漏洞

【高危】NPM组件 alan-baileys 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 alan-baileys 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-wkyd-5v7r 处置建议 强烈建议修复 发现时间 2025-07-02 投毒仓库 npm 投毒类型 主机信息收集 利…

【严重】深信服运维安全管理系统 netConfig/set_port 远程命令执行漏洞【POC已公开】 漏洞描述 深信服运维安全管理系统是一款集身份认证、操作审计、权限控制于一体的运维安全审计与管理平台。在受影响版本中，攻击者可以绕过登录限制，通过深信服运维安全管理系统netConfig/set_port接口未授权实现远程命令执行，进而获取系统权限。 MPS…

漏洞类型 从非可信控制范围包含功能例程 发现时间 2025-07-01 漏洞等级 严重 MPS编号 MPS-slkm-v57u CVE编号 CVE-2025-32463 漏洞影响广度 漏洞危害 OSCS 描述 sudo是Linux系统发行版中的系统用户权限管理工具，其chroot机制用于限制用户执行的root目录。 从2023年发布的1.9.14版本开始，s…

【高危】NPM组件 chuangkejinrong 内嵌恶意代码 漏洞描述 当用户安装受影响版本的 chuangkejinrong 组件包时会创建全屏的 iframe，获取用户访问的网页 URL并发送到攻击者可控的服务器地址。 MPS编号 MPS-lbhy-3vx8 处置建议 强烈建议修复 发现时间 2025-07-01 投毒仓库 npm 投毒类型 恶意代码…

【高危】Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞 漏洞描述 DataEase是一款开源的数据可视化分析工具，提供数据分析、图表展示和仪表盘设计功能，广泛应用于企业数据分析场景。受影响版本中，仅对 JDBC 连接字符串中的 socketFactory 和 socketFactoryArg 参数进行黑名单限制，…

【高危】PyPI仓库 loggutils 组件内嵌恶意代码 漏洞描述 当用户安装受影响版本的 loggutils Python组件包时会窃取用户主机浏览器、剪贴板、系统文件等信息，并窃取键盘记录和摄像头截图，并对用户主机进行远控。 MPS编号 MPS-tzsc-gm4v 处置建议 强烈建议修复 发现时间 2025-06-30 投毒仓库 pip 投毒类型 恶意…

【高危】Apache Seata < 2.3.0 raft反序列化漏洞 漏洞描述 Apache Seata(incubating) 是一款开源的分布式事务解决方案，用于在微服务架构下提供高性能和简单易用的分布式事务服务。受影响版本中，Seata Server 的 Raft 模块的 CustomDeserializer 直接通过 Class.forNam…

漏洞类型 对外部实体的文件或目录可访问 发现时间 2025-06-24 漏洞等级 严重 MPS编号 MPS-hiea-l3kn CVE编号 CVE-2024-56731 漏洞影响广度 漏洞危害 OSCS 描述 Gogs是一款Go语言开发的开源托管Git服务/代码仓库。 在0.13.3版本之前，由于CVE-2024-39931的补丁未考虑删除文件时的符号链接场…