目标: 1000 元 · 已筹: 1336 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
### 漏洞概述 该漏洞涉及WordPress插件“Post Export Import with Media”(版本1.13.1)中的`class-media-handler.php`文件。漏洞允许攻击者通过构造特定的HTTP请求,绕过安全限制,执行未授权的操作,可能导致敏感信息泄露或系统被控制。 ### 影响范围 - **受影响版本**:Post Export Import with Medi…
### 漏洞概述 - **漏洞名称**: OSA-2026-026: Insufficient Access Controls in Ironic regarding Parent/Child Nodes - **发布日期**: 2026年7月8日 - **CVE编号**: CVE-2026-44918 - **描述**: 该漏洞涉及Ironic RBAC中的多个相关漏洞。授权的项目经理可以更改与…
### 漏洞概述 该漏洞涉及WordPress插件“Post Export Import with Media”(版本1.13.1)中的`class-media-handler.php`文件。漏洞允许未授权的用户通过AJAX请求导出和导入媒体文件,可能导致敏感信息泄露或恶意文件上传。 ### 影响范围 - **受影响插件**:Post Export Import with Media - **受影…
### 漏洞概述 该漏洞涉及WordPress插件“Post Export Import with Media”(版本1.13.1)中的`class-media-handler.php`文件。漏洞允许攻击者通过构造恶意请求,绕过权限检查,从而执行未授权的操作,如导出或导入媒体文件。 ### 影响范围 - **受影响插件**:Post Export Import with Media - **受影响…
### 漏洞概述 - **漏洞编号**: RHSA-2026:36202 - **发布日期**: 2026-07-07 - **严重程度**: Important - **CVSS评分**: 未提供具体数值,但评级为“Important” ### 影响范围 - **受影响系统**: - Red Hat Enterprise Linux 8.6 Advanced Mission Critical U…
### 漏洞概述 **标题**: PicoClaw launcher `allowed_cidrs` 可以通过同一主机上的反向代理绕过,因为访问控制信任 `RemoteAddr` **描述**: - **摘要**: PicoClaw 的启动器网络允许列表可以在启动器部署在同一主机上的反向代理后面时被绕过。`IPAllowList` 中间件将立即 TCP 对等体视为 `RemoteAddr`,因为客…
### 漏洞概述 该漏洞涉及 `launcher allowlist bypass`,具体表现为在跟踪 `allow_localhost_bypass` 时,如果该参数被省略、显式设置为 `null` 或设置为空字符串,可能会导致公共或非回环主机绑定绕过 CIDR 限制,从而通过某些代理或隧道进行访问。 ### 影响范围 - **影响组件**:launcher 的 allowlist 机制 - *…
### 漏洞概述 **标题**: Authenticated Pico WebSocket clients can trigger unauthorized gateway configuration reload via /reload **描述**: PicoClaw通过公共Pico WebSocket接口暴露了一个特权配置重载操作。任何已认证的Pico客户端都可以发送一个正常的消息,其中包含…
### 漏洞概述 伊朗黑客组织“Cavern Manticore”利用一种名为“Cavern C2”的框架,绕过所有安全检测。该框架通过三种不同的编译格式(.NET Framework、混合模式C++/CLI、.NET & Native AOT)来混淆二进制代码,使得安全研究人员难以分析。 ### 影响范围 - **目标组织**:以色列网络安全公司Check Point Research披露,该组…
### 漏洞概述 - **漏洞名称**:两个Chrome更新在两天内修复了关键漏洞 - **发布日期**:2026年7月10日 - **作者**:Pieter Arntz ### 影响范围 - **漏洞类型**:内存漏洞,包括两个关键的“使用后释放”(use-after-free)内存漏洞 - **受影响版本**: - Windows和macOS:150.0.7871.114 - Linux:15…
### 漏洞概述 - **漏洞编号**: USN-8530-1 - **发布日期**: 2026年7月10日 - **影响版本**: Ubuntu 18.04 LTS - **漏洞描述**: Linux内核在处理共享页面片段时存在多个安全问题,具体包括: - **DirtyFrag**: 在socket缓冲区操作中未正确处理共享页面片段。 - **Fragnesia**: 在XFRM ESP-in…
### 漏洞概述 **标题**: MQTT allow_from 授权可以通过伪造 topic client_id 绕过 **描述**: PicoClaw 的 MQTT 通道使用 topic 段 `client_id` 来授权传入消息。由于该值是客户端控制的 topic 元数据,而不是由 broker 认证的主体,任何可以发布到请求 topic 命名空间的参与者都可以冒充允许的发送者并访问传入的 …
### 漏洞概述 - **漏洞名称**: LoginPress Pro <= 6.2.3 - Unauthenticated Authentication Bypass via Unverified OAuth Email via Discord OAuth Callback - **CVE ID**: CVE-2026-12595 - **CVSS评分**: 8.1 (High) - **发布日…
### 漏洞概述 - **漏洞名称**: LoginPress Pro <= 6.2.3 - Unauthenticated Authentication Bypass via Unverified OAuth Email via GitHub OAuth Callback - **CVE ID**: CVE-2026-12597 - **CVSS评分**: 8.1 (High) - **发布日期…
### 漏洞概述 该漏洞涉及 `ResourceBundleMessageSource` 类中的缓存机制。具体而言,`buildMessageCache` 和 `buildBundleCache` 方法中使用了 `ConcurrentLinkedHashMap` 来缓存消息和资源包。然而,这些缓存方法没有设置最大容量限制,可能导致内存溢出(OOM)问题。 ### 影响范围 - **受影响类**:`…
### 漏洞概述 该漏洞涉及在 `ResourceBundleMessageSource` 类中,`buildMessageCache` 和 `buildBundleCache` 方法中使用了 `ConcurrentLinkedHashMap.Builder` 来构建缓存。由于 `ConcurrentLinkedHashMap.Builder` 的默认最大容量为 100,这可能导致在高并发场景下,…
### 漏洞概述 该漏洞涉及 `ResourceBundleMessageSource` 类中的缓存机制。具体而言,`buildMessageCache` 方法中使用了 `ConcurrentLinkedHashMap.Builder` 来构建消息缓存,但存在潜在的内存泄漏风险。 ### 影响范围 - **受影响文件**:`ResourceBundleMessageSource.java` - *…
### 漏洞概述 - **漏洞名称**: EventPrime <= 4.3.4.2 - Unauthenticated Stored Cross-Site Scripting via 'new_event_type_background_color' Parameter - **CVE ID**: CVE-2026-13441 - **CVSS评分**: 7.2 (High) - **发布日期*…
### 漏洞概述 - **漏洞名称**: Unbounded `bundleCache` in `ResourceBundleMessageSource` Allows Memory Exhaustion via `Accept-Language` Header - **影响范围**: 该漏洞影响 `Micronaut Core 3.10.6` 版本。 - **修复方案**: 在 `Microna…
### 漏洞概述 - **漏洞编号**:USN-8529-1 - **发布日期**:2026年7月10日 - **漏洞描述**:Linux内核中存在多个安全漏洞,包括逻辑错误、驱动问题、文件系统问题等。具体漏洞包括: - XFRM ESP-in-TCP子系统中的逻辑错误(CVE-2026-43503) - InfiniBand驱动、SCSI子系统、热驱动、USB over IP驱动、NFS服务器守…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。