目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 34150+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
CVSS 7.2
WordPress Telesender插件XSS/潜在RCE漏洞分析
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图显示了一个名为 `telesender` 的 WordPress 插件的源代码文件 `ajax.js`。文件中存在一个潜在的安全漏洞,具体表现为在发送 HTTP 请求时,未对用户输入进行充分的验证和过滤,可能导致跨站脚本攻击(XSS)或远程代码执行(RCE)。 ### 影响范围 - **插件版本**:telesender 1.14.14 - **受影响文件**:`js/…

Read more
CVSS 7.2
telsender 插件硬编码 Telegram 凭据及配置泄露风险
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图显示了一个名为 `telsender/tags/1.14.14/js/ajax.js` 的文件,其中包含了一段 JavaScript 代码。这段代码用于处理与 Telegram 相关的操作,包括发送消息和获取用户信息等。然而,代码中存在一些潜在的安全问题,可能导致信息泄露或未经授权的访问。 ### 影响范围 - **信息泄露**:代码中直接使用了 Telegram AP…

Read more
CVSS 6.1
WordPress mailin插件SQL注入漏洞分析及修复
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图显示了一个名为 `mailin` 的 WordPress 插件的源代码文件 `table-forms.php`。文件中存在一个潜在的安全漏洞,具体表现为在 `column_title` 函数中,用户输入的数据(如 `$item['id']`)被直接拼接到 SQL 查询语句中,而没有进行适当的过滤或转义。这可能导致 SQL 注入攻击。 ### 影响范围 - **受影响版本…

Read more
CVSS 7.2
TeleSender插件(1.14.14)视图文件XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该漏洞涉及 `telesender` 插件的 `tags/1.14.14/template/view.php` 文件。漏洞存在于插件的表单处理逻辑中,具体是在处理用户提交的表单数据时,未对输入进行充分的验证和过滤,导致可能存在跨站脚本攻击(XSS)的风险。 ### 影响范围 - **受影响版本**:`telesender` 插件的 `tags/1.14.14` 版本。 - **影…

Read more
CVSS 7.2
WordPress插件telsender信息泄露与输入验证漏洞分析
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图展示了一个名为 `telsender` 的 WordPress 插件的源代码文件 `ajax.js`。代码中涉及 Telegram 机器人的集成,用于发送消息和管理用户。然而,代码中存在潜在的安全问题,可能导致信息泄露或未经授权的访问。 ### 影响范围 - **信息泄露**:代码中直接使用了 Telegram Bot 的 API 密钥(`token`),如果密钥被泄露…

Read more
CVSS 7.2
WordPress插件tsender XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该漏洞涉及一个名为 `tsender` 的 WordPress 插件,具体为版本 1.14.18。漏洞类型为 XSS(跨站脚本攻击),攻击者可以通过构造恶意输入来执行任意 JavaScript 代码。 ### 影响范围 - **受影响版本**:tsender 插件版本 1.14.18 - **影响功能**:插件中的 AJAX 请求处理部分,特别是 `tsender_ajax_ha…

Read more
CVSS 7.5
WordPress chat-help 插件 SQL 注入漏洞分析
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图显示了一个名为 `chat-help` 的 WordPress 插件的源代码文件 `Leads.php`。文件中存在一个潜在的安全漏洞,具体表现为在 `delete_chat_help_leads` 函数中,SQL 查询语句未正确转义用户输入,可能导致 SQL 注入攻击。 ### 影响范围 - **受影响插件**:chat-help - **受影响版本**:3.1.1 …

Read more
CVSS 5.4
CowAgent云技能安装路径遍历漏洞
github.com · 2026-07-10

### 漏洞概述 **标题**: [Security] Authenticated cloud skill installation path traversal writes files outside the intended `skills/` root #2873 **描述**: CowAgent的云技能管理安装流程接受攻击者控制的技能名称,从LinkAI云技能管理回调中初始化`Skill…

Read more
CVSS 7.5
WordPress插件chat-help 3.1.1 SQL注入漏洞分析及修复
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图展示了一个WordPress插件目录中的文件 `Leads.php`,位于 `chat-help` 插件的 `3.1.1` 版本中。文件中包含了一些与数据库操作相关的代码,特别是涉及用户输入的处理。 ### 影响范围 - **插件名称**: chat-help - **版本**: 3.1.1 - **文件路径**: `src/Admin/Leads.php` - **潜…

Read more
CVSS 7.5
Ultimate Member 2.9.2 代码修复/潜在安全补丁分析
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 - **漏洞名称**: ultimate-member/trunk/includes/core/class-member-directory.php - **漏洞类型**: 代码更新 - **漏洞描述**: 更新到版本2.9.2 from GitHub ### 影响范围 - **影响文件**: ultimate-member/trunk/includes/core/class-m…

