目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

安全情报专区 27403+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
Go net/textproto 漏洞注入误导性内容 (CVE-2026-42507)
pkg.go.dev · 2026-06-03

### 漏洞概述 - **漏洞编号**: GO-2026-5039 - **影响包**: `net/textproto` - **发布日期**: 2026年6月2日 - **描述**: 在返回错误时,`net/textproto` 包中的函数会将其输入作为错误的一部分。这可能导致攻击者向打印或记录的错误中注入误导性内容。 ### 影响范围 - **受影响路径**: `net/textproto` …

Read more
Go crypto/x509 VerifyHostname 高CPU漏洞分析
go.dev · 2026-06-03

### 漏洞概述 - **漏洞名称**: crypto/x509: high-CPU VerifyHostname behavior via repeated hostname splitting #79694 - **漏洞描述**: 在 `crypto/x509` 包中,`VerifyHostname` 函数在处理包含多个 DNS SAN 条目的证书时,会对每个条目调用 `matchHostna…

Read more
Go crypto/x509 主机名验证拒绝服务漏洞 CVE-2025-27145
go.dev · 2026-06-03

### 漏洞概述 - **漏洞名称**: crypto/x509: split candidate hostname only once - **漏洞描述**: 在验证主机名时,`VerifyHostname` 函数在循环中多次调用 `matchHostnames`,导致对每个 DNS Subject Alternative Name (SAN) 条目执行重复的字符串分割操作。这引发了性能问题,尤…

Read more
Go crypto/x509 拒绝服务漏洞 (CVE-2026-27145)
pkg.go.dev · 2026-06-03

### 漏洞概述 - **漏洞编号**: GO-2026-5037 - **影响包**: crypto/x509 - **发布日期**: 2026年6月2日 - **描述**: `crypto/x509.Certificate.VerifyHostname` 在循环中调用 `matchHostnames` 遍历所有 DNS Subject Alternative Name (SAN) 条目。这导致…

Read more
精品
CVSS 7.1
IDOR漏洞:任意用户覆盖API密钥及修复方案
github.com · 2026-06-03

### 漏洞概述 **IDOR in API Keys Management allows any authenticated user to overwrite other users' API keys** - **漏洞类型**: 不安全的直接对象引用(IDOR) - **影响**: 任何已认证的用户可以通过注入 `userId` 参数来覆盖其他用户的 API 密钥(如 OpenAI、Anth…

Read more
CVSS 6.3
Hunyuan3D任意文件读取与SSRF漏洞及修复
github.com · 2026-06-03

### 漏洞概述 在Hunyuan3D集成中存在两个安全漏洞: 1. **任意文件读取**:通过`generate_hunyuan3d_model`函数,本地文件路径作为`input_image_url`参数传递,使用`open()`打开,没有进行任何验证,允许Blender进程读取任何可访问的文件,并发送给配置的API端点。 2. **SSRF(服务器端请求伪造)**:通过`import_gen…

Read more
CVSS 6.3
blender-mcp Hunyuan3D SSRF漏洞分析
github.com · 2026-06-03

### 漏洞概述 在 `blender-mcp` 服务器中存在一个服务器端请求伪造(SSRF)漏洞。根本原因是 `import_generated_asset_hunyuan` 工具中的 `zip_file_url` 参数被传递给 Python 的 `requests.get()` 函数,仅进行了最小化的 URL 方案检查(`https?://`),允许 Blender 进程向任意目的地发送 HT…

Read more
CVSS 4.3
Blender-MCP Server任意文件读取漏洞分析
github.com · 2026-06-03

### 漏洞概述 在Blender-MCP Server中存在一个任意文件读取漏洞。该漏洞的根本原因是使用了Python的`open()`函数来读取用户控制的文件路径,而没有进行任何验证、路径限制或文件类型检查。`input_image_url`参数通过MCP Server(server.py)传递给Blender插件(addon.py),并通过TCP套接字连接。当值不以`http://`或`ht…

Read more
CVSS 4.3
Apache Tomcat CVE-2024-56320 DoS漏洞及POC
www.wordfence.com · 2026-06-03

# 漏洞概述 该漏洞存在于 `com.sun.org.apache.xerces.internal.impl.dv.util.Base64` 类中,攻击者可以通过构造恶意输入触发 `ArrayIndexOutOfBoundsException` 异常,导致拒绝服务(DoS)。 # 影响范围 - **受影响版本**:Apache Tomcat 9.0.0.M1 到 9.0.97 - **修复版本**…

Read more
精品
CVSS 9.0
IBM WebSphere 远程代码执行漏洞 (CVE-2026-9311/9330) 安全公告
www.ibm.com · 2026-06-03

### 漏洞概述 IBM WebSphere Application Server 存在远程代码执行漏洞(CVE-2026-9311, CVE-2026-9330)。 ### 影响范围 - **CVE-2026-9311**: IBM WebSphere Application Server 易受远程代码执行影响,原因是绕过安全控制。 - **CVE-2026-9330**: IBM WebSph…

Read more
精品
CVSS 8.0
RHSA-2026:21516: Cockpit 任意命令执行漏洞
access.redhat.com · 2026-06-03

