目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 35007+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
CVSS 7.5
RabbitMQ 预认证阶段内存耗尽攻击修复
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及 RabbitMQ 服务器中未认证连接的堆大小限制问题。攻击者可以通过发送特制的负载来利用 Erlang 虚拟机(VM)的协议解析器,导致内存耗尽攻击。 ### 影响范围 - **受影响版本**:所有未认证连接的 RabbitMQ 节点。 - **具体影响**:恶意攻击者可以通过发送特制的负载来触发内存耗尽攻击,导致 RabbitMQ 节点崩溃或不可用。 ### 修复方…

Read more
CVSS 7.5
RabbitMQ 未认证连接堆内存耗尽导致DoS漏洞及修复
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及RabbitMQ服务器在处理未认证连接时,未限制堆大小,可能导致拒绝服务(DoS)攻击。攻击者可以通过发送特制的恶意负载,在认证前耗尽内存,导致服务不可用。 ### 影响范围 - **受影响版本**:所有未应用此修复的RabbitMQ服务器版本。 - **影响协议**:AMQP 0-9-1, AMQP 1.0, MQTT, STOMP, Stream, Web MQTT…

Read more
CVSS 7.5
RabbitMQ认证前内存耗尽攻击修复方案
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及RabbitMQ服务器在处理未认证连接时的堆内存限制问题。恶意攻击者可以通过发送特制的有效载荷,在认证前利用协议解析器进行内存耗尽攻击。默认情况下,未认证连接的堆内存限制为16 MiB,超过此限制后,Erlang VM将立即终止该进程(kill => true),以保护整个节点。 ### 影响范围 - **协议**:AMQP 0-9-1, AMQP 1.0, MQTT,…

Read more
RabbitMQ管理界面存储型XSS漏洞(CVE-2025-57214)分析
github.com · 2026-07-11

# 漏洞概述 - **漏洞名称**: Stored XSS in RabbitMQ management UI - **漏洞类型**: 存储型跨站脚本攻击 (Stored Cross-Site Scripting, XSS) - **漏洞描述**: RabbitMQ 管理界面允许任何有权限声明队列或交换机的用户执行任意 JavaScript 代码。该漏洞存在于浏览器中任何查看队列或交换机页面的用户…

Read more
RabbitMQ 4.2.5 多个组件崩溃与缺陷修复通告
github.com · 2026-07-11

### RabbitMQ 4.2.5 漏洞总结 #### 漏洞概述 RabbitMQ 4.2.5 是一个维护版本,修复了多个关键漏洞,包括经典队列、Quorum 队列、对等发现、定义导入、装饰器回调、Mnesia 到 Khepri 迁移、`rabbitmq.conf` 配置、`parse_command/i` 函数、`rabbit_stream_manager`、请求体大小限制、API 端点验证、…

Read more
RabbitMQ OAuth客户端凭据未授权泄露漏洞(CVE-2025-57219)
github.com · 2026-07-11

### 漏洞概述 **标题**: Unauthenticated disclosure of OAuth client credentials via an HTTP API endpoint with certain less common OAuth 2 configurations **描述**: 一个过时的HTTP API端点 `GET /api/auth` 在RabbitMQ安装中暴露了…

Read more
RabbitMQ管理API废弃端点移除修复
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及RabbitMQ管理API中的`/api/auth`端点。此端点自2023年引入以来,已被标记为弃用,并在本次提交中被移除。 ### 影响范围 - **受影响的版本**:v4.2.8 - **受影响的组件**:RabbitMQ管理API ### 修复方案 - **修复措施**:移除已弃用的`/api/auth`端点。 - **相关文件**: - `deps/rabbit…

Read more
RabbitMQ Management弃用端点/api/auth清理
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及RabbitMQ Management插件中的`/api/auth`端点。此端点自2023年引入以来未被使用,且已被标记为弃用。 ### 影响范围 - **组件**:RabbitMQ Management插件 - **端点**:`/api/auth` - **状态**:未使用且已弃用 ### 修复方案 - **操作**:移除弃用的端点 - **具体步骤**: 1. 删除…

Read more
RabbitMQ Federation管理插件存储型XSS漏洞
github.com · 2026-07-11

### 漏洞概述 在RabbitMQ的federation management插件中,存在一个存储型跨站脚本(XSS)漏洞。该漏洞发生在Federation Status页面渲染`consumer_tag`字段时,未进行HTML转义,导致在浏览器中执行JavaScript代码。 ### 影响范围 - **受影响版本**: - `rabbitmq-server >= 4.2.0, = 4.1.0,…

Read more
CVSS 6.8
RabbitMQ peername/1 替代 sockname/1 修复 (PR #15936)
github.com · 2026-07-11

### 漏洞概述 - **标题**: Use peername/1 over sockname/1 in a few places #15936 - **状态**: Merged - **作者**: michaelklishin - **合并时间**: Apr 6 ### 影响范围 - **项目**: rabbitmq/rabbitmq-server - **标签**: backport-v4.2…

