目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

安全情报专区 36026+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

示例:RCE · SSRF · GHSA · 反序列化
筛选
D-Link DIR-1253硬编码root凭证漏洞(CVE-2026-52533)分析
zuh.re · 2026-07-14

### 漏洞概述 - **CVE编号**: CVE-2026-52533 - **漏洞类型**: 权限提升 - **受影响设备**: D-Link DIR-1253 (White) - **漏洞描述**: 在D-Link DIR-1253/DIR-835M (White version of DIR-1253) 的旧版本固件中,存在一个硬编码的root(管理员)凭证。该凭证位于固件文件 `/etc…

Read more
CVSS 7.1
ChurchCRM 7.3.3 越权读取/修改漏洞 (GHSA-j6i3-h3cm-p7x7)
github.com · 2026-07-14

### 漏洞概述 **漏洞名称**: Improper object-level authorization allows low-privileged users to read and modify other families' records via family API endpoints **漏洞ID**: GHSA-j6i3-h3cm-p7x7 **严重程度**: 高 (7.1 / …

Read more
精品
CVSS 9.1
ChurchCRM <=7.3.3 插件上传RCE漏洞及修复指南
github.com · 2026-07-14

### 漏洞概述 **漏洞名称**: Authenticated Remote Code Execution (RCE) via Malicious Plugin Upload in ChurchCRM **漏洞描述**: 通过上传恶意插件ZIP文件,攻击者可以实现远程代码执行(RCE)。该漏洞存在于ChurchCRM的插件安装逻辑中,具体在`PluginInstaller.php`和`plugi…

Read more
CVSS 4.3
Class and Exam Timetabling System V1.0 跨站脚本(XSS)漏洞及PoC
github.com · 2026-07-14

### 漏洞概述 - **项目名称**: Class and Exam Timetabling System Project V1.0 - **漏洞类型**: 跨站脚本攻击 (XSS) - **受影响文件**: `/forsubject.php` - **漏洞原因**: 在 `/forsubject.php` 文件中发现了 XSS 漏洞。攻击者可以通过 `subject` 参数注入恶意脚本代码,系…

Read more
CVSS 3.7
私有媒体未授权访问漏洞分析(#201)及POC
github.com · 2026-07-14

### 漏洞概述 **标题**: Private media can be accessed without ownership checks via stable /m IDs #201 **描述**: 私有上传/生成的媒体可以通过稳定的媒体路由在没有用户或项目所有权检查的情况下被检索。应用程序仅从存储密钥派生稳定的公共媒体ID。 ### 影响范围 - **受影响代码**: - `src/lib…

Read more
CVSS 6.5
ChurchCRM 7.3.3 权限绕过导致全量成员PII泄露
github.com · 2026-07-14

### 漏洞概述 **漏洞名称**: Broken Access Control in `CSVCreateFile.php` Allows Low-Privileged Users to Export All Members' PII **漏洞描述**: - **漏洞类型**: 权限绕过(Broken Access Control) - **影响组件**: `CSVCreateFile.php`…

Read more
OpenBMB XAgent 1.0.0 路径遍历致信息泄露漏洞分析
gist.github.com · 2026-07-14

### 漏洞概述 **漏洞名称**: OpenBMB XAgent 1.0.0 路径遍历漏洞 **漏洞类型**: 路径遍历(Path Traversal) **影响**: 信息泄露 **描述**: XAgent 的 `file()` 函数存在路径遍历漏洞。输入参数 `file_name` 是用户可控的,并且被直接拼接到文件路径中,没有进行适当的验证。这可能导致目录遍历漏洞,从而泄露敏感信息。 ##…

Read more
LogicalDOC Enterprise CVE-2025-45869 未认证SSRF漏洞通报
github.com · 2026-07-14

### 漏洞概述 **CVE-2025-45869 (Unauthenticated SSRF in ShareFileCallback)** - **产品**: LogicalDOC Enterprise - **版本**: LogicalDOC Enterprise <= 9.1.1 - **漏洞组件**: - `/sharefile-callback` - `ShareFileCallbac…

Read more
CVSS 6.1
CVE-2020-49971 plank/laravel-mediable 存储型XSS漏洞及修复
github.com · 2026-07-14

### 漏洞概述 - **漏洞编号**: CVE-2020-49971 - **漏洞类型**: 存储型XSS(Stored XSS) - **漏洞描述**: 通过未 sanitization 的 SVG 文件上传,导致存储型XSS漏洞。攻击者可以上传包含恶意脚本的SVG文件,当其他用户访问这些文件时,恶意脚本将被执行。 ### 影响范围 - **受影响组件**: `plank/laravel-me…

Read more
Phoenix LiveView 跨站脚本漏洞 (CVE-2026-58228) 修复与利用分析
cna.erlef.org · 2026-07-14

### 漏洞概述 - **CVE编号**: CVE-2026-58228 - **漏洞类型**: 跨站脚本(XSS) - **CVSS评分**: 5.1(中等) - **描述**: 在 `Phoenix.LiveView.Utils` 中,URL 方案验证存在绕过漏洞,攻击者可以执行 JavaScript 代码。 ### 影响范围 - **受影响模块**: `Phoenix.LiveView.Ut…