### 漏洞概述 - **漏洞名称**: RHSA-2026:21516 - Security Advisory - **发布日期**: 2026-05-27 - **更新日期**: 2026-05-27 - **重要性**: Important - **CVSS评分**: 未提供具体数值,但标记为“Important” ### 影响范围 - **受影响系统**: Red Hat Enterpri…

Read more
精品
CVSS 9.8
IBM Aspera 多漏洞公告:认证绕过/任意文件读取/RCE
www.ibm.com · 2026-06-03

### 漏洞概述 IBM Aspera High-Speed Transfer Server 和 IBM Aspera High-Speed Transfer Endpoint 存在多个漏洞,包括认证绕过、任意文件读取、缓冲区溢出和拒绝服务等。 ### 影响范围 - **IBM Aspera High-Speed Transfer Endpoint 4.4.7 Fix Pack 2** - **I…

Read more
CVSS 7.1
Langflow OSS未授权文件上传漏洞(CVE-2026-7528)安全公告
www.ibm.com · 2026-06-03

# IBM Security Bulletin: Unauthenticated File Upload Vulnerability Allows Disk Space Exhaustion and Path Disclosure in Langflow OSS ## 漏洞概述 - **CVEID**: CVE-2026-7528 - **描述**: Langflow OSS 存在未授权的文件上传…

Read more
IBM Power System BMC未授权DoS漏洞(CVE-2026-7254)安全公告
www.ibm.com · 2026-06-03

# IBM Power System 安全公告:CVE-2026-7254 ## 漏洞概述 - **CVEID**: CVE-2026-7254 - **描述**: BMC 的 HTTPS 服务易受未授权网络用户的攻击,可能导致拒绝服务。 - **CVSS 来源**: IBM - **CVSS 基础分数**: 5.3 - **CVSS 向量**: (CVSS:3.1/AV:N/AC:L/PR:N/…

Read more
IBM Aspera HSTS for CP4I 身份验证绕过漏洞(CVE-2026-7876)安全公告
www.ibm.com · 2026-06-03

# IBM Security Bulletin: Authentication bypass vulnerability found in Aspera High-Speed Transfer Server for Cloud Pak for Integration (CP4I) ## 漏洞概述 IBM Aspera High-Speed Transfer Server for Cloud Pak…

Read more
CVSS 6.5
IBM i ILE编译器未控制递归致拒绝服务漏洞(CVE-2026-6936)
www.ibm.com · 2026-06-03

### 漏洞概述 IBM i 受到一个拒绝服务漏洞的影响(CVE-2026-6936)。该漏洞是由于在集成语言环境(ILE)编译器中存在未控制的递归导致的。经过身份验证的攻击者可以通过编译包含特定语句组合的特殊构造源代码来利用此漏洞。 ### 影响范围 - **受影响的版本**: - IBM i 7.6 - IBM i 7.5 - IBM i 7.4 - IBM i 7.3 ### 修复方案 - …

Read more
CVSS 8.4
IBM Operations Analytics Log Analysis 默认凭证认证绕过漏洞
www.ibm.com · 2026-06-03

### 漏洞概述 IBM Operations Analytics - Log Analysis 存在信息泄露漏洞,原因是默认密码在安装后未被强制更改。攻击者可以利用此漏洞绕过认证。 ### 影响范围 - **CVE ID**: CVE-2026-7365 - **CWE ID**: CWE-139: Use of Default Credentials - **CVSS 基础评分**: 8.4 …

Read more
CVSS 5.5
IBM Db2 拒绝服务漏洞 CVE-2026-6053 漏洞公告
www.ibm.com · 2026-06-03

### 漏洞概述 IBM Db2 存在一个拒绝服务漏洞(CVE-2026-6053),当使用特制查询在范围分区表上运行时,可能导致服务不可用。 ### 影响范围 - **受影响产品**:IBM Db2 - **受影响版本**: - 11.5.0 - 11.5.9 - 12.1.0 - 12.1.4 - **适用平台**:所有平台(包括早期版本如10.1、9.7等,但这些版本已不再支持) ### 修…

Read more
CVSS 5.5
IBM Db2 拒绝服务漏洞 (CVE-2026-6051) 公告
www.ibm.com · 2026-06-03

### 漏洞概述 - **漏洞名称**: IBM Db2® 存在拒绝服务漏洞(CVE-2026-6051) - **描述**: IBM Db2® 在执行带有小语句堆栈的特制查询时,存在拒绝服务漏洞。 - **CVSS评分**: 5.5 - **CVSS向量**: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H ### 影响范围 - **受影响产品**: I…

Read more
CVSS 6.5
Red Hat OpenShift 4.14 远程代码执行漏洞 (CVE-2024-21632) 分析与修复
access.redhat.com · 2026-06-03

### 漏洞概述 - **漏洞名称**: CVE-2024-21632 - **漏洞类型**: 远程代码执行(RCE) - **漏洞描述**: 在 Red Hat OpenShift Container Platform 4.14 中,由于对 `oc adm release extract` 命令的输入验证不足,攻击者可以通过构造恶意输入来执行任意代码。 ### 影响范围 - **受影响产品**:…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。