目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 35656+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
Cursor 恶意二进制文件自动执行漏洞 (Pre-Auth/RCE)
www.darkreading.com · 2026-07-14

### 漏洞概述 - **漏洞名称**:Cursor 漏洞 - **发现时间**:2025年12月 - **报告时间**:2026年7月13日 - **发现者**:Mindgard - **漏洞类型**:恶意二进制文件执行 - **漏洞描述**:该漏洞允许开发者在仓库中植入恶意的 `git.exe` 文件。当开发者打开包含该恶意文件的仓库时,Cursor 客户端会自动执行该恶意文件。 ### 影响…

Read more
CVSS 6.3
GoClaw ToolBridge 路径遍历漏洞(CWE-22)及POC
github.com · 2026-07-14

### 漏洞概述 **标题**: ACP ToolBridge workspace boundary bypass allows file write outside the configured workspace via dangling symlink alias #1201 **描述**: ACP ToolBridge 在 GoClaw 中允许通过首先在工作区内创建一个悬空符号链接,然后调…

Read more
CVSS 6.3
GoClaw ToolBridge 悬空符号链接路径穿越越权写文件漏洞分析
github.com · 2026-07-14

### 漏洞概述 **标题**: ACP ToolBridge workspace boundary bypass allows file write outside the configured workspace via dangling symlink alias #1201 **描述**: - **摘要**: ACP ToolBridge 在 GoClaw 中允许通过首先在工作区内创建一个…

Read more
CVSS 4.3
GoClaw浏览器工具file://协议本地文件泄露漏洞分析
github.com · 2026-07-14

### 漏洞概述 **标题**: [Security] Authenticated Browser Tool File Navigation Allows Local File Disclosure via `file://` URLs #1207 **描述**: 一个经过身份验证的用户,使用 `operator` 或更高权限,可以通过 GoClaw 的浏览器工具导航到一个 `file://` U…

Read more
CVSS 4.3
GoClaw 浏览器工具本地文件泄露漏洞分析
github.com · 2026-07-14

### 漏洞概述 **标题**: [Security] Authenticated Browser Tool File Navigation Allows Local File Disclosure via file:// URLs #1207 **描述**: 一个经过身份验证的用户,使用 `operator` 或更高权限,可以通过 GoClaw 的浏览器工具导航到 `file://` URL,并…

Read more
CVSS 6.3
chatgpt-on-wechat SSRF漏洞详情及PoC (#2878)
github.com · 2026-07-14

### 漏洞概述 **标题**: Server-Side Request Forgery in the built-in vision tool via unsanitized remote image URLs #2878 **描述**: 在 `chatgpt-on-wechat` 的内置 `vision` 工具中,存在一个服务器端请求伪造(SSRF)漏洞。该漏洞允许攻击者通过构造恶意的 HTT…

Read more
USN-8536-1: MariaDB多处漏洞(RCE/信息泄露/SSRF)公告
ubuntu.com · 2026-07-14

### 漏洞概述 - **漏洞编号**: USN-8536-1 - **发布日期**: 2026年7月14日 - **影响软件**: MariaDB - **漏洞详情**: - MariaDB在通过mariaBackup方法使用状态快照传输时,未正确验证由加入节点提供的参数。攻击者可能利用此问题在捐赠节点上执行任意shell命令。(CVE-2026-44168) - MariaDB未正确强制执行S…

Read more
CVSS 6.4
WordPress Customer Area插件权限绕过漏洞详情
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该漏洞涉及WordPress插件“Customer Area”中的`protected-content-shortcode.php`文件。漏洞允许未授权用户访问受保护的内容,具体表现为在特定条件下,用户可以绕过权限检查,查看或操作受保护的内容。 ### 影响范围 - **插件名称**:Customer Area - **受影响版本**:8.3.4 - **漏洞文件**:`prot…

Read more
CVSS 6.3
GoClaw exec审批白名单绕过(RCE)漏洞(CWE-184)
github.com · 2026-07-14

### 漏洞概述 **标题**: Exec approval allowlist can be bypassed through transparent wrapper drift in POST /v1/tools/invoke #1200 **描述**: 在GoClaw的`exec`工具中,存在一个安全策略,允许经过身份验证的操作员执行不应通过基于allowlist的安全策略的shell有效载…

Read more
CVSS 6.4
news-kit-elementor-addons插件URL拼接漏洞分析
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该网页截图显示了一个名为 `news-kit-elementor-addons` 的插件的源代码文件 `single-author-box.php`。文件中存在一个潜在的安全漏洞,具体表现为在 `get_custom_help_url()` 函数中,URL 是通过拼接用户输入直接生成的,没有进行适当的验证或转义。 ### 影响范围 - **插件版本**:1.4.2 - **受影响…

