目标: 1000 元,已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
# MyT-PM 1.5.1 SQL 注入漏洞总结 ## 漏洞概述 - **漏洞名称**:MyT-PM 1.5.1 SQL Injection via Charge[group_total] Parameter - **严重等级**:HIGH - **发布日期**:2026/12/4 - **CVSS 向量**:CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H…
# 安全公告 YSA-2026-01 ## 漏洞概述 Yubico 发布了安全更新,修复了 Windows 系统上的 DLL 搜索路径漏洞。攻击者若在受影响软件或 Python 的安装目录中放置恶意文件,即可实现代码执行。若软件安装在受管理员权限保护的目录中,攻击者需具备相应权限才能执行此攻击。 ## 影响范围 * **libfido2**: 2.2.0 之前的版本 * **python-fido…
# 漏洞总结:Pachno 远程垂直权限提升漏洞 ## 漏洞概述 Pachno 1.0.6 的 `runSwitchUser()` 函数存在远程垂直权限提升漏洞。该函数在检查用户权限时,仅验证 `canSaveConfiguration()` 和 `hasCookie('original_username')` 两个条件。攻击者可以通过设置 `original_username` Cookie 绕…
# 漏洞总结:Pachno 1.0.6 Wiki TextParser XXE 漏洞 ## 漏洞概述 Pachno 是一个开源协作平台(前身为 The Bug Genie),用于团队项目管理、问题跟踪和文档记录。在 1.0.6 版本中,Wiki 文本解析器存在 XML 外部实体注入(XXE)漏洞。 **漏洞详情:** - 输入通过 wiki 表格语法(`[|...|]`)和行内标签(``, ``,…
# Pachno 1.0.6 存储型跨站脚本漏洞 (XSS) ## 漏洞概述 Pachno 是一个开源协作平台,用于团队项目管理、问题跟踪和文档记录。该漏洞属于存储型跨站脚本(Stored Cross-Site Scripting)。 攻击者可以通过 POST 参数(如 `comment_body`、`article_content`、`description` 和 `message`)注入恶意脚…
# 漏洞总结:Pachno 1.0.6 跨站请求伪造 (CSRF) ## 漏洞概述 Pachno 是一个开源协作平台,用于团队项目管理、问题跟踪和文档。该漏洞涉及跨站请求伪造(CSRF),由于应用程序中缺少 CSRF 保护机制,攻击者可以诱导已认证用户执行非预期的操作。 ## 影响范围 - **受影响版本**: Pachno 1.0.6 - **受影响端点**: 包括登录、注册、注销、文件上传、里…
# 漏洞概述 **标题**: Pachno 1.0.6 (uploadfile) 不受限制的文件上传远程代码执行 **严重性**: HIGH **发布日期**: 2026年4月12日 **描述**: Pachno 是一个开源协作平台(前身为 The Bug Genie),用于团队项目管理、问题跟踪和文档记录。该漏洞存在于 `uploadfile` 端点,允许经过身份验证的用户直接将文件上传到服务器…
# Pachno 1.0.6 FileCache 反序列化远程代码执行漏洞 ## 漏洞概述 Pachno 是一个开源协作平台,用于团队项目管理、问题跟踪和文档。该漏洞源于框架在引导阶段(`bootstrap` 序列)对存储在 `cache` 目录下的文件内容使用了 `unserialize()` 函数。 攻击者可以通过向 `cache` 目录写入包含序列化 PHP 对象载荷的文件,在下一个 HTT…
### 漏洞概述 - **漏洞名称**: UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter - **描述**: UsersWP插件在WordPress中用于前端登录、用户注册、用户资料和成员目录功能。该插件存在盲服务器端请求伪造漏洞,影响所有版本,…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题和描述。 2. **影响范围**:受影响的软件版本。 3. **修复方案**:如何修复。 4. **POC/利用代码**:如果有,需要提取。 **分析截图内容:** * **标题**:UsersWP ### 漏洞关键信息总结 **漏洞概述** UsersWP 插件存在存储型跨站脚本(Stored XS…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取的关键信息包括: 1. **漏洞概述**:这是什么漏洞? 2. **影响范围**:受影响的版本是什么? 3. **修复方案**:如何修复? 4. **POC/利用代码**:如果有,必须提取。 **分析截图内容:** * **标题**:Gravity Forms **漏洞概述** Gravity Forms 插件在 WordPress 中存在反射…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题和描述。 2. **影响范围**:受影响的软件版本。 3. **修复方案**:补丁版本。 4. **POC/利用代码**:检查是否有代码块。 **分析截图内容:** * **标题**:Customer Reviews for WooCommerce ### 漏洞概述 * **漏洞标题**:Custom…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取的关键信息包括: 1. **漏洞概述**:标题、描述。 2. **影响范围**:受影响的软件版本。 3. **修复方案**:如何修复。 4. **POC/利用代码**:如果有,需要提取。 **分析截图内容:** * **标题**:Aruba HiSpeed Cache # 漏洞总结 **漏洞概述**: Aruba HiSpeed Cache W…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题和描述。 2. **影响范围**:受影响的版本。 3. **修复方案**:修复版本或建议。 4. **POC/利用代码**:检查是否有代码块。 **分析截图内容:** * **标题**: Kadence Blocks — Page Builder Toolkit for Gutenberg Edito…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题、描述。 2. **影响范围**:受影响的软件版本。 3. **修复方案**:如何修复。 4. **POC/利用代码**:如果有,需要提取。 **分析截图内容:** * **标题**: Webling ### 漏洞关键信息总结 **漏洞概述** Webling WordPress插件存在存储型跨站脚本…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题、描述。 2. **影响范围**:受影响的版本。 3. **修复方案**:如何修复。 4. **POC/利用代码**:如果有,需要提取。 **分析截图内容:** * **标题**:Download Manager ### 漏洞关键信息总结 **漏洞概述** WordPress的Download Man…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题和描述。 2. **影响范围**:受影响的软件版本。 3. **修复方案**:如何修复。 4. **POC/利用代码**:如果有,需要提取。 **分析截图内容:** * **标题**: Perfatters ### 漏洞关键信息总结 **漏洞概述** Perfatters WordPress插件存在任…
用户希望我用简洁的中文Markdown总结提供的网页截图。 主要关注点: 1. **漏洞概述**:这是什么漏洞? 2. **影响范围**:受影响的版本是什么? 3. **修复方案**:如何修复? 4. **POC/利用代码**:如果有,必须提取。 **分析截图内容:** * **标题**:Vertex Addons for Elementor ### 漏洞关键信息总结 **漏洞名称** Verte…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题和描述。 2. **影响范围**:受影响的软件版本。 3. **修复方案**:如何修复。 4. **POC/利用代码**:检查是否有代码块。 **分析截图内容:** * **标题**: Gravity SMTP # 漏洞关键信息总结 ## 漏洞概述 Gravity SMTP 插件在 WordPress…
用户希望我总结提供的网页截图中的漏洞信息。 我需要提取以下关键信息: 1. **漏洞概述**:标题和描述部分。 2. **影响范围**:受影响的软件名称、版本。 3. **修复方案**:如何修复。 4. **POC/利用代码**:检查是否有代码块。 **分析截图内容:** * **标题**: AddFunc Head & Footer Code **漏洞概述** AddFunc Head & Fo…
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。