目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 31343+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
CVSS 5.3
WhatsOrder 插件未认证敏感信息暴露漏洞 (CVE-2026-9612)
www.wordfence.com · 2026-07-02

### 漏洞概述 - **漏洞名称**: WhatsOrder <= 1.0.1 - Unauthenticated Sensitive Information Exposure via Predictable Invoice File URLs - **CVE编号**: CVE-2026-9612 - **CVSS评分**: 5.3 (Medium) - **发布日期**: June 23, 2…

Read more
CVSS 5.3
Devs Accounting 插件未授权账户删除漏洞(CVE-2026-9172)
www.wordfence.com · 2026-07-02

### 漏洞概述 - **漏洞名称**: Devs Accounting = 1.2.0 - Missing Authorization to Unauthenticated Sensitive Information Exposure via 'id' Parameter - **CVE ID**: CVE-2026-9175 - **CVSS评分**: 5.3 - **研究人员**: jama…

Read more
精品
CVSS 9.8
WordPress SignUp & Signln插件未授权权限提升导致账户接管
www.wordfence.com · 2026-07-02

### 漏洞概述 - **漏洞名称**: SignUp & Signln <= 1.0.0 - Unauthenticated Privilege Escalation via Weak Password Reset Validation via 'reset_activation_code' Leading to Account Takeover - **CVE编号**: CVE-2026-12…

Read more
精品
CVSS 8.3
GeoVision GeoWebPlayer栈缓冲区溢出漏洞(CVE-2026-57273至57278)及POC分析
talosintelligence.com · 2026-07-02

### 漏洞概述 GeoVision GeoWebPlayer WebSocket Server 的 connectInfo 处理程序存在多个栈缓冲区溢出漏洞。攻击者可以通过构造恶意的 WebSocket 消息触发这些漏洞,导致任意代码执行。 ### 影响范围 - **受影响版本**:GeoWebPlayer (version(s): 1.1.1.0) - **产品URL**:GeoWebPlay…

Read more
精品
CVSS 8.3
GeoVision GeoWebPlayer WebSocket 越界读取致RCE漏洞分析
talosintelligence.com · 2026-07-02

### Talos 漏洞报告总结 #### 漏洞概述 GeoVision GeoWebPlayer Websocket Server 存在多个可利用的越界读取漏洞。攻击者可以通过构造恶意 websocket 消息触发这些漏洞,导致任意代码执行。 #### 影响范围 - **受影响版本**: GeoWebPlayer (version(s): 1.1.1.0) - **产品 URL**: GeoWe…

Read more
CVSS 4.3
CVAT < 2.69.0 质量报告缺失授权导致跨组织枚举
www.vulncheck.com · 2026-07-02

# CVAT < 2.69.0 - 质量报告 parent_id 过滤器的缺失授权泄露跨组织报告存在性 ## 漏洞概述 CVAT 在 2.69.0 版本之前存在一个不正确的授权漏洞,在 `QualityReportViewSet.get_queryset` 中,允许经过身份验证的攻击者通过利用缺失的 `check_object_permissions` 调用来枚举属于其他组织的质量报告标识符。攻击…

Read more
CVSS 6.4
WordPress插件Surbma Infusionsoft Shortcode未转义用户输入导致XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-02

### 漏洞概述 该页面展示了一个名为 `surbma-infusionsoft-shortcode` 的 WordPress 插件的源代码。插件版本为 2.0,文件大小为 1.0 KB。插件的主要功能是在 WordPress 中嵌入 Infusionsoft 表单。 ### 影响范围 - **插件名称**: surbma-infusionsoft-shortcode - **插件版本**: 2.…

Read more
CVSS 6.5
Elasticsearch CVE-2026-49090 拒绝服务漏洞安全更新
discuss.elastic.co · 2026-07-02

### Elasticsearch 7.17.24, 8.15.0 安全更新 (ESA-2026-52) #### 漏洞概述 - **漏洞名称**: 不受控制的资源消耗导致拒绝服务 - **漏洞描述**: 在 Elasticsearch 中,不受控制的资源消耗(CWE-400)可能导致通过过度分配(CAPEC-130)引发的拒绝服务。经过身份验证的用户可以提交一个精心构造的批量请求,导致持续的 C…

Read more
CVSS 4.3
Stormshield Network Security 证书吊销后仍可访问管理门户漏洞
advisories.stormshield.eu · 2026-07-02

### 漏洞概述 - **漏洞名称**: Connection possible to the administration portal with revoked certificate - **CVE编号**: STORM-2026-002 - **发现日期**: 11/05/2025 - **严重程度**: Low - **漏洞描述**: 合法用户通过证书连接到管理门户时,即使该证书已被吊销…

Read more
精品
CVSS 9.8
AWS WAF与CloudFront/ALB CVE-2026-13762/13763漏洞公告
aws.amazon.com · 2026-07-02

### 漏洞概述 - **CVE-2026-13762** 和 **CVE-2026-13763** 是 AWS WAF 中的两个漏洞,涉及 HTTP/2 多帧请求体检查问题。 - **CVE-2026-13762** 影响 AWS WAF 与 CloudFront 的部署。该问题已在服务器端修复,无需用户操作。 - **CVE-2026-13763** 影响 AWS WAF 与 AWS Appl…

Read more
CVE-2025-15646: libhtml-gumbo-perl模板元素错误处理缺陷
bugs.debian.org · 2026-07-02

