安全情报专区 23476+

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源，已自动清洗 + 中英双语呈现，持续更新。

WordPress System Dashboard 插件逻辑漏洞(CVE-2023-5713)及POC

research.cleantalk.org · 2026-04-09

### 漏洞关键信息总结 **漏洞概述** * **CVE编号:** CVE-2023-5713 * **漏洞名称:** System Dashboard – Broken Logical Control to Mail Box password Thief * **严重等级:** Very High (非常高) * **描述:** 在 `System Dashboard` 插件中发现了一个逻辑控…

WordPress Debug Log Manager 插件 CSRF 漏洞 (CVE-2023-5772)

research.cleantalk.org · 2026-04-09

### 漏洞关键信息总结 **漏洞概述** * **CVE编号:** CVE-2023-5772 * **漏洞类型:** CSRF (Cross-Site Request Forgery / 跨站请求伪造) * **受影响插件:** Debug Log Manager * **严重性:** High (高) * **描述:** 在 Debug Log Manager 插件中发现了一个 CSRF 漏…

CVE-2023-5448: WP Register Profile With Shortcode CSRF致密码重置

research.cleantalk.org · 2026-04-09

# CVE-2023-5448 – WP Register Profile With Shortcode – CSRF to password Reset ## 漏洞概述该漏洞存在于 **WP Register Profile With Shortcode** 插件中，类型为 **CSRF (跨站请求伪造)**。 * **漏洞描述:** 在 `action=rpws_user_update_pa…

WordPress Neon Text插件存储型XSS漏洞(CVE-2023-5817)及POC

research.cleantalk.org · 2026-04-09

### 漏洞关键信息总结 **1. 漏洞概述** * **CVE ID**: CVE-2023-5817 * **受影响插件**: Neon Text WordPress Plugin * **受影响版本**: <= 1.1 * **漏洞类型**: 存储型跨站脚本攻击 (Stored Cross-Site Scripting, XSS) * **触发方式**: 通过短代码 (Shortcode) …

CVE-2026-3585 The Events Calendar 认证后LFI漏洞及POC

research.cleantalk.org · 2026-04-09

# CVE-2026-3585 漏洞总结 ## 漏洞概述 * **CVE编号**: CVE-2026-3585 * **漏洞名称**: The Events Calendar – LFI Author+ * **漏洞类型**: 认证后本地文件包含 (Authenticated Local File Inclusion) * **描述**: 该漏洞存在于 The Events Calendar 插件…

WooCommerce插件Checkout Field Editor未授权存储型XSS漏洞(CVE-2026-3231)

research.cleantalk.org · 2026-04-09

### 漏洞关键信息总结 **漏洞概述** * **CVE 编号:** CVE-2026-3231 * **漏洞类型:** 未授权存储型跨站脚本 (Unauthenticated Stored XSS) * **受影响插件:** Checkout Field Editor (Checkout Manager) for WooCommerce * **漏洞成因:** 插件在渲染 Block Chec…

CVE-2026-3098: Smart Slider 3 插件低权限用户本地文件读取漏洞

research.cleantalk.org · 2026-04-09

# CVE-2026-3098 - Smart Slider 3 - LFI (Subscriber+) ## 漏洞概述该漏洞影响 Smart Slider 3 插件，允许经过身份验证的低权限用户（如 Subscriber）利用正常的滑块和图像管理流程进行任意本地文件读取（LFI）。攻击者可以将服务器文件内容打包到导出的 Smart Slider 存档中，从而下载并离线检查配置文件、凭据和应用程…

WooPayments 未授权缓存投毒/DoS漏洞 (CVE-2026-1710)

research.cleantalk.org · 2026-04-09

# 漏洞总结：CVE-2026-1710 ## 漏洞概述 * **CVE ID:** CVE-2026-1710 * **漏洞名称:** WooPayments – Unauthenticated Checkout UI Cache Poisoning/DOS via Public save_upe_appearance AJAX Endpoint * **描述:** 该漏洞存在于 WooPaym…

CVE-2026-5762: MediaWiki ReportIncident 集成导致大型页面请求超时

phabricator.wikimedia.org · 2026-04-09

### 漏洞总结 **漏洞概述** * **CVE ID:** CVE-2026-5762 * **标题:** ReportIncident DiscussionTools integration causes slow requests with occasional timeouts on large talk pages (ReportIncident DiscussionTools 集成导…

CoolerControl CVE-2023-35943 认证绕过漏洞分析与修复

gitlab.com · 2026-04-08

### 漏洞关键信息总结 **漏洞概述** 该截图显示的是 **CoolerControl** 项目的代码仓库界面。CoolerControl 存在一个著名的认证绕过漏洞（通常关联 **CVE-2023-35943**）。该漏洞允许攻击者通过发送特定的 HTTP 请求（例如访问 `/api/v1/device` 等接口），绕过系统的身份验证机制，从而在未授权的情况下获取设备信息或控制设备。 **影…

fast-jwt cacheKeyBuilder缓存混淆导致认证绕过及修复

github.com · 2026-04-08

### 漏洞总结 **漏洞概述** 这是一个关于 `fast-jwt` 库中 `cacheKeyBuilder` 选项的**缓存混淆（Cache Confusion）风险**。当用户自定义 `cacheKeyBuilder` 函数用于缓存验证结果时，如果该函数无法为不同的 token 生成唯一的 key，会导致缓存碰撞。攻击者可能利用此漏洞，使不同的 token 被系统错误地识别为同一个 tok…

