目标: 1000 元 · 已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# WordPress 插件供应链攻击事件总结 ## 漏洞概述 攻击者收购了名为 "Essential Plugin" 的 WordPress 插件开发商,并在其 30 多个插件中植入了后门。攻击者通过 `wp-config.php` 文件注入恶意代码,利用区块链智能合约作为 C2 服务器,使传统的域名封锁无法生效。 ## 影响范围 - **受影响插件数量**:30+ 个插件 - **受影响网站*…
# Splunk Enterprise 用户账户创建时输入验证不当漏洞总结 ## 漏洞概述 - **标题**:Improper Input Validation during User Account Creation in Splunk Enterprise - **CVE ID**:CVE-2026-20202 - **CVSSv3.1 评分**:6.6(Medium) - **描述**:在特…
# OpenStack Identity (keystone) 漏洞总结 ## 漏洞概述 - **漏洞标题**: ldap identity backend 'enabled' setting not interpreted as boolean - **漏洞编号**: Bug #2111152 - **报告时间**: 2025-08-21 - **严重程度**: High - **状态**: F…
### 漏洞概述 jQuery 3.5.0 版本发布,主要包含安全修复。该版本修复了一个正则表达式漏洞,该漏洞可能导致跨站脚本(XSS)攻击。具体来说,`jQuery.htmlPrefilter` 函数在处理 HTML 字符串时,使用了正则表达式来确保所有闭合标签都是 XHTML 兼容的。然而,这个正则表达式在某些情况下可能会引入 XSS 漏洞。 ### 影响范围 - **受影响版本**:jQue…
# OpenEdge AdminServer 任意文件读取漏洞总结 ## 漏洞概述 * **漏洞名称**:OpenEdge AdminServer 任意文件读取安全更新 (CVE-2025-7389) * **漏洞类型**:任意文件读取 (Arbitrary File Read) * **漏洞描述**:拥有主机系统权限的经过身份验证的 OS 用户,可以通过 AdminServer RMI 接口绕过…
# OpenStack Keystone LDAP 用户启用属性漏洞总结 ## 漏洞概述 OpenStack Identity (keystone) 的 LDAP 后端存在一个安全漏洞。当配置了 `user_enabled_attribute` 选项时,LDAP 返回的字符串值(如 "FALSE")被直接当作布尔值处理,导致所有用户都被视为启用状态,即使他们在 LDAP 中实际被禁用。 ## 影响…
# OpenEdge OECHE1 密码/密钥保护漏洞总结 ## 漏洞概述 - **漏洞编号**: 000298643 - **CVE编号**: CVE-2025-8001 - **漏洞名称**: Unintended Use of OECHE1 for Password/Secrets Protection - **发布日期**: 2025年4月14日 - **严重程度**: 关键安全漏洞 - …
# Splunk Enterprise 数据模型加速中的不当访问控制漏洞 ## 漏洞概述 - **漏洞名称**: Splunk Enterprise 数据模型加速中的不当访问控制 - **CVE ID**: CVE-2026-20203 - **CVSSv3.1 评分**: 4.3 (Medium) - **描述**: 在 Splunk Enterprise 版本低于 10.2.2, 10.0.5…
# Splunk 临时文件处理不当与隔离不足漏洞总结 ## 漏洞概述 * **漏洞名称**:Splunk Enterprise 中特定临时文件处理不当及隔离不足 * **CVE ID**:CVE-2026-20204 * **CVSSv3.1 评分**:7.1 (High) * **漏洞描述**:在受影响版本中,未持有 `admin` 或 `power` 角色的低权限用户,可通过向 `$SPLUN…
# 漏洞总结:CVE-2026-5121 ## 漏洞概述 - **漏洞编号**:CVE-2026-5121 - **组件**:libarchive - **类型**:任意代码执行(RCE) - **成因**:整数溢出(Integer Overflow) - **触发场景**:处理 ISO9660 图像文件时,libarchive 的 `archive_read_support_format_iso…
