murphysec

【高危】Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞 漏洞描述 DataEase是一款开源的数据可视化分析工具，提供数据分析、图表展示和仪表盘设计功能，广泛应用于企业数据分析场景。受影响版本中，仅对 JDBC 连接字符串中的 socketFactory 和 socketFactoryArg 参数进行黑名单限制，…

【高危】PyPI仓库 loggutils 组件内嵌恶意代码 漏洞描述 当用户安装受影响版本的 loggutils Python组件包时会窃取用户主机浏览器、剪贴板、系统文件等信息，并窃取键盘记录和摄像头截图，并对用户主机进行远控。 MPS编号 MPS-tzsc-gm4v 处置建议 强烈建议修复 发现时间 2025-06-30 投毒仓库 pip 投毒类型 恶意…

【高危】Apache Seata < 2.3.0 raft反序列化漏洞 漏洞描述 Apache Seata(incubating) 是一款开源的分布式事务解决方案，用于在微服务架构下提供高性能和简单易用的分布式事务服务。受影响版本中，Seata Server 的 Raft 模块的 CustomDeserializer 直接通过 Class.forNam…

漏洞类型 对外部实体的文件或目录可访问 发现时间 2025-06-24 漏洞等级 严重 MPS编号 MPS-hiea-l3kn CVE编号 CVE-2024-56731 漏洞影响广度 漏洞危害 OSCS 描述 Gogs是一款Go语言开发的开源托管Git服务/代码仓库。 在0.13.3版本之前，由于CVE-2024-39931的补丁未考虑删除文件时的符号链接场…

漏洞类型 输入验证不恰当 发现时间 2025-06-24 漏洞等级 严重 MPS编号 MPS-ailh-k1fp CVE编号 CVE-2025-6547 漏洞影响广度 漏洞危害 OSCS 描述 pbkdf2 是一个开源的 NPM 组件，提供了 PBKDF2 (Password-Based Key Derivation Function 2) 算法的 Java…

漏洞类型 权限管理不当 发现时间 2025-06-19 漏洞等级 高危 MPS编号 MPS-mqf0-usbi CVE编号 CVE-2025-6019 漏洞影响广度 漏洞危害 OSCS 描述 libblockdev 是 Linux 上用于块设备管理的底层库，提供统一接口支持分区、文件系统、LVM 和加密等操作。udisks 是基于 D-Bus 的服务，封装调…

漏洞类型 使用候选路径或通道进行的认证绕过 发现时间 2025-06-16 漏洞等级 中危 MPS编号 MPS-tb3k-x9oh CVE编号 CVE-2025-49125 漏洞影响广度 漏洞危害 OSCS 描述 Apache Tomcat 是一款流行的开源 Web 应用服务器，广泛用于部署和运行 Java Web 应用程序。它提供了丰富的资源管理功能，允许…

漏洞类型 SQL注入 发现时间 2025-06-17 漏洞等级 严重 MPS编号 MPS-ui2a-byv3 CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 泛微e-cology是泛微公司开发的协同管理应用平台。 受影响版本中，/js/hrm/getdata.jsp 存在 SQL 注入漏洞，由于其中调用 weaver.hrm.common…

写在前面 一直以来，关于如何让公司管理层感知到安全工作的价值，如何说服老板对安全工作进行投入，以及如何考核企业安全各个团队的工作，都是企业安全负责人及安全专家们，最头疼和最关心的事情。 也是过去我们在视频号直播交流，以及线下和企业负责安全的大佬们交流中，聊到最多的话题。 而解决这几个问题的关键，就在于如何能够量化管理企业的安全风险。 只有能将风险量化出来，我…

写在前面 第一次见龙威是在2023年年中，去涂鸦智能做客户需求交流。 虽然过去了两年的时间，但是依然印象非常的深刻。 印象中第一次见龙威，当我还坐在他们休息区的沙发上，想他是一个什么风格的安全负责人，我应该怎么和他交流的时候，他穿着拖鞋，满脸笑容的朝我走过来，瞬间整个氛围让人心情轻松愉悦。所以之后一个多小时的交流，自然也非常愉快。 而且印象非常深刻的是，龙威…