组织或用户是否可见。 ### 影响范围 - **影响**: 该漏洞可能导…

Read more
CVSS 4.3
Gitea CVE-2025-68941修复不完整导致权限绕过
github.com · 2026-07-04

### 漏洞概述 - **漏洞名称**:Incomplete CVE-2025-68941 fix: /user/orgs missing checkTokenPublicOnly + switch-case logic flaw - **漏洞描述**:在 `CVE-2025-68941` 修复中,存在两个相关问题: 1. `/user/orgs` 路由缺少 `checkTokenPublicOn…

Read more
CVSS 4.3
Gitea公共令牌越权访问私有资源漏洞修复
github.com · 2026-07-04

### 漏洞概述 该漏洞涉及在API查询和仓库访问检查中,公共令牌(public-only tokens)的过滤不统一。具体表现为: - 公共令牌可以访问私有结果,如某些列表搜索端点。 - 通过ID基查找访问仓库数据。 - 某些认证自路由未能一致地应用公共令牌限制。 ### 影响范围 - **API端点**:某些端点返回私有资源而非过滤它们。 - **认证自路由**:某些认证自路由完全跳过了公共令…

Read more
Gitea 模板处理路径遍历漏洞修复方案
github.com · 2026-07-04

### 漏洞概述 该漏洞涉及在模板处理过程中,路径解析不当可能导致安全漏洞。具体表现为在处理 `.gitea/template` 规则时,未能正确限制路径操作,可能导致非预期路径的读写操作,从而引发安全风险。 ### 影响范围 - **影响模块**:`services/repository/generate.go`、`services/repository/generate_test.go`、`m…

Read more
Gitea OAuth2 PKCE s256代码校验缺陷修复
github.com · 2026-07-04

### 漏洞概述 - **漏洞标题**:Fix oauth2 s256 (#36462) #36477 - **漏洞编号**:#36462, #36477 - **漏洞描述**:修复了oauth2 s256相关的问题。 ### 影响范围 - **影响版本**:go-gitea/gitea - **影响分支**:go-gitea/release/v1.25 ### 修复方案 - **修复提交**: …

Read more
精品
CVSS 9.6
Gitea v1.26.2 多个安全漏洞修复汇总
github.com · 2026-07-04

### 漏洞概述 在gitea v1.26.2版本中,存在多个安全漏洞,主要涉及权限管理、API查询、附件下载、LFS token访问、PKCE验证、token刷新、内容安全策略等方面。 ### 影响范围 - **权限管理**:读取权限、附件下载权限、LFS token访问权限等。 - **API查询**:API查询和仓库访问检查。 - **PKCE验证**:PKCE验证和token刷新保护。 -…

Read more
精品
CVSS 9.6
Gitea 1.26.2 多个CVE安全修复公告
blog.gitea.com · 2026-07-04

### 漏洞概述 Gitea 1.26.2 版本发布,包含多个安全修复和稳定性改进。主要漏洞包括: 1. **CVE-2026-27783**:修复读取权限问题。 2. **CVE-2026-25714**:统一 API 查询和仓库访问检查中的公共令牌过滤。 3. **CVE-2026-20706**:添加缺失的令牌范围检查。 4. **CVE-2026-28744**:修复智能 HTTP 请求范…

Read more
CVSS 8.5
Gitea CVE-2024-26231 授权绕过漏洞及POC
github.com · 2026-07-04

### 漏洞概述 **标题**: Authorization Bypass via "Allow edits from maintainers" allows unauthorized commits to any readable repo **描述**: 任何具有读取权限的低特权用户可以将任意提交直接推送到该仓库,绕过所有写入访问检查。 **漏洞详情**: - Gitea的“允许维护者编辑”P…

Read more
CVSS 8.5
Gitea 维护者编辑权限绕过修复
github.com · 2026-07-04

### 漏洞概述 - **漏洞标题**: Fix allow maintainer edit permission check (#37479) #37484 - **漏洞编号**: #37479 - **修复状态**: 已合并(Merged) - **修复时间**: Apr 30 ### 影响范围 - **影响版本**: 1.26.2 - **影响项目**: go-gitea/gitea - *…

Read more
CVSS 5.4
CVE-2026-45488: Microsoft Edge UI Spoofing Vulnerability Advisory
msrc.microsoft.com · 2026-07-04