ICONICS Suite 多个漏洞公告 (CVE-2025-14015/14016)

www.mitsubishielectric.com · 2026-04-08

# 多个信息泄露、篡改和拒绝服务漏洞公告 ## 漏洞概述该公告涉及 **GENESIS64, ICONICS Suite, MobileHMI, Hyper Historian, AnalytX, MC Workcard, 和 GENESIS** 软件中的多个安全漏洞。当启用 **本地缓存 (local cache)** 功能并使用 **SQL 服务器身份验证** 时，攻击者可利用以下漏洞： *…

三菱电机GENESIS64/ICONICS Suite SQL Server凭据明文存储漏洞(CVE-2025-14815/14816)

www.cisa.gov · 2026-04-08

# Mitsubishi Electric GENESIS64 and ICONICS Suite 产品漏洞总结 ## 漏洞概述成功利用这些漏洞可能允许本地攻击者披露受影响的产品的 SQL Server 凭据，并利用这些凭据泄露、篡改或破坏数据，或导致系统拒绝服务（DoS）。 ## 影响范围以下版本的三菱电机（Mitsubishi Electric）产品受到影响： * GENESIS64 <=…

三菱电机多款产品明文存储漏洞 (CVE-2025-14815/14816)

jvn.jp · 2026-04-08

### 漏洞概述该网页描述了三菱电机（Mitsubishi Electric）旗下多款产品的安全漏洞，主要涉及重要信息的明文存储问题。 * **CVE-2025-14815 (重要信息的明文存储):** 当 SQLLite 的本地缓存功能被启用，且 SQL 服务器的认证方法使用了 SQL 认证时，存在本脆弱性。 * **CVE-2025-14816 (GUI 中的重要信息的明文存储):** 在该…

Movable Type Listing Framework RCE与SQL注入漏洞(CVE-2026-25776/CVE-2026-33088)

www.sixapart.jp · 2026-04-08

### 漏洞概述该公告涉及 Movable Type 内容管理系统中 **Listing Framework**（用于管理后台 `mt.cgi` 和 Data API `mt-data-api.cgi` 的框架）的两个安全漏洞： 1. **远程代码执行 (RCE)**：在过滤器处理过程中，允许执行任意 Perl 代码。 * **CVE ID**: CVE-2026-25776 (MTC-3120…

Movable Type 代码注入与SQL注入漏洞 (CVE-2026-25776/CVE-2026-33088)

jvn.jp · 2026-04-08

# JVN#66473735 Movable Type 多个漏洞总结 ## 漏洞概述 Six Apart Ltd. 提供的 Movable Type 内容管理系统存在多个安全漏洞，主要包括： * **代码注入 (Code Injection, CWE-94)**: 允许攻击者执行任意 Perl 脚本。 * CVE-2026-25776 (CVSS 3.0 Base Score: 9.8) * **…

Go 1.26.2/1.25.9 安全更新：RootChmod 符号链接遍历、XSS 及 crypto/x509 漏洞修复

groups.google.com · 2026-04-08

### 漏洞总结 **漏洞概述** Go 1.26.2 和 Go 1.25.9 版本发布，包含 10 个安全修复。主要涉及 RootChmod 符号链接遍历、HTML/Template 模板字面量上下文跟踪以及 crypto/x509 通配符域名 DNS 约束问题。 **详细漏洞信息** 1. **RootChmod 符号链接遍历漏洞 (CVE-2026-23282)** * **描述**：在 L…

Go语言Root.Chmod符号链接竞态条件漏洞(CVE-2026-32282)修复

go.dev · 2026-04-08

### 漏洞关键信息总结 **漏洞概述** 在Linux系统上，当`Root.Chmod`的目标被替换为符号链接（symlink）且chmod操作正在进行时，`Chmod`可能会在符号链接指向的目标上操作，即使该目标位于根目录之外。这是因为Linux内核的`chmod`系统调用忽略了`AT_SYMLINK_NOFOLLOW`标志。 **影响范围** * **类型:** 安全漏洞 (Security…

Go标准库archive/tar旧GNU稀疏格式DoS漏洞(CVE-2024-32288)修复分析

go.dev · 2026-04-08

### 漏洞总结 **漏洞概述** 该漏洞（编号 **CVE-2024-32288**）存在于 Go 语言标准库的 `archive/tar` 包中。在解析旧 GNU 稀疏格式（old GNU sparse format）的 tar 文件时，程序未对稀疏映射（sparse maps）的最大大小设置限制。攻击者可以利用此漏洞构造包含极大稀疏映射的恶意 tar 文件，导致服务器资源（如内存或 CPU）…

Go crypto/x509 证书验证二次复杂度 DoS (CVE-2026-32281)

go.dev · 2026-04-08

### 漏洞总结 **漏洞概述** 在 Go 1.26.1 及更早版本中，`crypto/x509` 包中的 `Certificate.Verify` 函数在处理包含大量 `PolicyMappings`（策略映射）扩展的证书链时，存在二次复杂度（Quadratic Complexity）的性能缺陷。 * **触发条件：** 当候选证书链已构建至受信任根，且中间证书包含未被抑制（InhibitPo…

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源？邮件告诉我们，每周新接 1-2 个。