目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 35340+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
精品
CVSS 8.8
OpenWrt luci-app-samba4 认证远程代码执行漏洞分析
github.com · 2026-07-12

### 漏洞概述 **漏洞名称**: luci-app-samba4 read ACL allows authenticated root command execution via smbd file.exec **漏洞描述**: - 该漏洞允许通过 `luci-app-samba4` 的读 ACL 权限,以认证用户身份执行根命令。 - 漏洞根源在于 `rpcd file.exec` 授权仅检查…

Read more
精品
CVSS 8.8
OpenWrt luci-app-upnp 存储型XSS漏洞情报
github.com · 2026-07-12

### 漏洞概述 **漏洞名称**: luci-app-upnp: Stored XSS in luci-app-upnp, unauthenticated LAN client can inject JavaScript via UPnP port mapping description **漏洞类型**: 存储型跨站脚本攻击 (Stored XSS) **严重程度**: 高 (CVSS 3.1…

Read more
精品
CVSS 8.8
OpenWrt luci-app-samba4 ACL权限配置错误导致远程代码执行
www.vulncheck.com · 2026-07-12

### 漏洞概述 - **漏洞名称**: OpenWrt luci-app-samba4 read ACL remote code execution via smb - **CVE编号**: CVE-2026-59266 - **CWE编号**: CWE-269 Improper Privilege Management - **CVSS评分**: 8.7 - **CVSS向量**: CVSS:…

Read more
CVSS 3.1
File Browser 尾斜杠路径删除遗漏导致共享残留漏洞分析
github.com · 2026-07-12

### 漏洞概述 **标题**: Trailing-slash delete leaves a stale public share behind **描述**: File Browser v2.63.15 存在一个漏洞,当通过带有尾斜杠的路径删除共享目录时,会留下一个陈旧的公共共享。共享清理路径调用 `DeleteWithPathPrefix`,但 Bolt 后端在修剪斜杠进行边界检查之前,使用…

Read more
CVSS 3.1
filebrowser 2.63.17前权限绕过致过期共享泄露
www.vulncheck.com · 2026-07-12

### 漏洞概述 - **漏洞名称**: filebrowser before 2.63.17 Stale Public Share via Trailing-Slash Delete - **CVE编号**: CVE-2026-61874 - **CWE编号**: CWE-863 Incorrect Authorization - **CVSS评分**: 2.3 - **CVSS向量**: CV…

Read more
CVSS 3.1
filebrowser ScopedFs 路径遍历漏洞修复
github.com · 2026-07-12

### 漏洞概述 - **漏洞名称**: 未明确提及具体漏洞名称,但涉及文件路径处理问题。 - **漏洞描述**: 在 `filebrowser` 项目中,存在一个关于 `ScopedFs` 的 `RealPath` 处理问题,可能导致路径遍历漏洞。 ### 影响范围 - **影响版本**: v2.63.14 至 v2.63.15 - **影响组件**: `filebrowser` 项目中的 `S…

Read more
精品
CVSS 8.8
OpenWrt LuCI DHCPv6主机名存储型XSS漏洞分析
github.com · 2026-07-12

### 漏洞概述 **漏洞名称**: luci-mod-network: luci-mod-status: DHCPv6 lease hostname stored XSS in LuCI status tables **描述**: 未认证的相邻网络客户端可以发送包含HTML标记的DHCPv6客户端FQDN。`odhcpd`会保留该值,`luci-rpc.getDHCPLeases`会返回该值,而…

Read more
精品
CVSS 8.8
OpenWrt LuCI DHCPv6主机名存储型XSS漏洞 (CVE-2026-61876)
www.vulncheck.com · 2026-07-12

### 漏洞概述 - **漏洞名称**: LuCI DHCPv6 Lease Hostname Stored Cross-Site Scripting - **CVE编号**: CVE-2026-61876 - **CVSS评分**: 9.4 - **严重程度**: 高 - **发布日期**: 2026年7月12日 - **描述**: LuCI版本在渲染状态表之前未能正确编码DHCPv6租约主机名…

Read more
CVSS 7.3
未经验证更改邮箱漏洞分析报告
github.com · 2026-07-12

### 漏洞概述 - **漏洞名称**:Bug Report: No Password Verification During Email Change — Email Changed Without Confirming Current Password - **报告者**:Testing Pene - **严重程度**:High - **类别**:Authentication / Accoun…

Read more
CVSS 5.3
Capgo 未认证 SSO 端点信息泄露 (org_id/provider_id)
github.com · 2026-07-12

### 漏洞概述 **标题**: Unauthenticated SSO check-domain Endpoint Exposes Internal org_id and provider_id **描述**: - `/private/sso/check-domain` 端点在未认证的情况下返回内部 `org_id` 和 `provider_id` 值。 - 这些字段不被任何前端客户端代码使用,…

