目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

安全情报专区 330— 搜索: GHSA×

精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。

Clear
示例:RCE · SSRF · GHSA · 反序列化
gitroomhq/postie-app 安全修复 (GHSA-88wq-w2cw-7v44, GHSA-w6vh-v53j-g589)
github.com · 2026-04-03

根据用户提供的网页截图,我提取了以下关于漏洞的关键信息: 1. **漏洞概述**: * 这是一个安全修复(Security Fixes)发布。 * 该发布解决了特定的安全漏洞。 * 涉及的具体漏洞编号为:`GHSA-88wq-w2cw-7v44` 和 `GHSA-w6vh-v53j-g589`。 * 警告信息明确指出所有用户建议立即升级。 2. **影响范围**: * 受影响的软件是 `gitro…

Read more
Vim heap-buffer-overflow漏洞修复(GHSA-4ghr-c62x-cqfh)
github.com · 2024-08-28

从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞编号**:GHSA-4ghr-c62x-cqfh 2. **问题描述**:heap-buffer-overflow in ins_typebuf 3. **解决方案**: - 当flush the typeahead buffer时,验证是否有足够的空间。 - 如果flush_typeahead等于FLUSH_MINIMAL,执行…

Read more
Rucio WebUI 多个安全漏洞修复 (GHSA-38wq 等)
github.com · 2026-02-26

### Rucio 39.3.1 Patch Release This release fixes several security relevant issues in the (old) Rucio Web UI: - **GHSA-38wq-6q2w-hcf9**: Username Enumeration via Login Error Message in Rucio WebUI - *…

Read more
Jetty PushSessionCacheFilter 远程 DoS 漏洞 (GHSA-r7m4-f9h5-gr79)
github.com · 2024-10-16

从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞名称**:PushSessionCacheFilter can cause remote DoS attacks 2. **发布者**:joakime 3. **漏洞编号**:GHSA-r7m4-f9h5-gr79 4. **发布日期**:昨天 5. **严重性**:低(Low) 6. **CVSS v3 分数**:3.1 / 1…

Read more
通过重定向跟随在 Cloudflare 图像绑定转换端点实现 SSRF(GHSA-qpr4 的不完整修复) · 公告 · withastro/astro · GitHub
github.com · 2026-04-25

# SSRF via redirect following in Cloudflare image-binding-transform endpoint (incomplete fix for GHSA-qpr4) ## 漏洞概述 在 `packages/integrations/cloudflare/src/utils/image-binding-transform.ts` 文件的第28行,`f…

Read more
[补丁绕过] GHSA-3p68-rc4w-qgx5 (CVE-2025-62718) 修复不完整 — Axios 1.15.0 中通过 RFC 1122 回环子网 (127.0.0.0/8) 绕过 NO_PROXY 保护 · 安全公告 ·
github.com · 2026-04-25

# 漏洞总结:Axios NO_PROXY 保护绕过 (CVE-2025-62718) ## 1. 漏洞概述 * **漏洞名称**:[Patch Bypass] Incomplete Fix for GHSA-3p68-rc4w-qqx5 (CVE-2025-62718) — NO_PROXY Protection Bypassed via RFC 1122 Loopback Subnet * *…

Read more
:lock: https://github.com/siyuan-note/siyuan/security/advisories/GHSA… · siyuan-note/siyuan@bb481e1 · GitHub
github.com · 2026-04-25

# 漏洞总结 ## 漏洞概述 该漏洞涉及 `kernel/server/server.go` 文件中的路径遍历问题。攻击者可以通过构造恶意路径,绕过敏感文件保护机制,导致敏感文件被导出。 ## 影响范围 - 受影响文件:`kernel/server/server.go` - 受影响函数:`serveExport` - 受影响条件:当 `util.IsSensitivePath` 函数未能正确识别敏…

Read more
Pipecast LivekitFrameSerializer Pickle反序列化RCE漏洞(GHSA-c3jg-5cp7-6wc7)
github.com · 2026-04-24

# 漏洞总结:Pipecast 远程代码执行漏洞 ## 漏洞概述 * **漏洞名称**:通过 `LivekitFrameSerializer` 进行 Pickle 反序列化导致的远程代码执行 (RCE) * **漏洞编号**:GHSA-c3jg-5cp7-6wc7 * **严重程度**:Critical (9.8/10) * **漏洞原因**:Pipecast 的 `LivekitFrameSer…

Read more
pyLoad会话管理缺陷修复(GHSA-60hx-chf7-3332)
github.com · 2026-04-22

# 漏洞总结 ## 漏洞概述 - **漏洞类型**:用户会话管理不当 - **影响**:用户修改/删除/密码变更时未正确失效会话,可能导致会话劫持或权限提升 - **关联安全公告**:GHSA-60hx-chf7-3332 和 GHSA-fj52-5q4h-gmq0 ## 影响范围 - 涉及 `pyload` 项目的 `src/pyload/webui/App/blueprints/json_bl…

Read more
Tekton Pipelines git resolver API令牌泄露漏洞(GHSA-2d5r-9pm-2w5c)
github.com · 2026-04-22

### 漏洞概述 - **漏洞名称**: Git resolver API mode leaks system-configured API token to user-controlled serverURL - **漏洞描述**: Tekton Pipelines 的 git resolver 在 API 模式下,当用户省略 `token` 参数时,会将系统配置的 Git API 令牌(如 G…

