murphysec

【高危】NPM组件 aiohappyeyeballs 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 aiohappyeyeballs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-yn10-lj8a 处置建议 强烈建议修复 发现时间 2025-08-03 投毒仓库 npm 投毒类型 …

【高危】NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @usaa-grp-payments-web-experience/bk-acknowledge-module 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址…

【高危】Google Chrome <137.0.7129.0 BrowserTabStripTracker UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，BrowserTabStripTracker 组件在初始化时会遍历列表 BrowserList。由于程序启动时加载扩展和自动打开开…

【高危】NPM组件 @coolblue-development/next-recently-viewed 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @coolblue-development/next-recently-viewed 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 …

【高危】NPM组件 @azet/api 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @azet/api 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-be0g-pqt1 处置建议 强烈建议修复 发现时间 2025-07-31 投毒仓库 npm 投毒类型 暂无 利用成本 低 …

【高危】Google Chrome <140.0.7297.0 MediaStreamTrackImpl UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，当处理媒体流时，MediaStreamTrackImpl 组件在销毁前，未能清除其底层音频轨道（MediaStreamAudioTra…

【高危】NPM组件 @0xme5war/apicli 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @0xme5war/apicli 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者的电报地址(botToken = “7699295118:AAF6pb7t718vjHWHwFQlZOastZQYHL8IV…

【高危】NPM组件 @ai0x1337/budoux-extension 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @ai0x1337/budoux-extension 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-a53u-ni9v 处置建议 强烈建议修复 发现时间 2…

【严重】Google Chrome V8< 13.7.120 沙箱绕过漏洞 漏洞描述 V8 是 Google 开发的一款开源高性能 JavaScript 和 WebAssembly 引擎，广泛用于 Chrome 浏览器和 Node.js 等项目中。受影响版本中，JsonParser::MakeString 函数在处理长度为 1 的转义字符串时存在二次获…

【高危】NPM组件 botframework-webchat-base 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 botframework-webchat-base 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-jug0-lb4x 处置建议 强烈建议修复 发现时间 202…