### 漏洞概述 - **漏洞名称**: libhtml-gumbo-perl: 对不支持的模板HTML元素GUMBO_NODE_TEMPLATE节点类型的错误行为 - **CVE编号**: CVE-2025-15646 - **报告者**: Vincent Lefevre - **严重程度**: 严重 - **标签**: 代码错误、补丁、安全、上游 - **发现版本**: libhtml-gum…

Read more
GNU gzip 解压 .lz 文件时缓冲区溢出漏洞修复
cgit.git.savannah.gnu.org · 2026-07-02

### 漏洞概述 - **漏洞名称**: gzip 不处理 `.lz` 和 `.Z` 文件 - **问题描述**: 在处理某些畸形输入时,存在未初始化的内存使用问题,可能导致缓冲区溢出。 - **报告者**: Michał Majchrowicz ### 影响范围 - **受影响文件**: - `NEWS` - `THANKS` - `unlz.c` ### 修复方案 - **修复内容**: - …

Read more
CVSS 7.1
Flatpak沙箱逃逸漏洞(CVE-2025-3155)分析
blogs.gnome.org · 2026-07-02

### 漏洞概述 - **漏洞名称**: Flatpak Sandbox Escape via Yelp - **CVE编号**: CVE-2025-3155 - **发布日期**: 2026年5月11日 - **描述**: Yelp 49.1 修复了一个与去年 CVE-2025-3155 相关的 Flatpak 沙箱逃逸漏洞。该漏洞允许沙箱应用程序通过 URI 或文件路径启动另一个应用程序,从而…

Read more
CVSS 6.5
Red Hat Satellite 访问控制绕过漏洞(CVE-2026-5135)通告
bugzilla.redhat.com · 2026-07-02

### 漏洞概述 - **漏洞编号**:CVE-2026-5135 - **漏洞描述**:在Foreman中发现了一个访问控制漏洞。该漏洞允许具有主机编辑权限的经过身份验证的用户通过修改匹配字段来重定向现有查找值覆盖到不同的主机,绕过授权检查。注入的值由EMC分类管道服务,用于配置管理工具,可能导致未经授权的组织内和位置边界之间的托管主机配置修改。 - **严重程度**:中等 - **优先级**:…

Read more
精品
CVSS 9.1
CVE-2026-23537 Feast Feature Server未认证任意文件写入漏洞
bugzilla.redhat.com · 2026-07-02

### 漏洞概述 - **漏洞编号**: CVE-2026-23537 - **漏洞类型**: 未认证的任意文件写入 - **描述**: 在Feast Feature Server的/save-document端点中存在未认证的任意文件写入漏洞,允许远程攻击者绕过路径限制将JSON文件写入文件系统。 - **受影响版本**: <=0.58.0 ### 影响范围 - **产品**: Security…

Read more
精品
CVSS 6.5
Keycloak 硬编码角色映射器导致的权限提升漏洞 (CVE-2026-4629)
bugzilla.redhat.com · 2026-07-02

### 漏洞概述 - **漏洞编号**: Bug 2450244 (CVE-2026-4629) - **漏洞名称**: Keycloak: 通过硬编码角色映射器注入实现权限提升 - **报告日期**: 2026-03-23 08:02 UTC - **修改日期**: 2026-06-30 11:49 UTC - **状态**: NEW - **优先级**: medium - **严重程度**: …

Read more
CVSS 4.3
Red Hat Satellite 跨租户信息泄露漏洞 (CVE-2026-5138)
bugzilla.redhat.com · 2026-07-02

### 漏洞概述 - **漏洞名称**: CVE-2026-5138 - **漏洞描述**: 在Foreman中发现了一个跨租户信息泄露漏洞。taxonomy_scope控制器方法未验证组织ID和位置ID,导致攻击者可以利用此漏洞绕过现有的set_taxonomy授权检查,从而泄露基础设施元数据(如子网拓扑、IP范围、网关、DNS服务器和VLAN ID)。 - **漏洞类型**: 信息泄露 - *…

Read more
CVSS 6.5
dhcpcd DHCP客户端IPv6 ND选项越界读取漏洞(CVE-2026-14258)
bugzilla.redhat.com · 2026-07-02

### 漏洞概述 - **漏洞编号**:CVE-2026-14258 - **漏洞类型**:DHCP客户端无限循环和越界读取 - **漏洞描述**:通过零长度IPv6 ND选项在路由器广告处理中,DHCP客户端可能进入无限循环并导致越界读取。 ### 影响范围 - **受影响产品**:`dhcpcd` 10.0.6-10.118 - **受影响系统**:Linux - **优先级**:中等 - *…

Read more
CVSS 6.5
Keycloak身份提供者映射器权限提升漏洞(CVE-2026-12388)
bugzilla.redhat.com · 2026-07-02

### 漏洞概述 - **漏洞编号**:CVE-2026-12388 - **漏洞名称**:keycloak-broker: Keycloak: 通过身份提供者映射器中的不当授权实现权限提升到域管理员 - **状态**:NEW - **产品**:Security Response - **组件**:vulnerability - **操作系统**:Linux - **优先级**:medium - …

Read more
CVSS 6.4
SSSD sssd_pam进程Use-After-Free拒绝服务及潜在权限提升漏洞
bugzilla.redhat.com · 2026-07-02

### 漏洞概述 - **漏洞编号**: CVE-2026-12610 - **漏洞标题**: sssd: Use-after-free crash in SSSD 'sssd_pam' process - **报告时间**: 2026-06-18 11:36 UTC by OSIDB Bzimport - **修改时间**: 2026-06-30 08:23 UTC - **状态**: NEW …

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。