漏洞

【高危】Apache Tika XML外部实体注入漏洞 漏洞描述 Apache Tika 是一款开源的 Java 工具包，主要用于从各种文档格式中提取元数据与结构化文本内容。受影响版本中，XMLReaderUtils.java 的 getXMLInputFactory() 方法未安全初始化 XMLInputFactory，未禁用外部实体解析。攻击者可通过恶意…

【高危】NPM组件 @mz-codes/const 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @mz-codes/const 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vped-mlcb 处置建议 强烈建议修复 发现时间 2025-08-21 投毒仓库 npm 投毒类型 主机信息…

【高危】Google Chrome V8 <14.1.58 越界写入漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，V8 引擎在解析 C…

【高危】NPM组件 @cf.cplace.platform/forms 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @cf.cplace.platform/forms 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-csj8-9t53 处置建议 强烈建议修复 发现时间 2025-08-2…

【高危】NPM组件 @2l/ewa-analytics-web-sdk 窃取主机信息 漏洞描述 当用户安装受影响版本的 @2l/ewa-analytics-web-sdk NPM组件包时会窃取用户主机的系统硬件、操作系统、浏览器类型、语言设置等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-4j08-mvqa 处置建议 强烈建议修复 发现时间 20…

【严重】Smartbi <= 11.0.99471.25193 权限控制不当导致远程代码执行漏洞 漏洞描述 Smartbi 是一款领先的国产商业智能软件，致力于为企业提供一站式的数据分析和决策支持解决方案。受影响版本中，由于Smartbi存在权限验证缺陷，未授权的攻击者通过访问 /smartbi/vision/share.jsp?resid= 公开分享…

【高危】PyPI仓库 pytensorlite 组件窃取用户敏感信息 漏洞描述 当用户安装受影响版本的 pytensorlite Python组件包时会窃取用户的浏览器、Discord/加密货币钱包、社交媒体应用（Instagram、TikTok、ProtonMail）等敏感数据信息，并发送到攻击者的 Discord Webhook 地址。 MPS编号 MP…

【高危】NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @capacitor-bmo/biometric 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-ulta-dq1b 处置建议 强烈建议修复 发现时间 2025-08-17 …

【高危】Google Chrome V8<13.8.79 沙箱绕过漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，owner_ident…

【高危】NPM组件 @angular_devkit/architect 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/architect 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-b43a-1vwt 处置建议 强烈建议修复 发现时间 2025-08-1…