Read more
CVSS 8.1
Capgo SSO预链接跨组织越权删除密码身份
github.com · 2026-07-12

### 漏洞概述 **标题**: SSO Prelink Cross-Org Account Disruption - Enterprise Admin Can Delete Password Identity of Users in Foreign Orgs **描述**: 该漏洞允许企业管理员永久删除所有使用给定电子邮件地址的Capgo用户,包括属于不同组织的用户。受影响的外国组织用户将失去基…

Read more
CVSS 7.5
Supabase PostgREST 未授权泄露全局财务遥测数据
github.com · 2026-07-12

### 漏洞概述 - **漏洞名称**: Unauthenticated Supabase PostgREST exposes global_stats (MRR/total_revenue + plan mix + usage telemetry) - **漏洞描述**: 未授权客户端可以通过Supabase PostgREST使用`public.st_publishable_*`键读取`glo…

Read more
精品
CVSS 8.2
crawl4ai 信息泄露漏洞(GHSA-9889)分析
github.com · 2026-07-12

### 漏洞概述 **LLM凭证外泄在Docker服务器中通过请求base_url和env: token解析** - **漏洞编号**: GHSA-9889-c77f-r2cq - **发布日期**: 2024年6月4日 - **严重程度**: 高 (8.2/10) ### 影响范围 - **受影响版本**: `crawl4ai` (pip) <= 0.8.7 - **修复版本**: `crawl…

Read more
CVSS 3.8
Cloudflare Analytics Engine 管理端点 SQL注入漏洞 (CVE待定)
github.com · 2026-07-12

### 漏洞概述 **标题**: SQL Injection via Unvalidated `limit` Parameter in Admin Stats Endpoint (Cloudflare Analytics Engine) **描述**: - **漏洞类型**: SQL注入 - **影响版本**: ` { const safeLimit = Math.max(1, Math.min(…

Read more
精品
CVSS 9.8
Flowise JWT硬编码密钥导致认证绕过(CVE-2026-56271)
www.vulncheck.com · 2026-07-12

### 漏洞概述 - **漏洞名称**: Flowise - Weak Default JWT Secrets in Authentication Middleware - **严重程度**: Critical - **发布日期**: 7/12/2026 - **CVE编号**: CVE-2026-56271 - **CWE编号**: CWE-321 Use of Hard-coded Crypt…

Read more
精品
CVSS 8.3
Supabase RBAC权限降级导致特权提升漏洞及利用PoC
github.com · 2026-07-12

### 漏洞概述 在RBAC启用的组织中(`use_new_rbac = true`),通过DELETE函数删除用户的角色绑定时,`org_users.user_right`列不会被更新。这导致被降级为`super_admin`的用户仍然可以访问`delete_non_compliant_bundles`和`count_non_compliant_bundles`函数。 ### 影响范围 - **…

Read more
CVSS 5.4
Capgo API密钥作用域隔离绕过漏洞
github.com · 2026-07-12

### 漏洞概述 **标题**: App-scoped API keys can invoke org-scoped webhook test deliveries outside their app scope **描述**: - **摘要**: 一个限制在单个应用(`limited_to_apps`)的API密钥,仍然可以调用组织范围的 `POST /webhooks/test` 端点,用于同…

Read more
精品
CVSS 9.8
Kolega.dev弱JWT默认密钥漏洞(身份验证绕过)
github.com · 2026-07-12

### 漏洞概述 - **漏洞名称**: Weak Default JWT Secrets - **漏洞描述**: JWT secrets 使用了弱硬编码默认值(如 'auth_token', 'refresh_token', 'AUDIENCE', 'ISSUER')。攻击者可以伪造有效的 JWT 并冒充任何用户。 - **检测方式**: Kolega.dev Deep Code Scan - …

Read more
CVSS 6.3
AstrBot 计划任务所有权检查绕过致越权执行
gist.github.com · 2026-07-12

### 漏洞概述 **标题**: 在 `future_task` 中不当的所有权检查允许同一会话用户修改其他用户的计划任务并保留受害者派生的 cron 权限 **描述**: AstrBot 内置的 `future_task` 工具存储了任务会话和创建者的 `sender_id`,但其 `list`、`edit` 和 `delete` 操作仅通过当前统一消息起源(UMO/session)授权访问。在…

Read more
CVSS 7.3
Sonic Cloud Platform 未授权命令注入漏洞通报
github.com · 2026-07-12

### 漏洞概述 **漏洞名称**: V-S001: Sonic Cloud Platform — Unauthenticated /exchange/send Allows Arbitrary Agent Command Injection **漏洞类型**: CWE-306: Missing Authentication for Critical Function **严重程度**: Crit…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。