murphysec

【严重】Apache OFBiz Scrum 组件命令注入漏洞 漏洞描述 Apache OFBiz 是一款知名的开源企业资源规划(ERP)解决方案，它提供了一整套开箱即用的企业级应用。Scrum 是 OFBiz 的一个插件，旨在为敏捷开发团队提供项目管理功能，其中包括与 SVN 版本控制系统的集成。受影响版本中，Scrum 插件内的 ScrumService…

【高危】NPM组件 @itx-community/com.inditex.beastgrid 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @itx-community/com.inditex.beastgrid 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-qxji-tw5…

【高危】NPM组件 @beacon-itx/react 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @beacon-itx/react 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vwdj-qi2a 处置建议 强烈建议修复 发现时间 2025-08-04 投毒仓库 npm…

【高危】NPM组件 aiohappyeyeballs 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 aiohappyeyeballs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-yn10-lj8a 处置建议 强烈建议修复 发现时间 2025-08-03 投毒仓库 npm 投毒类型 …

【高危】NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @usaa-grp-payments-web-experience/bk-acknowledge-module 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址…

【高危】Google Chrome <137.0.7129.0 BrowserTabStripTracker UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，BrowserTabStripTracker 组件在初始化时会遍历列表 BrowserList。由于程序启动时加载扩展和自动打开开…

【高危】NPM组件 @coolblue-development/next-recently-viewed 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @coolblue-development/next-recently-viewed 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 …

【高危】NPM组件 @azet/api 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @azet/api 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-be0g-pqt1 处置建议 强烈建议修复 发现时间 2025-07-31 投毒仓库 npm 投毒类型 暂无 利用成本 低 …

【高危】Google Chrome <140.0.7297.0 MediaStreamTrackImpl UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，当处理媒体流时，MediaStreamTrackImpl 组件在销毁前，未能清除其底层音频轨道（MediaStreamAudioTra…

【高危】NPM组件 @0xme5war/apicli 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @0xme5war/apicli 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者的电报地址(botToken = “7699295118:AAF6pb7t718vjHWHwFQlZOastZQYHL8IV…