目标: 1000 元,已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# CVE-2023-4586 漏洞总结 ## 漏洞概述 - **CVE ID**: CVE-2023-4586 - **描述**: 在 Hot Rod 客户端中发现了一个安全漏洞。当 Hot Rod 客户端未启用 TLS 的主机名验证时,可能会导致中间人(MITM)攻击。 - **CVSS 评分**: - **CVSS 3.x 基础评分**: 7.4 (高危) - **向量字符串**: CVSS…
### 漏洞概述 1. **FITS解压缩炸弹漏洞** - **描述**:在解压缩GZIP数据时,Pillow未限制读取的数据量,导致存在GZIP解压缩炸弹的风险。 - **修复方案**:限制读取的数据量,仅读取必要的数据。 2. **无效文件扩展名的OOB写入漏洞** - **描述**:Pillow 12.1.1增加了对特制PSD图像的改进检查,以防止OOB写入。之前的版本(>= 10.3.0)…
# Cisco Identity Services Engine (ISE) 远程代码执行与路径遍历漏洞总结 ## 漏洞概述 Cisco Identity Services Engine (ISE) 和 Cisco ISE Passive Identity Connector (ISE-PIC) 存在多个漏洞,允许经过身份验证的远程攻击者在受影响设备上执行远程代码或进行路径遍历攻击。攻击者需要有效…
# Cisco Unity Connection 安全漏洞总结 ## 漏洞概述 Cisco Unity Connection 存在多个安全漏洞,允许远程攻击者执行跨站脚本(XSS)、开放重定向和 SQL 注入攻击。 **关键信息:** - **严重性:** 中等 (Medium) - **CVSS 评分:** 6.1 - **发布日期:** 2026年4月15日 - **CVE 编号:** - C…
# 博世(Bosch)BVMS 远程资源消耗漏洞(CVE-2024-23618) ## 漏洞概述 * **漏洞编号**:CVE-2024-23618 * **漏洞类型**:未授权的资源消耗(Unrestricted Resource Consumption) * **风险等级**:高(High) * **CVSS 评分**:7.5 * **描述**:在 Bosch BVMS 12.1.1 中,攻击…
# LibreNMS 安全漏洞总结 ## 漏洞概述 LibreNMS 存在两个主要安全漏洞: 1. **XSS 漏洞**:在 showconfig 页面存在反射型 XSS 2. **RCE 漏洞**:通过任意文件写入实现远程代码执行 ## 影响范围 - **受影响版本**:LibreNMS /malicious.sh` 下载恶意脚本 3. 设置 `whois` 路径为 `/bin/bash` 执行…
# LibreNMS 漏洞总结 ## 漏洞概述 LibreNMS 存在两个关键漏洞: 1. **XSS 漏洞**:在 `showconfig` 页面存在反射型 XSS,攻击者可通过构造恶意 URL 注入脚本。 2. **RCE 漏洞**:通过任意文件写入实现远程代码执行,攻击者可上传并执行恶意脚本。 ## 影响范围 - **受影响版本**:LibreNMS /malicious.sh // 执行脚…
# 漏洞总结:Kiuwan WebUI (SSO) 锁定账户执行不当 ## 漏洞概述 * **漏洞名称**:Improper Enforcement of Locked Accounts in WebUI (SSO) * **CVE编号**:CVE-2026-24069 * **漏洞描述**:Kiuwan 支持通过 Microsoft ADFS 或 Azure 等启用单点登录 (SSO)。在配置角…
# CVE-2026-0232 漏洞总结 ## 漏洞概述 * **漏洞名称**:Cortex XDR Agent: Local Administrator can disable the agent on Windows * **CVE ID**:CVE-2026-0232 * **严重性**:MEDIUM (中等) * **紧急程度**:MODERATE (中等) * **描述**:Palo A…
### 漏洞概述 - **漏洞描述**:替换双MD5为Crypt::URandom - **作者**:Xavier Guimard - **上游跟踪器**:https://bugs.debian.org/938659 - **补丁状态**:已转发给上游 ### 影响范围 - 该漏洞影响使用双MD5生成会话ID的Apache::Session模块。 ### 修复方案 - 使用Crypt::URand…
# Samsung Mobile Security Updates (April 2026) ## 漏洞概述 Samsung 发布了 2026 年 4 月的安全维护版本(SMR),包含来自 Google 和 Samsung 的补丁。 ### Google 补丁 - **Critical**: CVE-2023-20713, CVE-2025-47392, CVE-2025-64505, CVE-2…
# ZTE 安全公告摘要 ## 漏洞概述 ZTE 发布了多项安全公告,涉及多个产品存在的安全漏洞。这些漏洞可能导致敏感操作被触发、配置缺陷、拒绝服务、私钥泄露、远程代码执行等风险。 ## 影响范围 - **ZTE Red Magic 11 Pro (NX909J)**:允许非特权应用触发敏感操作。 - **ZTE MF258K Pro Version Server**:存在配置缺陷漏洞。 - **…
# 2026-04 Security Bulletin: Junos OS 和 Junos OS Evolved 漏洞总结 ## 漏洞概述 - **CVE编号**: CVE-2026-33793 - **漏洞类型**: 权限提升漏洞(Privilege Escalation) - **严重程度**: 高(High) - **CVSS评分**: - v3.1: 8.1 (AV:L/AC:L/PR:L…
### 漏洞概述 #### CVE-2026-35337 - 未信任数据反序列化漏洞 - **描述**: 当处理通过Nimbus Thrift API提交的拓扑凭证时,Storm会反序列化base64编码的TGT密钥,使用`ObjectInputStream.readObject()`,没有进行任何类过滤或验证。具有拓扑提交权限的已认证用户可以提供一个精心构造的序列化对象,在“TGT”凭证字段中,…
# 漏洞总结:h3 框架请求走私漏洞 ## 漏洞概述 - **漏洞名称**:h3 框架请求走私漏洞 - **CVE 编号**:CVE-2026-23527 - **GHSA 编号**:GHSA-m2g9-9vg9-f4cg - **CVSS 评分**:8.9 - **严重程度**:HIGH - **发现时间**:2026-01-15 - **修复时间**:2026-01-15 - **影响版本**…
# VSEC_V4_2025_07_0002: Vaelsys MD5 哈希泄露 ## 漏洞概述 * **漏洞编号**: VSEC_V4_2025_07_0002 / CVE-2025-8260 * **严重程度**: MEDIUM (中等) * **描述**: 在 VaelsysV4 的 Web 界面中发现了一个敏感信息泄露问题。经过身份验证的管理员用户可以列出其他用户账户的 MD5 密码哈希。…
# VSEC_V4_2025_07_0001: Vaelsys OS 命令注入漏洞 (vgrid_server.php) ## 漏洞概述 在 Vaelsys OS 的 `vgrid_server.php` 文件中,`execute_DataObjectProc` 函数存在 OS 命令注入漏洞。攻击者可以通过 `xajaxargs` 参数注入并执行任意操作系统命令。该漏洞无需身份验证(只要会话有效)…
### 漏洞概述 - **漏洞名称**: nocobase plugin-workflow-javascript up to 2.0.23 Vm.js createSafeConsole sandbox - **漏洞编号**: CVE-2026-6224 - **CVSS评分**: 6.6 - **漏洞类型**: Sandbox Escape (沙箱逃逸) - **描述**: 在 nocobase…
### 漏洞概述 - **漏洞名称**: MobaXterm Home Edition 26.1 未受控搜索路径 - **漏洞ID**: VDB-358020, CVE-2026-6421, GCVE-100-358020 - **CVSSv3 评分**: 7.0 (严重) - **CVSSv2 评分**: 6.3 (中等) - **漏洞描述**: 该漏洞涉及 MobaXterm Home Edi…
### 漏洞概述 - **漏洞名称**: Wavlink WL-WN530H4 20220721 /cgi-bin/internet.cgi strcat/sprintf os command injection - **漏洞类型**: OS命令注入 - **严重程度**: Critical - **CVE编号**: CVE-2026-6483 - **CVSS评分**: 6.5 - **描述**…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。