目标: 1000 元,已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# 漏洞概述 - **漏洞名称**: Remote Code Execution via Shell Injection in qmail-remote TLS Error Handler - **漏洞编号**: #42 - **漏洞类型**: 远程代码执行(RCE) - **触发条件**: 当出站 TLS 握手失败时,`qmail-remote` 会自动记录远程主机名到 `blocklist` …
# Online Employees Work From Home Attendance System v1.0 SQL注入漏洞 ## 漏洞概述 - **漏洞名称**: Online Employees Work From Home Attendance System v1.0 SQL注入漏洞 - **漏洞作者**: Liu Lanling - **登录账号**: admin/admin123 -…
# Patient Appointment Scheduler System v1.0 任意文件上传导致远程代码执行 (RCE) ## 漏洞概述 * **漏洞名称**:Patient Appointment Scheduler System v1.0 任意文件上传漏洞 (RCE) * **漏洞作者**:Liu Lanling * **漏洞成因**:在 `SystemSettings.php` 的 …
# 存储单元租赁管理系统 v1.0 SQL注入漏洞 ## 漏洞概述 - **漏洞类型**:SQL注入 (SQL injection) - **漏洞编号**:CVE-2024-XXXX (根据截图推测) - **影响版本**:Storage Unit Rental Management System v1.0 - **漏洞文件**:`/storage/admin/maintenance/manage…
# Storage Unit Rental Management System v1.0 SQL注入漏洞 ## 漏洞概述 * **漏洞类型**:SQL注入 (SQL Injection) * **受影响系统**:Storage Unit Rental Management System v1.0 * **漏洞文件**:`/storage/admin/rents/manage_rent.php` *…
# Patient Appointment Scheduler System v1.0 SQL注入漏洞 ## 漏洞概述 - **漏洞类型**:SQL注入 (SQL Injection) - **受影响系统**:Patient Appointment Scheduler System v1.0 - **漏洞文件**:`/scheduler/admin/appointments/view_detail…
# CraftQL SSRF 漏洞总结 ## 漏洞概述 CraftQL 是 Craft CMS 的一个 GraphQL 插件。该插件在处理 Asset 字段远程 URL 时存在 **服务端请求伪造 (SSRF)** 漏洞。攻击者可以通过 GraphQL 变异(Mutations)直接利用 PHP 的 `file_get_contents()` 函数,且未对 URL 进行任何验证。 **攻击者利用后…
# Patient Appointment Scheduler System v1.0 SQL注入漏洞 ## 漏洞概述 - **漏洞类型**:SQL注入 (SQL Injection) - **受影响版本**:Patient Appointment Scheduler System v1.0 - **漏洞文件**:`/scheduler/admin/appointments/manage_appo…
# Storage Unit Rental Management System v1.0 SQL注入漏洞 ## 漏洞概述 * **漏洞类型**:SQL注入 (SQL Injection) * **漏洞文件**:`/storage/admin/tenants/view_details.php` * **漏洞位置**:参数 `id` * **受影响版本**:v1.0 * **漏洞作者**:Liu La…
# 简单 Git 不安全插件漏洞总结 ## 漏洞概述 简单 Git 库中的 `unsafe` 插件存在安全漏洞,允许攻击者通过 `-u` 开关的变体绕过安全限制。该漏洞允许在 `git clone` 命令中注入恶意参数,可能导致命令执行漏洞。 ## 影响范围 - 使用简单 Git 库的 Node.js 应用 - 启用了 `unsafe` 选项的 git clone 操作 - 特别是使用 `-u` …
# Storage Unit Rental Management System v1.0 SQL注入漏洞 ## 漏洞概述 - **漏洞类型**:SQL注入 (SQL Injection) - **漏洞编号**:CVE-2024-70624e - **作者**:Liu Lanling - **登录账号**:admin/admin123 - **漏洞文件**:`/storage/admin/maint…
# CVE-2026-38526 漏洞总结 ## 漏洞概述 * **漏洞编号**:CVE-2026-38526 * **漏洞类型**:不受限制的文件上传导致远程代码执行 (Unrestricted File Upload leading to Remote Code Execution, CWE-434) * **受影响产品**:Krayin CRM (版本 2.2.x) * **漏洞成因**:K…
# CVE-2025-65132 漏洞总结 ## 漏洞概述 * **漏洞类型**:反射型跨站脚本攻击 (Reflected XSS) * **漏洞编号**:CVE-2025-65132 * **受影响产品**:hotel-management-php (版本 1.0) * **漏洞成因**:`/public/admin/edit_room.php` 脚本中的 `room_id` GET 参数未进行…
# CVE-2026-38529 漏洞总结 ## 漏洞概述 * **漏洞名称**: Krayin CRM 对象级授权 (BOLA) 漏洞 * **漏洞编号**: CVE-2026-38529 * **漏洞类型**: 越权访问 (Broken Object-Level Authorization / BOLA / IDOR) * **受影响产品**: Krayin CRM (版本 2.2.x) * …
# 漏洞总结 ## 漏洞概述 - **漏洞名称**: Basic Library System v1.0 SQL Injection 2 - **漏洞类型**: SQL注入 - **漏洞作者**: Zhang Qi - **漏洞文件**: `/librarysystem/load_admin.php` - **漏洞位置**: `/librarysystem/load_admin.php?admin…
# CVE-2025-65136 漏洞总结 ## 漏洞概述 * **漏洞类型**:反射型跨站脚本 (Reflected XSS) - Textarea Breakout (CWE-79) * **漏洞描述**:School Management System (版本 1.0) 的 `pages.php` 文件中,`POST` 参数 `/students/admin/contact-us.php` …
### 漏洞概述 **漏洞名称**: 敏感信息泄露 **受影响软件**: 酒店预订管理系统 (React MERN FullStack) **漏洞组件**: 后端 API 端点 `/api/health/detailed` **漏洞类型**: 信息泄露 / 安全配置不当 (CWE-200) **影响**: 未授权攻击者可获取敏感系统和基础设施信息 ### 影响范围 所有版本(截至 2026 年 2…
# craftql_ssrf 漏洞报告 ## 漏洞概述 这是一个关于 `craftql_ssrf` 的漏洞报告,包含代码分析、概念验证(PoC)和复现过程。 ## 影响范围 - **漏洞类型**: SSRF (Server-Side Request Forgery) - **影响组件**: craftql - **影响版本**: 未明确指定,但报告中提到“Update Reproduction p…
# Basic Library System v1.0 SQL注入漏洞 ## 漏洞概述 - **漏洞类型**: SQL注入 (SQL Injection) - **漏洞文件**: `/librarysystem/load_student.php` - **漏洞位置**: `load_student.php?student_id=` 参数 - **漏洞作者**: Zhang Qi - **漏洞编号*…
# CVE-2026-38528 漏洞总结 ## 漏洞概述 * **漏洞编号**:CVE-2026-38528 * **漏洞类型**:SQL 注入 (SQL Injection, CWE-89) * **受影响产品**:Krayin CRM (版本 2.2.x) * **漏洞成因**:`rotten_lead` 过滤参数被直接拼接进 Laravel 的 `havingRaw()` 查询构建方法中,…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。