# 漏洞总结 ## 漏洞概述 - **漏洞编号**: Bug 2455325 (CVE-2026-37980) - **漏洞类型**: 存储型跨站脚本攻击 (Stored Cross-Site Scripting, XSS) - **受影响组件**: Keycloak (`org.keycloak.forms.login`) - **触发位置**: 组织选择登录页面 (organization s…
### 漏洞概述 - **漏洞编号**: CVE-2026-6383 - **漏洞名称**: KubeVirt: Unauthorized subresource access due to improper RBAC evaluation - **报告日期**: 2026-04-15 18:08 UTC - **修改日期**: 2026-04-15 18:15 UTC - **状态**: NEW…
# 华为安全公告总结(2026年4月) ## 漏洞概述 华为于2026年4月发布月度安全更新,包含华为自有补丁和第三方库补丁。 ## 影响范围 - **华为自有补丁**: - HarmonyOS4.3.0 - HarmonyOS5.1.1 - **第三方库补丁**: - HarmonyOS4.3.0 - HarmonyOS5.1.1 ## 修复方案 - 华为正在发布月度安全更新,包含以下补丁: #…
# 华为PC安全公告总结 (2026年4月) ## 漏洞概述 华为发布了2026年4月的月度安全更新,包含华为自有补丁和第三方库补丁。主要漏洞包括: ### 华为自有补丁漏洞 | CVE编号 | 漏洞描述 | 影响 | 严重程度 | |---------|----------|------|----------| | CVE-2026-34850 | 通知服务中的竞态条件漏洞 | 成功利用可能影响…
# 华为智能手表安全公告总结 (2026年4月) ## 漏洞概述 华为发布了2026年4月的智能手表安全更新,包含华为内部补丁和第三方库补丁。主要漏洞类型包括: - **UAF (Use-After-Free)**:通信模块中的内存使用错误 - **栈溢出**:媒体平台中的缓冲区溢出 - **竞态条件**:热管理、功耗统计、权限管理服务中的并发问题 - **边界检查缺失**:应用读取模块 - **…
# UniFi Security Advisory Bulletin 063 漏洞总结 ## 漏洞概述 该公告涉及 UniFi Play 设备固件中的多个安全漏洞,包括路径遍历、命令注入、不当访问控制和不当输入验证等。攻击者若访问 UniFi Play 网络,可利用这些漏洞实现远程代码执行、启用 SSH、导致设备停止响应或获取 WiFi 凭证。 ## 影响范围 - **受影响产品**: - Uni…
# Bug 2459191 (CVE-2026-6507) - dnsmaq: Denial of Service due to out-of-bounds write in DHCP BOOTREPLY processing ## 漏洞概述 在 `dnsmaq` 2.92 版本中,当使用 `--dhcp-split-relay` 选项时,服务器端处理的 `BOOTREPLY` 数据包可能会在 5…
# CWE-427: 不受控制的搜索路径元素 (Uncontrolled Search Path Element) ## 漏洞概述 该漏洞指产品使用固定的或受控的搜索路径来查找资源,但路径中的一个或多个位置可能受到非预期行为者的控制。攻击者可以通过修改环境变量(如 `PATH`)、利用当前工作目录、或依赖未完全限定的路径(如仅使用文件名而非完整路径)来注入恶意代码。 **常见场景:** * **W…
### 漏洞概述 - **漏洞名称**: SSA-552702: Privilege Escalation Vulnerability in the Web Interface of SCALANCE and RUGGEDCOM Products - **发布日期**: 2022-10-11 - **最后更新**: 2026-04-14 - **当前版本**: V1.6 - **CVSS v3.1…
# 西门子安全公告:SCALANCE W-700 IEEE 802.11n 设备中的多个漏洞 ## 漏洞概述 西门子 SCALANCE W-700 IEEE 802.11n 系列设备在 V6.6.0 版本之前存在多个安全漏洞。这些漏洞主要涉及 Wi-Fi 传输功率控制不当,可能导致设备在私有区域被物理访问时受到攻击。 ## 影响范围 - **受影响产品**:SCALANCE W-700 IEEE …
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。