漏洞

【高危】NPM组件 @axaclient-socle-front/redux-helpers 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @axaclient-socle-front/redux-helpers 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MP…

【严重】Dataease DB2 Aspectweaver 反序列化任意文件写入漏洞 漏洞描述 DataEase 是一款开源的数据可视化分析工具。该漏洞存在于其DB2数据源连接模块，该模块负责构建并处理与IBM DB2数据库的JDBC连接。受影响版本中，系统在拼接 DB2 数据源 JDBC 连接字符串时未对用户输入的 extraParams 或完整 URL …

【高危】PyPI仓库 Anrk 组件内嵌木马 漏洞描述 当用户安装受影响版本的 Anrk 等Python组件包时会从攻击者的GitHub地址下载并执行恶意木马 Payload.exe，攻击者可窃取主机信息并进行远控。 MPS编号 MPS-06f8-lav5 处置建议 强烈建议修复 发现时间 2025-08-25 投毒仓库 pip 投毒类型 主机信息收集、后门…

【高危】NPM组件 typescript-4.8 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 typescript-4.8 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-c0m5-bjdy 处置建议 强烈建议修复 发现时间 2025-08-24 投毒仓库…

【高危】JeecgBoot SQL注入漏洞 漏洞描述 JeecgBoot是一款基于代码生成器的开源企业级低代码开发平台，旨在提高软件开发效率。受影响版本中，接口 /jeecg-boot/online/cgreport/head/parseSql 存在 SQL 注入漏洞。AbstractQueryBlackListHandler.isPass 在对 SQL 语…

【高危】NPM组件 @google_cloud/common 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @google_cloud/common 等NPM组件包时会窃取用户的主机名、用户名、IP地址、passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-4vbj-7ioz 处置建议 强烈建议修复 发现时间 2025-08-…

【高危】vLLM Qwen3CoderToolParser 远程代码执行漏洞 漏洞描述 vLLM 是一款开源、高效的大语言模型推理和服务引擎，旨在为用户提供快速、便捷的 LLM 推理能力。受影响版本中，启用工具调用并指定 qwen3_coder 解析器时，Qwen3CoderToolParser 在处理未定义或无法识别的参数类型时会调用 eval() 进行动…

【高危】NPM组件 @navancorp/angular-web-components 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @navancorp/angular-web-components 等NPM组件包时会窃取用户主机的主机信息（主机名、工作目录、CPU/系统架构、IP地址等）、env/passwd/bashrc等系统敏感文件并发送到攻…

【高危】Apache Tika XML外部实体注入漏洞 漏洞描述 Apache Tika 是一款开源的 Java 工具包，主要用于从各种文档格式中提取元数据与结构化文本内容。受影响版本中，XMLReaderUtils.java 的 getXMLInputFactory() 方法未安全初始化 XMLInputFactory，未禁用外部实体解析。攻击者可通过恶意…

【高危】NPM组件 @mz-codes/const 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @mz-codes/const 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vped-mlcb 处置建议 强烈建议修复 发现时间 2025-08-21 投毒仓库 npm 投毒类型 主机信息…