Read more
Phoenix Live View URI Scheme 逻辑错误修复
github.com · 2026-07-14

### 漏洞概述 该漏洞涉及 `phoenix_live_view` 库中的 `uri_scheme` 函数。此函数在处理 URI 方案时存在逻辑错误,可能导致安全漏洞。 ### 影响范围 - **库名称**: `phoenix_live_view` - **文件**: `lib/phoenix_live_view/utils.ex` - **函数**: `uri_scheme` ### 修复方案…

Read more
精品
CVSS 8.8
laravel-mediable SSRF/XSS/LPE 漏洞修复与加固指南
github.com · 2026-07-14

### 漏洞概述 该网页截图展示了一个名为 `plank/laravel-mediable` 的库的安全更新。此更新为安全版本,强烈建议升级。主要修复了以下安全问题: 1. **SSRF 攻击防护**: - 添加了 `mediable.allowed_remote_hosts` 配置,允许将远程 URL 源适配器限制在白名单中。默认情况下,所有主机都被允许。 - 如果未提供 `mediable.a…

Read more
精品
CVSS 8.8
CVE-2026-4970 路径遍历漏洞详情及修复代码分析
github.com · 2026-07-14

### 漏洞概述 - **漏洞编号**:CVE-2026-4970 - **漏洞类型**:路径遍历漏洞(Path Traversal) - **漏洞描述**:在 `sanitizePath()` 函数中,由于目录分隔符绕过问题,导致路径遍历漏洞。攻击者可以通过修改 `source_adapters` 模式匹配,利用 `../` 字符从路径段中移除,从而防止潜在的文件系统问题。 ### 影响范围 -…

Read more
CVSS 7.4
CVE-2026-49969 SSRF漏洞及修复方案
github.com · 2026-07-14

### 漏洞概述 - **漏洞编号**: CVE-2026-49969 - **漏洞类型**: SSRF(服务器端请求伪造) - **漏洞描述**: 在 `RemoteUrlAdapter` 中,由于未验证远程 URL,导致存在 SSRF 漏洞。修复方案包括添加对受信任主机名的白名单机制,默认情况下会阻止私有 IP 地址和 localhost。 ### 影响范围 - **受影响组件**: `Rem…

Read more
精品
CVSS 8.8
CVE-2026-49972 mediable库RCE漏洞及修复
github.com · 2026-07-14

### 漏洞概述 - **漏洞编号**: CVE-2026-49972 - **漏洞类型**: 远程代码执行(RCE) - **漏洞原因**: 文件名中的双扩展名绕过 ### 影响范围 - **受影响组件**: `mediable` 库 - **受影响版本**: 所有未修复的版本 ### 修复方案 - **修复内容**: - 添加了 `mediable.sanitizers` 配置,允许指定自定义…

Read more
CVSS 6.3
Eleveo Call Recording 访问控制绕过漏洞(CVE-2026-15473)
github.com · 2026-07-14

### 漏洞概述 Eleveo Call Recording Software 9.7.0 的 `restoreCallAction.do` 端点存在一个 Broken Access Control(访问控制不当)漏洞。该漏洞允许低权限认证用户绕过管理员定义的访问过滤器,恢复本应不可访问的通话记录。 ### 影响范围 - **软件名称**: Eleveo Call Recording Softwa…

Read more
CVSS 4.3
Eleveo Call Recording Software Broken Access Control漏洞分析
github.com · 2026-07-14

### 漏洞概述 Eleveo Call Recording Software 9.7.0 存在多个 Broken Access Control 漏洞,允许低权限认证用户(包括没有“Users and Roles”权限的用户)通过 `/callrec/group.jsp` 和 `/callrec/user_search.jsp` 端点访问组配置详情。后端未正确实施基于角色的访问控制,导致未经授权的…

Read more
CVSS 4.3
Eleveo Call Recording Software 越权访问PCI合规状态漏洞
github.com · 2026-07-14

### 漏洞概述 Eleveo Call Recording Software 9.7.0 存在一个 `pci_dss_status.jsp` 端点的权限控制漏洞。该漏洞允许低权限认证用户(包括那些没有“其他设置”权限的用户)检索系统的 PCI 合规状态。后端未能正确执行基于角色的访问控制,导致未经授权的用户可以访问与系统 PCI 合规状态相关的信息。此功能应仅限于授权的 administrati…

Read more
CVSS 8.2
U-Boot网络栈漏洞分析:CVE-2026-29007/29008越界读取及CVE-2026-29009缓冲区溢出致RCE
y637f9qq2x.com · 2026-07-14

### 漏洞概述 该网页截图中描述了U-Boot中的三个漏洞,分别是: 1. **CVE-2026-29007**:在`tcp_rx_state_machine()`函数中的整数下溢,导致在`TCP_ESTABLISHED`状态下出现越界读取。 2. **CVE-2026-29008**:同样的整数下溢问题,但在`TCP_SYN_SENT`状态下触发。 3. **CVE-2026-29009**:…

Read more
CVSS 4.3
Eleveo Call Recording软件越权访问与数据泄露漏洞
github.com · 2026-07-14

### 漏洞概述 Eleveo Call Recording Software 9.7.0 存在多个访问控制漏洞,允许低权限认证用户绕过管理员定义的过滤器,通过 `/callrec/composeEmailAction.do` 和 `/callrec/sendEmailAction.do` 端点检索受限的通话详情。尽管管理员可以配置过滤器来限制用户可访问的通话记录,但后端在处理邮件发送请求时未正确…

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。