### 漏洞概述 - **漏洞名称**: Microsoft Edge (Chromium-based) Spoofing Vulnerability - **CVE编号**: CVE-2026-45488 - **发布日期**: 2026年7月3日 - **CVSS评分**: 5.4/47 - **漏洞类型**: 用户界面/UI误表示关键信息 ### 影响范围 - **影响**: 欺骗 - **…

Read more
Gitea PR分支权限验证绕过修复分析
github.com · 2026-07-04

### 漏洞概述 该漏洞涉及在检查用户是否可以更新拉取请求分支或执行变基操作时,未能正确验证用户权限。具体来说,当启用“允许维护者编辑”功能时,维护者应继承拉取请求作者的权限,但当前实现存在缺陷,导致权限验证不准确。 ### 影响范围 - **影响版本**:该漏洞影响的是 `go-gitea/gitea` 项目中的特定版本。 - **影响功能**:主要影响拉取请求分支的更新和变基操作。 - **潜…

Read more
Gitea fork同步越权漏洞(CVE-2025-24451)及修复
github.com · 2026-07-04

### 漏洞概述 **标题**: Fork Synchronization Continues After Parent Repository Changes from Public to Private **描述**: - **漏洞ID**: GHSA-wf9r3h7-7x5v - **严重程度**: High - **CVE ID**: CVE-2025-24451 - **影响版本**: 1…

Read more
CVSS 8.1
Java Base64 解码拒绝服务漏洞分析
msrc.microsoft.com · 2026-07-04

# 漏洞概述 该漏洞存在于 `com.sun.org.apache.xerces.internal.impl.dv.util.Base64` 类中,该类用于处理 Base64 编码和解码。攻击者可以通过构造恶意的 Base64 编码数据,触发 `java.lang.ArrayIndexOutOfBoundsException` 异常,导致应用程序崩溃或拒绝服务。 # 影响范围 - 使用 `com.…

Read more
CVSS 8.3
华为云Stack管理面SQL注入漏洞及POC
msrc.microsoft.com · 2026-07-04

### 漏洞概述 - **漏洞名称**: 华为云Stack 8.0.0 管理面 SQL注入漏洞 - **漏洞类型**: SQL注入 - **漏洞描述**: 华为云Stack 8.0.0 管理面存在SQL注入漏洞,攻击者可以通过构造恶意请求执行任意SQL命令,从而获取敏感信息或控制服务器。 ### 影响范围 - **受影响产品**: 华为云Stack 8.0.0 - **受影响组件**: 管理面 #…

Read more
CVSS 7.1
Microsoft Edge Android信息泄露漏洞(CVE-2026-58297)
msrc.microsoft.com · 2026-07-04

### 漏洞概述 - **漏洞名称**: Microsoft Edge for Android Information Disclosure Vulnerability - **CVE编号**: CVE-2026-58297 - **发布日期**: 2026年7月3日 - **CVSS评分**: 3.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:A/N/E:U/RL:O/RC:…

Read more
精品
CVSS 9.6
Gitea 修复 SSRF:完善私有/保留 IP 地址过滤逻辑
github.com · 2026-07-04

### 漏洞概述 - **漏洞标题**: fix(hostmatcher): block reserved IP ranges from external/private filters (#38039) - **漏洞编号**: #38059 - **状态**: 已合并 - **提交者**: bircnl - **合并时间**: 3周前 ### 影响范围 - **影响组件**: Go's net.…

Read more
精品
CVSS 9.6
Gitea SSRF漏洞分析(CVE-2026-22874)
github.com · 2026-07-04

### 漏洞概述 **标题**: Incomplete SSRF Protection in Webhook and Migration Allow-list Default Filter **CVE ID**: CVE-2026-22874 **严重程度**: Critical (9.6 / 10) **影响版本**: <= 1.26.2 **修复版本**: 1.26.3 **描述**: Git…

Read more
精品
CVSS 9.6
Gitea hostmaker组件私有列表错误修复
github.com · 2026-07-04

### 漏洞概述 - **漏洞标题**: fix(hostmaker): patch incorrect private list (#38170) #38173 - **漏洞编号**: #38170, #38173 - **修复状态**: 已合并(Merged) - **修复时间**: 2周前 ### 影响范围 - **影响项目**: go-gitea/gitea - **影响版本**: v1.…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。