Read more
OpenProject 跨项目会议议程注入漏洞 (GHSA-hh5p-gwfh-h245)
github.com · 2026-04-21

# OpenProject 跨项目会议议程注入漏洞 (GHSA-hh5p-gwfh-h245) ## 漏洞概述 OpenProject 存在一个**未受限的 Section 查找 (Unscoped Section Lookup)** 漏洞。拥有 `manage_agendas` 权限的攻击者,可以在任意项目中向**其他项目**的会议中注入议程项。 * **漏洞原理**:在移动议程项 (`move…

Read more
GHSA-526v-vm72-4vd4: Sail XWD解析器无效bpp处理漏洞
github.com · 2026-04-18

# 漏洞总结 ## 漏洞概述 - **漏洞类型**:无效 bpp(bits per pixel)处理不当 - **漏洞编号**:GHSA-526v-vm72-4vd4 - **影响组件**:`src/sail-codecs/xwd/helpers.c` 和 `src/sail-codecs/xwd/xwd.c` ## 影响范围 - 该漏洞影响 XWD 图像格式解析器,可能导致在处理无效 bpp 时…

Read more
Maddy邮件服务器LDAP注入漏洞修复(GHSA-5835-4gvc-32pc)
github.com · 2026-04-18

### 漏洞概述 - **漏洞名称**: auth/ldap: Fix GHSA-5835-4gvc-32pc - **漏洞描述**: 在构建 LDAP 搜索过滤器表达式时,添加适当的转义处理。 ### 影响范围 - **影响文件**: - `docs/reference/auth/netauth.md` - `go.mod` - `go.sum` - `internal/auth/ldap/ld…

Read more
Dataease GHSA-944x-93jf-h3rx 任意文件读取漏洞及利用POC
github.com · 2026-04-18

# 任意文件读取漏洞 (Arbitrary File Read Vulnerability) ## 漏洞概述 * **漏洞类型**:任意文件读取 (Arbitrary File Read) * **严重程度**:高危 (High) * **漏洞编号**:GHSA-944x-93jf-h3rx * **受影响组件**:`io.dataease` (Maven) * **漏洞原理**: 在 `data…

Read more
Sail库BPP48-CIE-LAB格式处理漏洞(GHSA-rcqx-gc76-r9mv)
github.com · 2026-04-18

# 漏洞总结 ## 漏洞概述 - **漏洞名称**: 支持BPP48-CIE-LAB报告在GHSA-rcqx-gc76-r9mv中 - **漏洞描述**: 该漏洞涉及对BPP48-CIE-LAB格式的支持,具体是在处理图像数据时,未正确计算或处理某些像素格式,可能导致内存访问错误或数据损坏。 ## 影响范围 - **影响文件**: - `src/bindings/sail-python/src/e…

Read more
Chamilo LMS 存储型XSS漏洞(GHSA-273p-jw9w-3g22)分析
github.com · 2026-04-18

# 漏洞总结:Chamilo LMS 存储型 XSS 漏洞 ## 漏洞概述 - **漏洞名称**:Stored XSS via Malicious File Upload in Social Post Attachments Leading to Arbitrary JavaScript Execution - **漏洞编号**:GHSA-273p-jw9w-3g22 - **漏洞类型**:存储型…

Read more
LibreNMS 远程代码执行漏洞 (GHSA-pr3g-phhr-h8fh) 分析与利用
github.com · 2026-04-18

# LibreNMS 远程代码执行漏洞 (GHSA-pr3g-phhr-h8fh) ## 漏洞概述 LibreNMS 存在远程代码执行漏洞。攻击者通过修改内置网络诊断工具的**二进制路径设置**,并绕过输入过滤器,可以下载并执行恶意载荷。 ## 影响范围 - **受影响版本**: >= 1.48, External -> Binary Locations** 4. 修改 `whois` 二进制路径…

Read more
ImageMagick GHSA-26qp-ffjh-2x4v 内存分配错误导致DoS漏洞及修复分析
github.com · 2026-04-18

# ImageMagick 安全漏洞总结 ## 漏洞概述 - **漏洞编号**: GHSA-26qp-ffjh-2x4v - **漏洞类型**: 内存分配错误(Memory Allocation Error) - **触发条件**: 当处理包含特定尺寸(宽度和高度)的图像时,如果宽度和高度超过 `MAGICK_SIZE_MAX-2`,会导致内存分配失败。 - **影响**: 可能导致程序崩溃或拒绝…

Read more
LobeHub 认证绕过漏洞 (GHSA-5m9j-5jsw-5c97) 及修复方案
github.com · 2026-04-09

### 漏洞关键信息总结 **漏洞概述** 这是一个认证绕过(Auth Bypass)漏洞。攻击者可以通过伪造包含特定XOR混淆的 `X-lobes-chat-auth` 请求头来绕过身份验证。该机制依赖于一个硬编码的XOR key(`lobehub` -> `Lobehub`),该key是可预测且可伪造的,允许攻击者构造有效的认证头,从而冒充其他用户。 **影响范围** * **受影响组件:**…

Read more
GHSA-mmpq-5hcv-hf2v: Parse Server 登录时序侧信道用户枚举漏洞
github.com · 2026-04-08

### 漏洞关键信息总结 **1. 漏洞概述** * **漏洞名称:** Login timing side-channel reveals user existence (登录时序侧信道泄露用户存在性) * **安全公告 ID:** GHSA-mmpq-5hcv-hf2v * **漏洞类型:** 时序侧信道攻击 (Timing Side-Channel Attack) / 用户枚举 (User …

Read more

每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。

想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。