Read more
精品
CVSS 9.8
WordPress instant-appointment 插件 SQL注入/XSS 漏洞分析
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图显示了一个名为 `instant-appointment` 的 WordPress 插件中的文件 `includes/ajax/ajax_services.php`。文件中存在一个潜在的安全漏洞,具体表现为在处理 AJAX 请求时,未对用户输入进行充分的验证和清理,可能导致 SQL 注入或跨站脚本(XSS)攻击。 ### 影响范围 - **插件版本**:`instant…

Read more
CVSS 4.3
Kadence WP插件错误授权致越权发布文章(CVE-2026-15266)
www.wordfence.com · 2026-07-10

### 漏洞概述 - **漏洞名称**: Gutenberg Blocks with AI by Kadence WP – Page Builder Features <= 3.5.32 - Incorrect Authorization to Authenticated (Contributor+) Post Publication - **CVE ID**: CVE-2026-15266 - …

Read more
CVSS 6.4
WordPress Affiliate Toolkit XSS漏洞修复公告
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 - **漏洞类型**:安全问题 - **修复内容**:修复了一个安全问题(感谢Peter Thaleikis) ### 影响范围 - **受影响文件**: - `affiliate-toolkit.php` - `includes/atkp_output.php` - `includes/basic/ATKPTools.php` - `includes/helper.php` -…

Read more
精品
CVSS 9.8
WordPress instant-appointment插件漏洞分析(SQLi/XSS/会话管理)
plugins.trac.wordpress.org · 2026-07-10

### 漏洞概述 该网页截图显示了一个名为 `instant-appointment` 的 WordPress 插件的源代码文件 `login_ajax.php`。文件中存在多个潜在的安全漏洞,主要包括: 1. **SQL 注入漏洞**:在用户注册和登录过程中,直接使用了用户输入的数据进行数据库查询,未进行适当的过滤或转义。 2. **跨站脚本攻击(XSS)漏洞**:在返回给用户的 JSON 响应…

Read more
CVSS 6.3
CowAgent <2.1.0 远程命令执行漏洞分析 (RCE)
github.com · 2026-07-10

### 漏洞概述 **标题**: [Security] Remote Agent-Driven Bash Auto-Execution via Web Chat Input in CowAgent #2874 **描述**: CowAgent在执行模型选择的高影响工具时,没有中央运行时批准网关。远程或授权用户可通过标准`POST /message`接口直接执行`bash`工具,导致以CowAgen…

Read more
CVE-2026-47291 Windows HTTP.sys 远程代码执行漏洞分析
www.thezdi.com · 2026-07-10

### 漏洞概述 **CVE-2026-47291: Windows HTTP.sys 中的远程代码执行** - **漏洞描述**:在 Microsoft Internet Information Services (IIS) 的 HTTP.sys 中,存在一个远程代码执行漏洞。该漏洞是由于在处理传入的 HTTP 请求时,对缓冲区引用数组的动态增长缺乏足够的边界检查导致的。 - **触发条件**:…

Read more
GigaWiper Windows模块化后门分析
www.malwarebytes.com · 2026-07-10

### 漏洞概述 - **漏洞名称**: GigaWiper - **描述**: GigaWiper是一种模块化后门程序,专为Windows系统设计,能够永久性地破坏系统和数据。它结合了命令与控制(C2)功能,并伪装成勒索软件,但实际上会加密文件并删除加密密钥,使恢复变得不可能。 - **主要功能**: - **Windows驱动器安全擦除**: 针对Windows安装驱动器进行多次覆盖写入,导致…

Read more
CVSS 6.1
WP Hotel Booking反射型XSS漏洞(CVE-2026-11392)安全公告
www.wordfence.com · 2026-07-10

### 漏洞概述 - **漏洞名称**: WP Hotel Booking <= 2.3.1 - Reflected Cross-Site Scripting via 'check_in_date' and 'check_out_date' Parameters - **CVE编号**: CVE-2026-11392 - **CVSS评分**: 6.1 (Medium) - **发布日期**: J…

Read more
精品
CVSS 7.2
Wordpress插件Post Export Import Arbitrary File Upload CVE-2026-13430
www.wordfence.com · 2026-07-10

### 漏洞概述 **漏洞名称**: Post Export Import with Media <= 1.13.1 - Authenticated (Administrator+) Arbitrary File Upload via Trailing-Dot Filename Bypass in ZIP Media Import **CVE编号**: CVE-2026-13430 **CVSS评…

Read more
精品
CVSS 8.2
OpenStack Ironic RBAC绕过IPMI命令执行漏洞(CVE-2026-54423)通告
bugs.launchpad.net · 2026-07-10

# [OSSA-2026-025] RBAC Bypass in IPMI Raw Command Execution (CVE-2026-54423) ## 漏洞概述 - **漏洞编号**: CVE-2026-54423 - **影响版本**: OpenStack Ironic - **严重程度**: Critical - **状态**: In Progress - **描述**: 在 Iron…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。