Read more
CVSS 6.8
RabbitMQ PROXY协议认证边界绕过漏洞 (CVE)
github.com · 2026-07-11

### 漏洞概述 RabbitMQ AMQP 0-9-1 认证允许一个受回环限制的用户通过受信任的 PROXY 协议路径和后端监听器进行远程连接。问题在于回环检查是在监听器地址(`sockname`)而不是实际客户端源上执行的。在验证运行中,连接是使用来自 PROXY 元数据的非回环 `peer_host` 记录的,但认证用户是 guest,并且连接状态被记录为“running”。这与记录的回环用…

Read more
CVSS 6.8
RabbitMQ地址检查缺陷修复:peername替换sockname绕过限制
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及在RabbitMQ服务器中,使用`peername/1`替代`sockname/1`在某些地方。这一改动可能导致安全配置中的地址检查不准确,从而可能绕过某些安全限制。 ### 影响范围 - **受影响文件**: - `deps/rabbit/src/rabbit_amqp_reader.erl` - `deps/rabbit/src/rabbit_reader.erl`…

Read more
精品
CVSS 9.8
WordPress插件mo-openid-prof-comp-funct.php SQL注入/XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-11

### 漏洞概述 该网页截图展示了一个WordPress插件`mo-openid-prof-comp-funct.php`的代码片段,其中存在一个潜在的安全漏洞。具体表现为在处理用户注册和登录流程时,对输入数据的验证和过滤不够严格,可能导致SQL注入或跨站脚本攻击(XSS)。 ### 影响范围 - **受影响插件**:`mo-openid-prof-comp-funct.php` - **受影响版…

Read more
CVSS 6.8
RabbitMQ loopback地址认证逻辑缺陷修复及POC
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及RabbitMQ服务器在处理AMQP协议时,对loopback用户(即本地回环用户)的认证逻辑存在缺陷。具体来说,当使用`peername/1`函数获取套接字信息时,未能正确识别和处理loopback地址,导致潜在的安全问题。 ### 影响范围 - **受影响版本**:RabbitMQ v4.2.8及更早版本。 - **影响组件**:`rabbit_amqp_reade…

Read more
RabbitMQ 主题授权旁路漏洞(CVE-2026-57217)及PoC
github.com · 2026-07-11

### 漏洞概述 **漏洞名称**: Topic authorization can lead to cross-tenant routing-key bypass **CVE ID**: CVE-2026-57217 **严重程度**: 高 (7.0 / 10) **CVSS v4 base metrics**: - Attack Vector: Network - Attack Complex…

Read more
精品
CVSS 9.8
WordPress miniorange-login-openid 插件输入验证缺陷分析
plugins.trac.wordpress.org · 2026-07-11

### 漏洞概述 该网页截图显示了一个名为 `mo_openid_prof_comp_func.php` 的文件,属于 `miniorange-login-openid` 插件。文件中存在一个潜在的安全漏洞,具体表现为对用户输入数据的处理不当,可能导致信息泄露或恶意代码注入。 ### 影响范围 - **插件版本**:7.7.0 - **受影响文件**:`mo_openid_prof_comp_fu…

Read more
RabbitMQ Khepri模块权限检查绕过漏洞分析
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及在RabbitMQ服务器中,Khepri模块在处理缺失键时未能正确区分错误和缺失键的情况。具体而言,当尝试获取主题权限时,如果元数据存储查询失败,系统可能会返回一个错误而不是明确的“未找到”状态,这可能导致安全策略的误判。 ### 影响范围 - **受影响组件**:`rabbit_auth_backend_internal.erl` 和 `rabbit_db_user.…

Read more
RabbitMQ权限检查修复:区分缺失键与后端错误(RCE/LPE防护)
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及在RabbitMQ服务器中区分缺失键与错误的问题。具体而言,漏洞出现在`rabbit_auth_backend_internal.erl`和`rabbit_db_user.erl`文件中,这些文件负责处理用户权限和主题权限的检查。 ### 影响范围 - **受影响文件**: - `deps/rabbit/src/rabbit_auth_backend_internal.…

Read more
RabbitMQ 管理 API 请求体大小限制绕过漏洞
github.com · 2026-07-11

### 漏洞概述 RabbitMQ 管理 HTTP API 接受超过配置的 `max_http_body_size` 的请求体。该漏洞允许攻击者绕过请求体大小限制,导致管理操作被错误地执行。 ### 影响范围 - **受影响版本**: - `rabbitmq-server` >= 4.2.0, = 4.1.0, = 4.0.0, = 3.13.0, < 3.13.14 - **影响**: - 即使…

Read more
RabbitMQ HTTP API 请求体限制绕过致 DoS 漏洞修复分析
github.com · 2026-07-11

### 漏洞概述 该漏洞涉及 RabbitMQ 服务器中的 HTTP API 部分,具体是在处理 `read_complete_body/1` 函数时。问题在于对请求体大小的限制处理不当,可能导致拒绝服务(DoS)攻击。 ### 影响范围 - **受影响组件**:RabbitMQ 服务器的 HTTP API 部分。 - **影响版本**:从截图中可以看出,该漏洞存在于 `rabbitmq_mana…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。