Read more
CVSS 6.3
GoCloud exec工具命令注入绕过漏洞分析
github.com · 2026-07-14

### 漏洞概述 **标题**: [Security] Exec approval allowlist can be bypassed through transparent wrapper drift in POST /v1/tools/invoke #1200 **描述**: 在GoCloud的`exec`工具中,存在一个安全策略漏洞。当`tools.execApproval.security…

Read more
CVSS 6.3
GoClaw create_video SSRF漏洞绕过内部网络访问分析
github.com · 2026-07-14

### 漏洞概述 **标题**: Provider-returned video URLs in `create_video` bypass SSRF protections and allow internal network fetches #1199 **描述**: - **漏洞类型**: SSRF(服务器端请求伪造) - **影响**: 通过 `create_video` 工具,攻击者可以…

Read more
CVSS 6.4
WP Customer Area 插件未授权访问私有内容漏洞
wordpress.org · 2026-07-14

### 漏洞概述 WP Customer Area 是一个用于管理私有内容的 WordPress 插件。该插件存在一个安全漏洞,可能导致未经授权的用户访问或修改私有内容。 ### 影响范围 - **插件名称**: WP Customer Area - **版本**: 8.3.6 - **最后更新时间**: 1 周前 - **活跃安装数**: 10,000+ - **WordPress 版本要求**…

Read more
CVSS 6.4
News Kit Elementor Addons 插件未过滤URL渲染漏洞
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该漏洞涉及 `news-kit-elementor-addons` 插件中的 `site-logo-title` 小部件。漏洞存在于 `site-logo-title.php` 文件中,具体是在处理 `site-logo-title` 和 `single-author-box` 小部件时。 ### 影响范围 - **插件名称**: `news-kit-elementor-addo…

Read more
CVSS 6.4
WordPress插件news-kit-elementor-addons XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该网页截图显示了一个WordPress插件目录中的文件`site-logo-title.php`,该文件属于`news-kit-elementor-addons`插件。文件中存在一个潜在的安全问题,具体表现为在渲染网站标题时,未对用户输入进行适当的过滤和转义,可能导致跨站脚本攻击(XSS)。 ### 影响范围 - **插件名称**:`news-kit-elementor-addo…

Read more
CVSS 6.4
news-kit-elementor-addons 插件跨站脚本漏洞
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该漏洞涉及 `news-kit-elementor-addons` 插件中的 `site-logo-title` 小部件。漏洞允许攻击者在 `site-logo-title` 和 `single-author-box` 小部件中注入恶意代码。 ### 影响范围 - **插件名称**: `news-kit-elementor-addons` - **受影响版本**: 1.4.7 -…

Read more
CVSS 6.4
News Kit Elementor插件小部件信息泄露漏洞及修复
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 在 `news-kit-elementor-addons` 插件的 `trunk` 版本中,存在一个安全漏洞。该漏洞涉及 `site-title` 和 `single author box` 小部件,可能导致信息泄露或其他安全问题。 ### 影响范围 - **插件名称**: News Kit Addons For Elementor - **受影响文件**: - `include…

Read more
CVSS 5.3
WordPress插件foodbook-light SQL注入与XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该网页截图展示了一个名为“foodbook-light-online-food-ordering-system”的WordPress插件的源代码文件 `class-components-ajax.php`。文件中存在多个潜在的安全漏洞,主要包括: 1. **SQL注入漏洞**:在 `search_product` 函数中,用户输入的关键词直接拼接到SQL查询语句中,未进行适当的过…

Read more
CVSS 5.3
WordPress插件foodbook-light SQL注入与XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该网页截图显示了一个名为“foodbook-light-online-food-ordering-system”的WordPress插件的源代码文件`class-components-ajax.php`。文件中存在多个潜在的安全漏洞,主要包括: 1. **SQL注入漏洞**:在`search_product`函数中,用户输入的关键词直接拼接到SQL查询语句中,未进行适当的过滤或转…

Read more
CVSS 5.3
WordPress插件foodbook-light SQL注入及XSS漏洞分析
plugins.trac.wordpress.org · 2026-07-14

### 漏洞概述 该网页截图显示了一个名为“foodbook-light-online-food-ordering-system”的WordPress插件的源代码文件 `class-components-ajax.php`。文件中存在多个潜在的安全漏洞,主要包括: 1. **SQL注入漏洞**:在 `search_product` 函数中,用户输入的关键词直接拼接到SQL查询语句中,未进行适当的过…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。