漏洞

漏洞类型 代码注入 发现时间 2026-04-08 漏洞等级 高危 MPS编号 MPS-xwyr-fole CVE编号 CVE-2026-34197 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache ActiveMQ Classic 是 Apache Software Foundation 开源的 Java 消息中间件，用于构建 JMS 消息代理与系…

漏洞类型 保护机制失效 发现时间 2026-03-27 漏洞等级 高危 MPS编号 MPS-vxa0-ywjp CVE编号 CVE-2026-27893 漏洞影响广度 一般 漏洞危害 OSCS 描述 vLLM 是一个开源的大语言模型高性能推理与服务引擎，用于在生产环境中部署和运行大规模语言模型，支持多种模型架构的高效推理。 受影响版本中，vllm/model…

漏洞类型 使用不兼容类型访问资源（类型混淆） 发现时间 2026-03-30 漏洞等级 严重 MPS编号 MPS-th3l-nwyq CVE编号 CVE-2026-33937 漏洞影响广度 一般 漏洞危害 OSCS 描述 Handlebars 是一个流行的 JavaScript 语义化模板引擎，用于构建动态网页和 Node.js 应用。 受影响版本中，Han…

漏洞类型 路径遍历 发现时间 2026-03-30 漏洞等级 严重 MPS编号 MPS-8epm-6xq4 CVE编号 CVE-2025-15036 漏洞影响广度 一般 漏洞危害 OSCS 描述 MLflow 是一个开源的机器学习生命周期管理平台，用于管理端到端的机器学习工作流。 受影响版本中，mlflow/pyfunc/dbconnect_artifact…

漏洞描述 12月4日，React 与 Next.js 官方披露了两个与 React Server Components（RSC）相关的远程代码执行严重漏洞：CVE-2025-55182（React） 与 CVE-2025-66478（Next.js），其根因都是由于react-server-dom系列的三个实验性对Flight协议的反序列化实现不当，这些组件…

一、概述 2025年11月24日，墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒，这些包在NPM仓库中发布的新版本仿冒引入Bun运行时，引入 preinstall: node setup_bun.js，以及混淆的 bun_environment.js 文件。 在执行时会下载并运行 TruffleHog …

【高危】NPM组件 @axaclient-socle-front/redux-helpers 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @axaclient-socle-front/redux-helpers 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MP…

【严重】Dataease DB2 Aspectweaver 反序列化任意文件写入漏洞 漏洞描述 DataEase 是一款开源的数据可视化分析工具。该漏洞存在于其DB2数据源连接模块，该模块负责构建并处理与IBM DB2数据库的JDBC连接。受影响版本中，系统在拼接 DB2 数据源 JDBC 连接字符串时未对用户输入的 extraParams 或完整 URL …

【高危】PyPI仓库 Anrk 组件内嵌木马 漏洞描述 当用户安装受影响版本的 Anrk 等Python组件包时会从攻击者的GitHub地址下载并执行恶意木马 Payload.exe，攻击者可窃取主机信息并进行远控。 MPS编号 MPS-06f8-lav5 处置建议 强烈建议修复 发现时间 2025-08-25 投毒仓库 pip 投毒类型 主机信息收集、后门…

【高危】NPM组件 typescript-4.8 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 typescript-4.8 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-c0m5-bjdy 处置建议 强烈建议修复 发现时间 2025-08-24 投毒仓库…